Przeglądanie w czasie rzeczywistym

Większość produktów umożliwia przeglądanie nadchodzących danych w czasie rzeczywistym i pokazywanie głównych trendów. Jeżeli jednak w czasie sekundy przychodzą setki lub tysiące komunikatów, przeglądanie wszystkich danych w czasie rzeczywistym szybko traci sens. Wszystkie rozwiązania pozwalają na filtrowanie danych w czasie rzeczywistym, co umożliwia pokazywanie tylko istotnych zdarzeń, interesujących z punktu widzenia administratora. Często filtry takie można zachować do przeglądania danych historycznych oraz tworzenia raportów.

Przeszukiwanie zgromadzonych danych

Wyszukiwanie interesujących wzorców i zdarzeń w zgromadzonych danych jest istotnym elementem zarządzania logami, gdzie też można znaleźć najwięcej różnic w rozwiązaniach dostawców. Większość oferuje wyszukiwanie oparte na słowach kluczowych, frazach w języku angielskim i wyrażeniach logicznych. Niektórzy dostawcy zmuszają do "wklepywania" pełnych wyrażeń wyszukujących, inni zapewniają także możliwość ich składania w graficznym interfejsie budowania kwerendy. Jeżeli jednak potrzebna jest możliwość przeszukiwania niestrukturalizowanych logów, to należy się upewnić, czy dostawca zapewnia filtry wyszukiwań dla nieznormalizowanych danych, a także rozpoznać, czym wyszukiwanie w danych niestrukturalizowanych różni się od wyszukiwania w danych strukturalizowanych. Wielu dostawców zapewnia to pierwsze wyszukiwanie jedynie na podstawie klucza; inni dopuszczają wyrażenia logiczne.

Alarmy

Alarmy to istotny mechanizm zarządzania logami. Narzędzie powinno zapewniać kilka różnych metod alarmowania. Wszystkie testowane produkty zapewniały alarmy pocztą elektroniczną, a większość także za pośrednictwem SNMP. Natomiast tylko kilka oferowało alarm SMS-em.

Alarmy mogą być wysyłane w różnych postaciach. Co najmniej jest to powiadomienie, że w logu zostało wykryte szczególne zdarzenie. Wszystkie produkty dopuszczają też alarmy wynikające z określonej liczby szczególnych zdarzeń, pojawiających się w określonym przedziale czasowym. Przydatnym rodzajem alarmu jest ten oparty na poziomie odniesienia, w którym produkt sam określa normalne wzorce zdarzeń dla danego środowiska, natomiast admin określa, jaki procent odchyleń generujetworzy alarm.

Niezależnie jednak od typów alarmów, przy wybieraniu narzędzia trzeba się upewnić, czy ma on możliwość ustawienia "przepustnicy" komunikatów alarmowych - nie ma nic gorszego niż setki alarmów generowanych przez pojedyncze zdarzenie w środku nocy.

Raporty

Wszystkie rozwiązania mają wbudowaną funkcję generowaniatworzenia raportów oraz pozwalają na ich dostosowywanie lub tworzenieopracowanie nowych. Repertuar wbudowanych raportów może być często rozszerzany za dodatkową opłatą.

Raporty są zazwyczaj przechowywane w różnych formatach: CSV, HTML, XLS czy TXT, a czasami także w PDF. Można je uruchamiać ad hoc lub według harmonogramu.

W ocenie raportów warto zwrócić uwagę na różnice dotyczące danych strukturalizowanych i niestrukturalizowanych. Większość dostawców nie radzi sobie z obróbką danych niestrukturalizowanych w raportach, lub nie zapewnia takich samych podsumowań i liczników, jakie są zwykle dostępne dla danych strukturalizowanych.