Wybór właściwego oprogramowania zarządzania logami

Wybór oprogramowania do zarządzania logami częściowo będzie zależeć od tego, na jakich obszarach chcemy się skoncentrować. Część dostawców - ArcSight (HP), LogRhytm, LogLogic, McAfee - oferuje urządzenia specjalizowane (appliance), które skupiają się głównie na zarządzaniu informacją związaną z bezpieczeństwem, z ukierunkowaniem na wykrywanie zagrożeń i monitorowanie zgodności. Inne, takie jak GFI EventsManager (popularny wśród administratorów Windows Server), są używane do monitorowania zdarzeń, zarządzania i archiwizacji. Są też produkty (np. Splunk) wykorzystujące silnik wyszukiwań, który pozwala na indeksowanie logów i plików konfiguracyjnych pochodzących z różnorodnych źródeł, w celu sporządzania szybkich raportów i analiz graficznych. Niektórzy dostawcy oferują bezpłatne edycje testowe, umożliwiające dokonanie oceny ich przydatności w danym środowisku.

Każdy produkt ma pulpit konsoli do zarządzania, który wyświetla istotne statystyki (czasu rzeczywistego i krótkoterminowe) zarówno o samym systemie zarządzania logiem, jak i o monitorowanych zdarzeniach. Większość pulpitów pokazuje liczniki wiadomości o zdarzeniach, wydajności lokalnej jednostki CPU oraz powiadomienia o zdarzeniach krytycznych.

Ważna jest możliwość dostosowywania pulpitu i konfigurowania tego, co potem widzi użytkownik. Większość produktów pozwala na ustawianie podstawowych ról, typu "read-only", gdzie żadne z ustawień konfiguracyjnych nie może być modyfikowane, natomiast użytkownicy mogą uruchamiać raporty i oglądać predefiniowane wykresy i pomiary.

Do zbierania informacji z logów monitorowanych klientów wykorzystywane są dwie metody: bez agenta i z agentem. Brak agenta oznacza też brak konieczności rozprowadzenia, instalowania i konfigurowania dodatkowego oprogramowania na każdym kliencie.

Z drugiej strony większość agentów ma dużo opcji konfiguracyjnych, które pozwalają uzyskiwać pełną kontrolę nad tym, które zdarzenia są zbierane i w jaki sposób. Agent może wybierać np. tylko krytyczne zdarzenia, a resztę przechowywać lokalnie do późniejszego przeglądania. Może też oferować skompresowaną transmisję, pozwalającą na upakowanie większej liczby zdarzeń oraz przesyłanie ich w krótszym czasie i przy mniejszej zajętości pasma sieci. Agent może także przechowywać zdarzenia w sytuacji, gdy scentralizowane zarządzanie jest offline. W rozbudowanych agentach może być dostępny pomiar użytkowania sieci i CPU, a także mechanizm regulowania szybkości przesyłania komunikatów w razie powstawania zatorów.

Opracowano na podstawie "Info-World Log Analysis Deep Dive".