Báo cáo về giải pháp quản lý log của solarwind
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.55 MB, 13 trang )
Báo cáo về giải pháp quản lý log của Solarwind
Về giải pháp quản lý Log, Solarwind có 2 phần mềm là :
SolarWinds Log & Event Manager (LEM) và Kiwi Syslog Server.
Đây là 2 sản phẩm tách biệt với phần mềm Solarwind đang sử dụng để monitoring tại PG Bank.
1. Kiwi Syslog Server
a) Các tính năng chính của Kiwi syslog :
Đây là một phần mềm đóng vai trò làm Syslog Server, Kiwi syslog được cài đặt trên môi trường
Windows. Log của các Server (Windows Server, Linux Server, Host ESXi) có thể được config để
forward log về Kiwi Syslog server để quản lý tập trung. Kiwi Syslog cũng có thể forward log tới một
Syslog server khác.
- Có thể xem dữ liệu syslog qua giao diện web
- Giúp tìm kiếm log, hiển thị kết quả theo nhiều tiêu chí Filter
- Log có thể được ghi vào một CSDL (ODBC logging)
- Tự động thực thi một số action (vd như gửi email cảnh báo) dựa trên các alert.
- Kiwi syslog có thể sử dụng miễn phí (với các tính năng cơ bản nhất của một syslog server), với
phiên bản có phí thì có thêm một số tính năng như : ghi được log vào CSDL, Log File Rotation, hỗ
trợ web access, hiển thị được trường Hostname thay vì IP trong màn hình hiển thị log, ..
b) Thử nghiệm cài đặt
Kiwi syslog đã được cài đặt thử nghiệm trên một máy ảo Windows Server 2003 có cấu hình 02
vCPU và 4 Gb RAM :
Name Server
Syslog-srv.pgbank.com.vn
IP
10.68.3.99
Thử nghiệm đã config được các Host Windows, Linux, ESXi forward log về Kiwi syslog.
+ Config cho Host Windows Server forward log về Kiwi syslog :
Trên Host Windows cần cài đặt thêm SolarWinds_LogForwarder. Một số tham số cấu hình :
+ Config cho các Host Linux Server :
1. Sửa file hosts
/etc/hosts
10.68.3.99
loghost
127.0.0.1 vdr.pgbank.com.vn vdr localhost
::1
vdr.pgbank.com.vn vdr localhost ip6-localhost ip6-loopback
2. Sửa file syslog.conf
/etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*
/dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none
@loghost
# The authpriv file has restricted access.
authpriv.*
/var/log/secure
# Log all the mail messages in one place.
mail.*
-/var/log/maillog
# Log cron stuff
cron.*
/var/log/cron
# Everybody gets emergency messages
*.emerg
*
# Save news errors of level crit and higher in a special file.
uucp,news.crit
/var/log/spooler
# Save boot messages also to boot.log
local7.*
3. Restart lại syslog
[root@vdr ~]# service syslog restart
/var/log/boot.log
+ Config cho ESXi host :
2. SolarWinds Log & Event Manager (LEM)
a) Các tính năng chính của LEM :
LEM được xem như là thiết bị mềm có tính an toàn cao và làm tăng hiệu quả quản trị, quản lý,
giám sát các chính sách an ninh và biện pháp bảo vệ trong mạng nội bộ. LEM lấy thông tin dựa
trên các Agent được cài đặt trên server, thiết bị mạng sau đó được gửi đến Virtual Appliance
(Manager) và được View bởi một trình quản lý (Console) và tất cả những dữ liệu nhận được sẽ
được xử lý bởi chính sách đã được định nghĩa qua Manager.
Vitual Applicance (Manager): Thu thập và xử lý nhật ký về các thông tin và sự kiện
Desktop Software: Trình quản lý (Console) được cài đặt trên máy quản trị để view các thông tin từ
Virtual Applicance nhận được.
-
-
Đưa ra hình ảnh trực quan để phân tích về Real-Time Log, có thể ngay lập tức nhận ra
được các sự kiện bất thường trong hệ thống.
Tìm log liên quan đến một vấn đề một cách nhanh chóng
Lập lịch và đưa ra các báo cáo thống kê về các sự kiện các báo cáo này tuân theo
form chuẩn trên thế giới PCI DSS, GLBA, SOX, NERC CIP, or HIPAA .
