Я смотрю видео на http://www.splunk.com и как новичку в управлении ИТ это кажется отличным решением для меня. Но у меня есть опасения. Я только что перешел с cPanel и не хочу полагаться на еще одну сильно увязшую и перегруженную систему. Мне интересно, пользуется ли кто-нибудь из вас этим, и если да, то что вам в нем нравится или не нравится?
Я действительно ищу решение, которое поможет сортировать журналы сервера и диагностировать, когда сервер подвергается атаке. Splunk кажется очень хорошим решением, но есть ли лучшее решение, желательно бесплатное?
Еще кое-что нужно добавить. Наша компания недавно рассматривала возможность покупки Splunk. У нас определенно было более 500 МБ журналов для анализа, и мы обнаружили, что их модель лицензирования была чрезмерно дорогой. Splunk воспользовался их ростом популярности и с годами постепенно увеличивал свои цены. Когда мы впервые посмотрели на это 2 года назад, предел бесплатного доступа составлял 1 ГБ, а лицензионные сборы были вдвое меньше, чем сейчас.
Splunk - фантастический инструмент, но при его нынешней цене я бы хорошенько подумал об альтернативах ИМХО.
Установите пакет logcheck. Он будет сканировать журналы один раз в час и отправлять вам по электронной почте все, что не считает нормальным. По сути, он отправляет по электронной почте все, что вошло в журналы за последний час и не имеет правила игнорирования. Существуют дополнительные правила атаки, помимо того, что они включают вещи, которых не должно быть в журнале. Тема письма варьируется в зависимости от причины, по которой что-то было доставлено.
Обычно я создаю для него локальный файл игнорирования, когда обнаруживаю вещи, которые считаю нормальными, но не имею существующих правил игнорирования.
Все различные альтернативы syslog поддерживают консолидацию серверов, поэтому вы можете пересылать журналы на один сервер. Однако у меня не было привычки это делать. Единственная система, с которой я пересылаю логи, - это мой брандмауэр OpenWRT.
РЕДАКТИРОВАТЬ: Я использую Splunk на работе для поиска файлов журналов, хотя, если я знаю конкретный журнал, который ищу, я, скорее всего, буду использовать меньше. У него есть возможности оповещения, но мы их не используем. Я ожидаю, что они будут предупреждать о матче с известным рекордом. Это может привести к множеству ложноотрицательных результатов, если у вас возникнут новые проблемы без правила предупреждений. Я предпочитаю получать ложные срабатывания, такие как logcheck. Тем не менее, Splunk может лучше своевременно получать предупреждения.
Я получаю своевременные предупреждения от fail2ban о случаях, которые вызывают его срабатывание. Он также поддерживает записи в черном списке для исходного источника.
Splunk на самом деле не относится к той же категории программного обеспечения, что и cPanel. Насколько я помню, cPanel - это пакет управления системой через Интернет. Splunk - это инструмент для анализа данных и оповещения.
Тем не менее, согласно нашему сайту:
«Скачайте Splunk бесплатно. Вы получите все корпоративные функции Splunk в течение 60 дней и сможете индексировать до 500 мегабайт данных в день. Через 60 дней или в любое время до этого вы можете перейти на бессрочную бесплатную лицензию. или приобретите лицензию Enterprise, чтобы продолжить использование расширенных функций, разработанных для многопользовательских развертываний Enterprise ».
Достаточно сказать, что вы можете бесплатно загрузить и использовать Splunk для большинства наборов данных системного журнала среднего размера.
Что касается диагностики, когда ваш сервер подвергается атаке, именно здесь Splunk удовлетворит ваши потребности. Посмотрите мой пост в блоге с сегодняшнего дня, где я покажу вам, как настроить оповещения iPhone, когда кто-то пытается войти на ваш сервер с недопустимыми учетными данными.
http://blogs.splunk.com/2010/08/16/how-to-use-notifo-to-receive-splunk-alerts-on-your-iphone/
Не стесняйтесь ответить мне, если у вас возникнут дополнительные вопросы или вы хотите получить расширенную демонстрационную лицензию на наш продукт.
Я использую и очень рекомендую http://papertrailapp.com для удаленного системного журнала. После того, как вы создадите свои оповещения и фильтры поиска, это будет удивительно и недорого!
Мы используем Splunk для такого рода вещей ... Все хосты Windows и Linux пересылают свои журналы в Splunk, а в splunk есть некоторые «сохраненные поисковые запросы», которые генерируют предупреждения. Позволяет обнаруживать такие вещи, как «более X неудачных попыток входа в систему за последние 30 минут» для всех имен пользователей и систем (однако сохраненный поиск сложен для захвата окон, системы Linux и различных приложений ...). Это также отлично подходит для поиска в журналах прямо сейчас.
Splunk может быть бесплатным для достаточно небольшого набора данных.
Вам необходимо соответствующим образом масштабировать сервер в зависимости от того, сколько данных вы отправляете в Splunk в день, сколько вы хотите сохранить и сколько поиска вы будете выполнять. Иначе может увязнуть.
До Splunk мы использовали SEC на сервере системного журнала, на который были перенаправлены все журналы. Намного сложнее написать сохраненные поисковые запросы, и на самом деле ничего не делает, чтобы заменить grep для поиска вещей постфактум. Тем не менее, все еще довольно прилично.