Rozwiązania do zarządzania logami
- Józef Muszyński,
- Roger Grimes,
- 10.02.2011
Pulpit zarządzania
Każdy produkt ma pulpit konsoli zarządzania, który wyświetla istotne statystyki - czasu rzeczywistego i krótkoterminowe - o samym systemie zarządzania logiem, jak ia także o monitorowanych zdarzeniach. Większość pulpitów pokazuje: liczniki wiadomości o zdarzeniach, wydajności lokalnej CPU oraz powiadomienia o zdarzeniach krytycznych.
Audyt bezpieczeństwa może być jednym z głównych powodów, dla których wiele organizacji zaczyna interesować się narzędziami do zarządzania logami. Według badań Verizon, ślady ok. 82% naruszeń danych można znaleźć w logach systemowych oraz logach urządzeń.
Gromadzenie logów
Zbieranie informacji z logów monitorowanych klientów to jedno z kluczowych zadań narzędzi do zarządzania logami. Większość z nich wykorzystuje dwie metody zbierania informacji: bez agenta i z agentem. Brak agenta oznacza, że administrator nie musi rozprowadzać, instalować i konfigurować dodatkowego oprogramowania na każdym kliencie. Aczkolwiek bezagentowe zbieranie logów także wymaga planowania i pewnej pracy. Większość narzędzi zbiera logi, używając mechanizmów ekspediowania syslog, kwerend WMI (Windows Management Instrumentation) lub innych zdalnych metod. Wszystkie wymagają niezbędnych modyfikacji reguł, jeżeli w grę wchodzi zapora ogniowa.
Agenty na kliencie mają zalety, które trudno znaleźć przy bezagentowym zbieraniu informacji. Większość z nichagentów ma dużo opcji konfiguracyjnych, które pozwalają uzyskać bardziej precyzyjną kontrolę nad tym, o których zdarzeniach i jak są zbierane dane. Agent może wybierać na przykład tylko krytyczne zdarzenia, a resztę przechowywać lokalnie do późniejszego przeglądania. Może też oferować skompresowaną transmisję, pozwalającaą na upakowanie większej liczby zdarzeń oraz przesyłanie ich w krótszym czasie i przy mniejszej zajętości pasma sieci. Agent może także a również możliwość przechowywaćnia zdarzenia w sytuacji, gdy scentralizowane zarządzanie jest offline.
W rozbudowanych agentach może być dostępny pomiar użytkowania sieci i CPU, oraz mechanizm regulowaniea szybkości przesyłania komunikatów w razie powstawania zatorów.
Pamięć logów
Przechowywanie dziesiątków milionów, a nawet miliardów komunikatów zajmuje sporo powierzchni dyskowej. Większość urządzeń jest wyposażona w dyski RAID o terabajtowych pojemnościach. Oba typy produktów - programowe i sprzętowe - zapewniają pewien rodzaj kompresji, ale jej wydajność bywa różna.
Każdy z produktów pozwala na eksportowanie lub archiwizowanie danych. Dane eksportowane eksportowane są zazwyczaj trzymane przechowywane offline i do przeszukiwania muszą być importowane w całości. Niektóre rozwiązania są bardziej elastyczne i pozwalają na definiowanie filtrów przy imporcie, co ogranicza wolumen sprowadzanych danych.
Większość produktów przechowuje aktywne dane w postaci pierwotnej, ale archiwizowane lub eksportowane dane też pozostają w tej postaci, a to oznacza, że import danych wiąże się z ich analizą składniową i koniecznością ponownego indeksowania. Jednak dane w postaci pierwotnej są często wymagane przez różne regulacje prawne.