Khi nhận được cảnh báo gây ảnh hưởng đến hệ thống LEM có thể thực hiện ngay các
hành động để cách ly thiết bị và máy tính đó như: block IP, kill process, disabling
account, khởi động lại service…
Tự động detect và ngăn thiết bị lưu trữ USB
Khả năng nén dữ liệu log rất lớn để tiết kiệm tối đa không gian lưu trữ với tỉ lệ 60:1
Lưu trữ Log đén một database server (có option này chỉ khi có Lisence).
b) Thử nghiệm cài đặt:
Các Port được sử dụng khi triển khai hệ thống LEM:
-
LEM chạy trên nền Linux đươc đóng gói dưới dạng file *.ova một dạng template của máy ảo để có
thể triển khai dẽ dàng trên hệ thống vmware.
Name Server
IP
VMWare Version
CPU Speed
Memory
Hard Drive Space
logsrv.pgbank.com.vn
10.68.8.9
vSphere 4 or later
2 GHz
8 GB
250 GB
- Khi cài đặt xong máy chủ sẽ có giao diện như sau và tiếp đó sẽ thực hiện cấu hình hostname,ip
cua LEM server.
- Cài đặt LEM Desktop: (Console quản trị LEM)
Sau khi cài đặt và đăng nhập vào LEM Console sẽ có giao diện như bên dưới, trong đó Default
Filter là những định nghĩa Rule sẵn có của ứng dụng.
- Cài đặt LEM Agent:
Trên mỗi server chạy windows, Linuxs, vmware hay audit database SQLserver đều có một Agent
riêng cài đặt để có thể lấy Log và gửi cho LEM server.
Agent trên Windows
Agent trên LINUXs
-
Trong LEM manager đã có sẵn các template cho phép người quản trị có thể định nghĩa ra các
rule để monitor hệ thống. Người quản trị chỉ cần làm nhiệm vụ kéo thả các template đó vào và
đưa các thông số cần thiết để monitor.
Khi cài đặt xong các Agent thì tự động trên LEM Desktop sẽ nhận các các Node được cài đặt.
- Khả năng lọc dữ liệu bằng cách đinh nghĩ ra kết quả muốn tìm như việc muốn tìm xem ai đã xóa
file nào trên server ..v..v.
-
Định nghĩa Rule để xác định những User/Computer nào đang logon và có thành công hay
không vào server muốn monitor.
- Việc định nghĩa ra các Rule/Filter có thẻ kết hợp một hoặc nhiều nhóm điều kiện khác nhau với
những quan hệ and/or giữa các nhóm điều kiện đó làm cho việc định nghĩa chính xác hơn với
những đối tượng cần tìm hay giám sát.
-Đưa ra báo cáo trong một khoảng thời gian nào đó một cách nhanh chóng và có nhiều loại báo
cáo cho ta lựa chọn hoặc có thể định nghĩa ra.
Ngoài ra có thể lưu các báo cáo này trên một Database server sử dụng SQL server hoặc Oracle
Server.
3. So sánh giữa Kiwi và LEM:
-
-
-
-
Kiwi đơn thuần chỉ dành cho việc ghi lại các sự kiện bình thường.(Như kiểu
EventViewer của Windows)
/>LEM hỗ trợ lưu lại các sự kiện của ứng dụng, hệ thống mạng, server để thuận tiện
trong việc theo dõi và kiểm tra hỗ trợ hơn 800 thiết bị. Tạo ra sự tương quan trên tất cả
các bản ghi trên nhiều nguồn khác nhau và khả năng nén dữ liệu cao.
Kiwi chỉ ó nhiệm vụ nhận,ghi,hiện ra và chuyển tiếp log đến server khác. LEM có sự
tương quan hơn nghĩa là các bản ghi và cảnh báo có thể liên quan và được phân tích
chi tiết hơn.
LEM tuân theo chuẩn báo cáo trên thế giới còn Kiwi thì không.
Kiwi không thể giải quyết các vấn đề ngay lập tức khi gặp thông báo như việc cô lập
các máy gây ảnh hưởng. LEM có thể thực hiện và được lưu lại trong thời gian dài.
Về giá: Kiwi license tính theo tháng sử dụng 292$ trong 12 tháng, 395$ trong 24 tháng.
LEM license tính theo sô Node sử dụng trong vòng 1 năm 30 Node là 4,495$, 60
Node là 6,995$, 100 Node 12,495$.
/>
