Analiza logów: potencjał do wykorzystania
- Józef Muszyński,
- 14.09.2012, godz. 09:00
Wybór właściwego oprogramowania zarządzania logami
Wybór oprogramowania do zarządzania logami częściowo będzie zależeć od tego, na jakich obszarach chcemy się skoncentrować. Część dostawców - ArcSight (HP), LogRhytm, LogLogic, McAfee - oferuje urządzenia specjalizowane (appliance), które skupiają się głównie na zarządzaniu informacją związaną z bezpieczeństwem, z ukierunkowaniem na wykrywanie zagrożeń i monitorowanie zgodności. Inne, takie jak GFI EventsManager (popularny wśród administratorów Windows Server), są używane do monitorowania zdarzeń, zarządzania i archiwizacji. Są też produkty (np. Splunk) wykorzystujące silnik wyszukiwań, który pozwala na indeksowanie logów i plików konfiguracyjnych pochodzących z różnorodnych źródeł, w celu sporządzania szybkich raportów i analiz graficznych. Niektórzy dostawcy oferują bezpłatne edycje testowe, umożliwiające dokonanie oceny ich przydatności w danym środowisku.
• konfigurowanie,
• zbieranie informacji,
• normalizacja informacji,
• indeksowanie,
• magazynowanie,
• korelacja,
• tworzenie poziomu odniesienia,
• alarmy,
• raporty.
Ważna jest możliwość dostosowywania pulpitu i konfigurowania tego, co potem widzi użytkownik. Większość produktów pozwala na ustawianie podstawowych ról, typu "read-only", gdzie żadne z ustawień konfiguracyjnych nie może być modyfikowane, natomiast użytkownicy mogą uruchamiać raporty i oglądać predefiniowane wykresy i pomiary.
Do zbierania informacji z logów monitorowanych klientów wykorzystywane są dwie metody: bez agenta i z agentem. Brak agenta oznacza też brak konieczności rozprowadzenia, instalowania i konfigurowania dodatkowego oprogramowania na każdym kliencie.
Z drugiej strony większość agentów ma dużo opcji konfiguracyjnych, które pozwalają uzyskiwać pełną kontrolę nad tym, które zdarzenia są zbierane i w jaki sposób. Agent może wybierać np. tylko krytyczne zdarzenia, a resztę przechowywać lokalnie do późniejszego przeglądania. Może też oferować skompresowaną transmisję, pozwalającą na upakowanie większej liczby zdarzeń oraz przesyłanie ich w krótszym czasie i przy mniejszej zajętości pasma sieci. Agent może także przechowywać zdarzenia w sytuacji, gdy scentralizowane zarządzanie jest offline. W rozbudowanych agentach może być dostępny pomiar użytkowania sieci i CPU, a także mechanizm regulowania szybkości przesyłania komunikatów w razie powstawania zatorów.
Opracowano na podstawie "Info-World Log Analysis Deep Dive".