1 上述案例告诉我们,日志监管真的很重要,你们遇到过什么问题?
貌似没遇到过这种问题。
2. 我用过splunk, 基本上跟elk类似,但的确很强大,主要在于查询语句,绘图等。不过是付费版的。
3. 这种行为,明显就是简单的安全不到位的,ssh登陆用key不要用密码,此外设置tomcat 服务器权限,只允许某些IP/user来登陆。
Splunk强大的地方在于其查询语句,类似SQL那种语句,以及其查询速度,可视化很牛。此外扩展性等都不是问题。
至于ELK不知道查询速度如何,尤其那种非常复杂的查询。
1.系统排错,系统被黑等等问题,出问题的时候,检查日志是第一步需要做的事情。
2.我用过splunk,免费的那个,基本上也就够用了。
3.可以试试用fail2ban这个软件,通过定时监控系统日志,与iptables防火墙联动,可以阻塞一部分密码试探攻击。
被攻击了对攻击者有什么有效的手段?
报警有没有用?
回复 1# stay_sun
求书一本,急需。:mrgreen:
1 上述案例告诉我们,日志监管真的很重要,你们遇到过什么问题?
这种方式已经属于事后诸葛亮了,个人认为应该在问题萌芽的时候发现并解决才是王道,个人认为理想的思路是日志全部打到Kafka,由Kafka出来可以分出几路,其中一路由storm或spark stream直接对事件流分析,检测异常并实时报警,另外一路转由ES提供给运维查询定位,最后还可以做一路到Hadoop做天报表,周报表之类的事情
2 大家都在使用什么日志分析软件?
我曾经听说测试过splunk,据说是日志分析领域的领头羊,因为当时不是专门运维,里面很多道道还摸不清,个人认为采用开源软件也可以实现大部分功能,问题是用起来没有商业软件那么好
3 你觉得还有什么好的办法解决这样的问题呢?
问题1我已经阐述了大致的思路,实时告警由storm来做,ES提供运维查询,Hadoop出报表,当然开发量有点大
1 上述案例告诉我们,日志监管真的很重要,你们遇到过什么问题?
被打和被扫比较常见。
比较说不出口的是。。某些业务系统完全不敢开日志,据说开了日志影响执行效率,还好不是我这边的业务。。。
我曾经在帮排查该业务系统问题的时候,打开日志看,发现里面N多系统报错,如连接超时。
由于没有监管系统,该系统的领导并不知道该业务系统其实各方面完全不达标。更不知道当前有没有人在扫描,或者已经沦为肉鸡。
2 大家都在使用什么日志分析软件?
目前都是自己开发的。
日志分析在我这主要用处为:
1)监控系统是否健康,每天有多少报错
2)有没有人在打我、扫我
3)某些业务的数据汇总,是通过日志来定时汇总的,有单独的日志处理集群
由于第三点跟业务相关比较大,没有采用日志分析软件,而是定时从业务服务器同步日志到日志集群,再由日志集群处理。
实现比较简单:scp拷贝日志,shell + c 处理非格式化数据,R语言绘图,最后由PHP后台展示结果。
3 你觉得还有什么好的办法解决这样的问题呢?
ELK应该是一套不错的解决方案,或者只采用logstash+自己开发的日志处理系统也不错。
对ELK比较感兴趣,找时间研究一下。
支持支持,日志管理至关重要哟~~:lol:lol