目前,我的组织有一个由 10 多个组件组成的解决方案,其中一些组件每个线程都有一个日志文件。由于文件每小时轮换一次,因此跟踪所有这些文件是一项繁琐的工作。
将所有日志集中到特定机器(使用 rsyslog 或类似工具)是个好主意吗?我这样做难道不是在用简单换取忙碌吗?有没有适合这种高容量用例的良好日志查看器?
顺便说一句,我们是一家正规的微软商店。
谢谢大家的回复!
答案1
我建议你看看Splunk。
我目前已将其投入生产,有 30 多个网络设备向其记录日志 - 将日志放在一个地方非常有用,我可以为其编写自己的查询、运行预设报告等。
答案2
集中日志记录的一个很大的优点是:
- 如果你的某台机器被入侵,并修改了日志以隐藏这一事实,您的中央日志服务器上仍然会有一份未被篡改的副本。
另一个是:
- 在我的案例中,我的工作站上还有一个专用监视器,它由中央日志服务器运行,实时显示优先级为“警告”或更高的日志,这样我就可以立即处理出现的任何问题。(希望在最终用户注意到之前:))。如果没有中央服务器,这很难做到。
答案3
也看一下 eventsentry,几个许可证就够了,不是很贵,可以设置良好的过滤器和警报等。
答案4
在繁忙时段,我们的 AD DC 安全日志每天要处理 3-5GB 的日志,而且通过本机工具根本无法对它们进行任何处理。需要某种日志解析器来理解它们。我在 PowerShell 中从头编写了一个,我们最近研究了 Splunk。Splunk 可以跟上洪流,也可以跟上我们的网络设备系统日志数据(几乎同样大的数据量)。全部在一个数据库中。需要一台强大的服务器来处理这种数据负载,但这是一个可以解决的问题。我们目前正在等待正确的 Dark Rites 完成,以便我们可以获得资金来建立集中式日志环境。
拥有一个“单一窗口”来查看数据是一件好事。你不会得到一个可以像 syslog 一样跟踪的更新文本文件。你将得到的是一个具有丰富查询系统的界面,以及(我相信)一个用于编写你自己的 Web 前端以满足你自己的邪恶需求的 API。
对于 Windows 事件日志数据,Splunk 不会提取这些事件的 XML 版本,而是提取每个事件的“详细视图”文本版本并对其进行解析。我曾经非常担心它的规模,但令我惊喜的是,尽管如此,它还是能够跟上我们的日志负载;我不得不使用 PowerShell 脚本转为 XML,因为文本解析耗时太长了。