Logserver Splunk – kontrolowanie logów pochodzących z rozmaitych źródeł

Jesteśmy dopiero co po ukazaniu się Splunk 6 zważywszy na to, mam zamiar zademonstrować poniekąd to oprogramowanie. Splunk Enterprise przy początkowym uruchomieniu jest w stanie trochę onieśmielać. Wprawdzie wyszukiwanie jest intuicyjne, lecz wiele osób o ile ma przekopywać logi, woli to wykonać na fizycznym serwerze użytkując basha. Z tym, że Splunk proponuje coś, czego bash nie posiada i nie mam w tym miejscu na myśli spójnego interfesju, lecz prawidłowość, że zawiera on szereg gotowych konfiguracji, które to niezmiernie upraszczają pracę administratora. By dostać do nich dojście, powinno się uruchomić charakterystyczną aplikację. Proces uruchamiania wydaje się niezmiernie łatwy. Ściągamy aplikację upakowaną w formacie ZIP. Idziemy do pozycji Manage Apps a w następnej kolejności Install app from file. Po wyselekcjonowaniu pobranej aplikacji i jej uruchomienia idziemy na nowo do zakładki Apps > Manage App i w konfiguracji ustawiamy, by aplikacja była zauważalna. Faktycznie, dobrze, ale co nam to daje? Udajmy się do interfejsu wyszukiwania. Jeśli teraz zaczniemy wyszukiwanie naszych logów z lewej strony w polu Interesting fields, uzyskujemy o wiele większy wybór. Naszą uwagę powinien przykuć odnośnik more fields. Kliknąwszy na niego jesteśmy w stanie wybrać interesujące nas obszary po których to Splunk będzie szukał.

Po wybraniu, pola te znajdą się w pozycji Selected fields, dzięki czemu uzyskamy przystępny i błyskawiczny dostęp do intrygujących nas danych. Należałoby zwrócić uwagę na pola użytkownicy, client_names, clients, ip – pola szukania zależą od słów nadrzędnych znalezionych w logach. O ile wyselekcjonujemy filtr np. ip, dostaniemy rzecz jasna wgląd w adresy IP połączone z naszym hostem. Możemy wyłowić indywidualny adres, zdobyć analityczne informacje, ale niekiedy bardziej globalne spojrzenie pozwala wychwycić anomalię.Ewidentnym jest fakt manipulowania czasem, co pozwala wykazać doniesienie z minionego dnia, godziny czy w czasie rzeczywistym. Jeżeli określona wartość wyda nam się niepokojąca, możemy kliknąć na wykres przy danym adresie, aby otrzymać bardziej drobiazgowe informacje, a następnie dalej filtrować uzyskane informacje używając paska szukania. Można także po prostu interesującą nas wartość kliknąć i tym sposobem dodać do filtru szukania. Należałoby dodać, że w ten sam sposób możemy filtrować po przebiegu, czy userze. Do obliczania informacji na linuxie już dawno przywykliśmy, aczkolwiek dla wielu z nas monitorowanie stanu hosta z systemem Windows nie jest już tak klarowne. Jednakże, choć jest to nieprawdopodobne można podglądać przemiany w rejestrze systemu Windows. Jeśli coś przestało działać, możemy przejrzeć rejestr pod kątem poprzednich zmian, by wyszukać problem. Jak limitować po rejestrze? Jest do tego oczywiście przeznaczona aplikacja, którą to uruchamiamy w Splunk.Jak możemy zobaczyć Splunk Enterprise jest niezastąpionym urządzeniem, jeśli chodzi o analizę źródłowych informacji, zlokalizowanie nieprawidłowości, zapewniając ponadto intuicyjny interfejs, dzięki któremu nawet osoba nie pracująca w IT może rozpocząć analizę potrzebnych dla niej informacji.

Więcej na temat  na: IT EMCA

Comments are closed.

Post Navigation