Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

GUARDING YOUR BUSINESS ■ syslog-ng web GUI-k Czanik Péter BalaBit.

Hasonló előadás


Az előadások a következő témára: "GUARDING YOUR BUSINESS ■ syslog-ng web GUI-k Czanik Péter BalaBit."— Előadás másolata:

1 GUARDING YOUR BUSINESS ■ syslog-ng web GUI-k Czanik Péter BalaBit

2 GUARDING YOUR BUSINESS ■ 2 Tartalom ■ Bevezetés □ Mi a syslog □ Miért syslog-ng □ Miért központi log gyűjtés □ Web GUI grep helyett?!? ■ Tárgyalás □ Web GUI-k rövid bemutatása, előnyök, hátrányok: LogAnalyzer, Loggly, Logzilla, Logstash, SSB, ELSA ■ Kérdések

3 GUARDING YOUR BUSINESS ■ 3 Mi a syslog ■ A syslog egy szabvány a program üzenetek gyűjtésére. Lehetővé teszi, hogy el lehessen különíteni az üzenetet generáló programot a üzeneteket gyűjtő és feldolgozó alkalmazásoktol. (wikipedia) ■ Eredetileg a sendmail kiegészítőjének készült, de most már szinte minden oprendszer és hálózati eszköz támogatja ■ Fájlba, hálózatra és az újabbak még sok más módon is tudnak üzenetet gyűjteni

4 GUARDING YOUR BUSINESS ■ 4 Miért syslog-ng? ■ Gyors / nagy teljesítmény ■ Stabilitás, nincs log vesztés ■ Sok platform: ha Linuxon megtanultad, máshol is használhatod ■ Sokféle forrás és cél: fájl, socket, pipe, program, tcp, udp, titkosított (SSL), adatbázis (libdbi) ■ Makrók, template-ek, üzenet módosítás ■ Patterndb: üzenet elemzés, akár korrelálás is ■ Áttekinthető, logikus konfiguráció ■ Jó dokumentáció ■ Nagy, segítőkész közösség

5 GUARDING YOUR BUSINESS ■ 5 Miért központi loggyűjtés? ■ Sok helyen, sok formátumban nehéz a keresés ■ Az összefüggések könnyebben fedezhetőek fel ■ Könnyebb, gyorsabb reagálás ■ Egységes, hosszú távú log megőrzés ■ Az üzenetek a küldő gép megsemmisülése, kompromittálódása esetén is elérhetőek ■ Különböző szabványok, szabályok is előírhatják (PCI- DSS, COBIT, HPT, stb.)

6 GUARDING YOUR BUSINESS ■ 6 Web GUI grep helyett?!? ■ A grep, awk & Co. kevés üzenetnél jól működik, de soknál már lassú (~ üzenetnél 8s vs. <0.1s) ■ Egyszerűbb lekérdezés összeállítás ■ Elmentett lekérdezések ■ Azok is könnyen használják, akik nem Linux-on nőttek fel :-)

7 GUARDING YOUR BUSINESS ■ 7 Web GUI-k rövid bemutatása ■ Rövid ismertetés / előnyök / hátrányok ■ Hol használható ■ Képernyőkép :-) ■ Függőségek, elérhetőség

8 GUARDING YOUR BUSINESS ■ 8 Loggly ■ Felhő szolgáltatás, syslog-ng alapokon ■ Fizetős, de van ingyen használható, csak adatmennyiségben korlátozott verziója is ■ Pár perc alatt beüzemelhető ■ Parancs soros web interfész, UNIX feeling :-) ■ API a log küldéshez, lekérdezéshez és konfiguráláshoz ■ Felhő: sávszélesség igény, hálózati kimaradásokra érzékeny ■ Nagyon jól jön, ha gyorsan, új gép beállítása nélkül szeretnénk a központi log gyűjtést megoldani

9 GUARDING YOUR BUSINESS ■ 9 Loggly (2.)

10 GUARDING YOUR BUSINESS ■ 10 Loggly (3.) ■ Függőségek, telepítés, konfigurálás: □ Helyben nincs mit telepíteni ■ URL: ■ Blog: the-cloud/http://czanik.blogs.balabit.com/2011/03/logging-to- the-cloud/

11 GUARDING YOUR BUSINESS ■ 11 LogAnalyzer ■ Nem syslog-ng-hez készült, de kisebb problémákkal működik vele ■ Kevés munkával telepíthető ■ Egyszerű, könnyen kezelhető felhasználói felület (ha a képernyő alsó és felső sávjától eltekintünk) ■ Tisztán mysql-es megoldás, így nem skálázódik túl jól: □ Az egyszerű INSERT lassú □ Sok adatnál lassú a keresés ■ Jól jön, ha kevés loghoz kevés munkával szeretnénk web felületet

12 GUARDING YOUR BUSINESS ■ 12 LogAnalyzer (2.)

13 GUARDING YOUR BUSINESS ■ 13 LogAnalyzer (3.) ■ Függőségek, telepítés, konfigurálás □ Php és mysql □ Legegyszerűbb, ha phpmyadmin-t telepítünk csomagból, az minden szükséges függőséget behoz □ Web alapú konfigurálás, félregépelésre érzékeny ■ URL: ■ Blog:

