O log centralizado é uma boa ideia?

7

Neste momento, minha organização tem uma solução composta por mais de 10 componentes e alguns têm um arquivo de log por thread. Como os arquivos são girados de hora em hora, rastrear tudo isso é uma tarefa.

A centralização de todos os registros em uma máquina específica (usando rsyslog ou algo semelhante) é uma boa ideia? Eu não estaria trocando simplicidade por agitação? Existem bons visualizadores de log para esse caso de uso de alto volume?

Nós somos uma loja da Microsoft, a propósito.

Obrigado por qualquer resposta!

    
por Bruno Antunes 06.10.2010 / 15:21

5 respostas

3

Eu sugiro que você dê uma olhada em Splunk .

Atualmente, tenho isso em produção, com mais de 30 dispositivos de rede conectados a ele. É realmente útil ter logs em um local, que eu possa escrever minhas próprias consultas, executar relatórios em latas, etc.

    
por 06.10.2010 / 15:26
6

Uma grande vantagem do log centralizado é esta:

  • Se uma de suas máquinas estiver comprometida, e os registros alterados para ocultar esse fato , você ainda terá uma cópia não violada em seu servidor de registro central.

Outra é:

  • No meu caso eu também tenho um monitor dedicado na minha estação de trabalho rodando fora do servidor de log central que exibe todos os logs de uma prioridade "Aviso" ou superior em tempo real, para que eu possa lidar com qualquer problema imediatamente acima. (esperemos que antes que o usuário final perceba :)). Isso é difícil de fazer sem um servidor centralizado.
por 06.10.2010 / 16:36
2

Dê uma olhada em eventsentry também, não é muito caro para algumas licenças, pode configurar bons filtros e alertas, etc.

    
por 04.08.2011 / 04:10
1

O registro centralizado é sempre uma boa ideia, desde que seu servidor de logs esteja em um local seguro.

Você já olhou para o Splunk e / ou o Spiceworks?

www.splunk.com www.spiceworks.com

    
por 06.10.2010 / 15:27
1

Nossos logs de segurança do AD DC passam entre 3 a 5 GB de logs por dia durante horários de pico, e não há como a Google fazer qualquer coisa com eles por meio de ferramentas nativas. Algum tipo de analisador de logs é necessário para fazer sentido deles. Eu escrevi uma do zero no PowerShell e recentemente analisamos o Splunk. O Splunk pode acompanhar o dilúvio e também acompanhar os dados do syslog do seu dispositivo net (quase tão grande quanto o volume). Tudo em um banco de dados. Vai demorar um servidor robusto para mastigar esse tipo de carga de dados, mas isso é um problema solucionável. No momento, estamos aguardando a conclusão dos Dark Rites corretos para que possamos obter financiamento para um ambiente de registro centralizado.

Ter uma "única vidraça" como visão dos dados é uma coisa boa. O que você não conseguirá é um arquivo de texto de atualização, você pode então seguir o estilo syslog. O que você obterá é uma interface com um sistema de consulta rico e (acredito) uma API para escrever seus próprios front-ends da web para suas próprias necessidades nefastas.

Quando se trata de dados do log de eventos do Windows, o Splunk não está retirando a versão XML desses eventos, está retirando a versão de texto da "exibição detalhada" de cada evento e analisando-a. Eu tinha algumas preocupações reais sobre a escala lá, mas fiquei agradavelmente surpreso quando conseguiu acompanhar nossas cargas de registro apesar disso; Eu tive que ir XML com meu script do PowerShell porque a análise de texto estava demorando muito.

    
por 06.10.2010 / 16:10