Você usaria o Splunk?

7

Estou assistindo ao vídeo no link e, como alguém mais novo no gerenciamento de TI, parece uma ótima solução para começar . Mas tenho preocupações. Acabei de me mudar do cPanel e não quero acabar dependente de outro sistema pesado sobrecarregado. Eu estou querendo saber se algum de vocês usá-lo, em caso afirmativo, o que você gosta ou não gosta sobre isso?

Estou realmente procurando uma solução para ajudar a classificar os logs do servidor e diagnosticar quando o servidor estiver sob ataque. Splunk parece ser uma solução muito boa, mas existe uma melhor, de preferência livre lá fora?

    
por Webnet 16.08.2010 / 20:06

5 respostas

2

Instale o pacote logcheck. Ele verificará os logs uma vez por hora e enviará por e-mail qualquer coisa que não considere normal. Essencialmente, envia por e-mail qualquer coisa que tenha entrado nos registros na última hora que não tenha uma regra para ignorar. Existem regras de ataque adicionais que incluem coisas que não deveriam estar no log. A linha de assunto do email varia dependendo do motivo pelo qual as coisas foram selecionadas.

Eu geralmente construo um arquivo local para ignorá-lo, pois descubro coisas que considero normais, mas não tenho regras de ignorar existentes.

As várias alternativas de syslog suportam a consolidação do servidor, para que você possa encaminhar os logs para um único servidor. No entanto, eu não tenho o hábito de fazê-lo. O único sistema para o qual eu encaminhar os logs é o meu firewall OpenWRT.

EDIT: Eu uso o Splunk no trabalho para pesquisar arquivos de log, embora se eu soubesse o log específico que estou procurando, é mais provável que eu use menos. Ele possui recursos de alerta, mas não os usamos. Espero que eles alertem sobre uma partida para um registro conhecido. Isso pode levar a muitos falsos negativos se você tiver novos problemas sem uma regra de alerta. Eu prefiro ter falsos positivos como eu recebo do logcheck. O Splunk pode ter melhor pontualidade em alertas.

Recebo alertas oportunos do fail2ban nos casos que fazem com que seja acionado. Também mantém entradas na lista negra da fonte de origem.

    
por 17.08.2010 / 01:03
4

Uma outra coisa para adicionar. Nossa empresa recentemente procurou comprar o Splunk. Nós definitivamente tivemos mais de 500MB de logs para analisar e descobrimos que o modelo de licenciamento deles era escandalosamente caro. O Splunk aproveitou seu aumento de popularidade e lentamente aumentou seus preços ao longo dos anos. Quando olhamos para ele pela primeira vez há dois anos, o limite para a liberdade era de 1GB e as taxas de licenciamento eram metade do que são agora.

O Splunk é uma ferramenta fantástica, mas pelo seu preço atual, eu pensaria muito sobre as alternativas da IMHO.

    
por 17.08.2010 / 17:01
2

O Splunk não está na mesma categoria de software que o cPanel. Pelo que me lembro cPanel é um pacote de gerenciamento de sistema baseado na web. O Splunk é uma ferramenta de análise e alerta de dados.

Dito isto, de acordo com o nosso site:

"Faça o download do Splunk gratuitamente. Você terá todos os recursos do Enterprise do Splunk por 60 dias e poderá indexar até 500 megabytes de dados por dia. Depois de 60 dias, ou antes disso, você pode converter para um licença gratuita perpétua ou adquira uma licença Enterprise para continuar usando a funcionalidade expandida projetada para implantações empresariais multiusuário. "

Bastou dizer que você pode baixar e usar o Splunk, gratuitamente, na maioria dos conjuntos de dados de log do sistema de tamanho médio.

Quanto ao diagnóstico de quando o servidor está sob ataque, é aí que o Splunk atende às suas necessidades. Confira a postagem do meu blog de hoje, onde mostro como configurar alertas do iPhone quando alguém tenta fazer login no servidor com credenciais inválidas.

link

Sinta-se à vontade para me responder se tiver mais dúvidas ou quiser uma licença de demonstração estendida do nosso produto.

    
por 17.08.2010 / 02:25
2

Eu uso e recomendo o link para o syslog remoto. Depois de criar seus alertas e filtros de pesquisa, é incrível e barato!

    
por 11.01.2012 / 07:27
1

Usamos o Splunk para esse tipo de coisa ... Os hosts Windows e Linux encaminham todos os seus logs para o Splunk e há algumas "pesquisas salvas" em splunk que geram alertas. Torna possível detectar coisas como "mais de X logins com falha nos últimos 30 minutos" em todos os nomes de usuários e sistemas (a pesquisa salva é complexa, no entanto, para capturar janelas, sistema linux e vários aplicativos ...). Também é ótimo para pesquisar por registros agora mesmo.

O Splunk pode ser gratuito para um conjunto de dados pequeno o suficiente.

Você precisa dimensionar o servidor adequadamente, com base na quantidade de dados que está enviando para o Splunk por dia, quanto deseja reter e quanto de pesquisa você fará. Caso contrário, pode atolar.

Antes do Splunk nós costumávamos usar SEC em um servidor syslog que tinha todos os logs encaminhados para ele. É muito mais difícil escrever buscas salvas, e realmente não faz nada para substituir o grep por procurar coisas após o fato. Ainda é bastante decente, no entanto.

    
por 16.08.2010 / 20:35

Tags