14 GUARDING YOUR BUSINESS ■ 14 LogStash ■ Svájci bicska sok különböző bemenettel, szűrési lehetőséggel, kimenettel és egy webes keresőfelülettel ■ 1.0-ás verzió: nincs log management, felhasználó kontrol, elmentett keresések ■ Könnyű elindulni vele (csak sun java a függőség), majd fokozatosan bővíteni ■ Jól jön, ha gyorsan és egyszerűen kereshetővé tennénk a logjainkat, de számítunk növekedésre is

15 GUARDING YOUR BUSINESS ■ 15 LogStash (2.)

16 GUARDING YOUR BUSINESS ■ 16 LogStash (3.) ■ Függőségek, telepítés, konfigurálás □ Csak a Sun Java a függőség □ Egy fájlt le kell tölteni és egy egyszerű szöveges konfigurációs fájl elég induláshoz □ Log menedzsment az adatbázis kiszolgáló HTTP API-ján ■ URL: ■ Blog:

17 GUARDING YOUR BUSINESS ■ 17 Logzilla ■ Leánykori nevén php-syslog-ng ■ Kereskedelmi termék lett, de ingyen tudásban és adatmennyiségben korlátozott verzió elérhető ■ Nagy teljesítmény (sphinx) ■ Cisco logok kiemelt támogatása, mnemonics ■ Jól jön Cisco hálózati környezetben, vagy LogAnalyzer helyett kis hálózatban

18 GUARDING YOUR BUSINESS ■ 18 Logzilla (2.)

19 GUARDING YOUR BUSINESS ■ 19 Logzilla (3.) ■ Függőségek, telepítés, konfigurálás □ Vmware image-ként egyszerű □ Sok függőség, nehézkes telepítés igazi vasra, ami viszont a nagy teljesitmenyhez kell □ Webes konfigurálás ■ URL: ■ Blog: brings-syslog-ng-and-cisco-logs-to-the-next-level/http://czanik.blogs.balabit.com/2011/04/logzilla- brings-syslog-ng-and-cisco-logs-to-the-next-level/

20 GUARDING YOUR BUSINESS ■ 20 SSB – syslog-ng Store Box ■ BalaBit saját fejlesztés ■ Kihasználja a syslog-ng PE lehetőségeit (titkosított log tárolás, Windows kliens) ■ Log osztályozás (patterdb), log menedzsment ■ Részletes jelentések, statisztikák ■ Megfelelőség (compliance) bank, egészségügy, élelmiszer ipar, stb. ■ Bárhova, ahol a compliance fontos. ■ server-appliance

21 GUARDING YOUR BUSINESS ■ 21 SSB – syslog-ng Store Box (2.)

22 GUARDING YOUR BUSINESS ■ 22 ELSA – Enterprise Log Search and Archive ■ Az első patterndb-t támogató külső fejlesztés ■ A fejlesztés korai fázisában, ennek minden problémájával ■ Sokféle eszköz a rendszergazda munkájának megkönnyítésére ■ Google szintű válaszidő sok millió üzenetnél is ■ Jó skálázódás, akár 15kmsg/s folyamatos és 100kmsg/s csúcs terhelés ■ Ahol rengeteg log keletkezik, ott érdemes rászánni az időt és megküzdeni a bevezetésével

23 GUARDING YOUR BUSINESS ■ 23 ELSA – Enterprise Log Search and Archive (2.)

24 GUARDING YOUR BUSINESS ■ 24 ELSA – Enterprise Log Search and Archive (3.) ■ Függőségek, telepítés, konfigurálás □ Sok perl modul függőség □ Vmware image-ben minden benne, de persze lassabb □ Szöveges - nem agyon dokumentált - konfiguráció, ahol a beállítások a forgalomtól is függenek ■ URL: and-archive/http://code.google.com/p/enterprise-log-search- and-archive/ ■ Blog: interface-for-syslog-ng-and-patterndb/http://czanik.blogs.balabit.com/2011/05/elsa-web- interface-for-syslog-ng-and-patterndb/

25 GUARDING YOUR BUSINESS ■ 25 Vége ■ Köszönöm a figyelmet! ■ Kérdések?

26 GUARDING YOUR BUSINESS ■ 26 Mi a syslog (2.) ■ A „régi / BSD / legacy” syslog nincs agyon szabványosítva, az RFC3164 csak a meglevő állapotokat dokumentálta ■ Minden üzenetnek része: □ Facility: milyen jellegű alkalmazástól származik az üzenet (mail, auth, localX, stb.) □ Severity: milyen fontosságú (0-Emergency - 7-debug) □ Hostname: honnan jön □ Timestamp: időpecsét, mikor keletkezett □ Message: maga az üzenet ■ Továbbítás UDP 514-es port ■ Új szabvány: RFC5424


Letölteni ppt "GUARDING YOUR BUSINESS ■ syslog-ng web GUI-k Czanik Péter BalaBit."

Hasonló előadás


Google Hirdetések