日志很重要,支持
你说的复杂查询是什么样子呢?举个例子?
另外:一般来说,大家公认的是splunk的写入速度比es快很多,查询速度比es慢很多。
回复 22# expert1
1 上述案例告诉我们,日志监管真的很重要,你们遇到过什么问题?
电商公司,约有web服务器200多台,平时最关心的一点是网站的响应时间,这些数据都是由access.log处分析得来,公司有专门的bi团队,但做法不是实时的,而是将log先试用sync的方式传输到一台专门到log服务器,然后再使用hadoop分析,这种做法会导致数据有很大的延迟,真出了响应时间慢的问题,是不能立即得到解决的,目前我的做法是,使用zabbix实时分析每5分钟的log,优点是实时,但缺点是分析程序需要自己写,满足不了普遍性的需求,综合看来,elk或者kafka是比较合适的解决方案,同时也可将其与zabbix结合起来,加上报警功能,也是最近的实践方向,求送书,让我成为elk大神吧。
2 大家都在使用什么日志分析软件?
公司有三套系统,bi的hadoop集群,分析业务数据,运维的elk集群,重点分析php fatal log,但目前运维使用最重要的还是zabbix+自定义脚本来分析网站响应时间的这套小系统。
3 你觉得还有什么好的办法解决这样的问题呢?
log分析的原则,我觉得有亮点,1是实时,2是数据可视化。newrelic的做法很值得借鉴,通过仔代码中埋码的方式收集数据,甚至可以将系统模块与模块之间的调用数据都可以抓到,对于分析系统性能很有帮助,但它是不能对log进行汇总分析的,比如,不能实现老板的“给我计算一下上一个月各个国家的登录用户比例数据”这样的需求, 相比后知后觉的elk等分析工具,这种先知先觉的方式也是一个比较好的思路。
本帖最后由 ch00206503 于 2015-12-12 12:14 编辑
首先安全做的就有问题。网页现在都是HTML5开发了,然后root权限应该限制远程登录。SSH登录应该用普通权限
回复 1# stay_sun
问题1.
以前我们也遇到了楼主在讨论问题已中遇到的SSH暴力破解问题,服务器被攻陷之后被植入后门程序,那是没有防御系统,服务器最后被迫重置操作系统。
问题2.
我们使用OSSIM、Splunk等日志分析工具,后来认识到单纯的日志收集与分析还不够。
问题3.
我想即使查询到SSH暴力破解日志还不足以佐证攻击过程,还需要和平日收集的各种基线数据做数据分析。所以要将企业网中所有资产(网络设备、服务器)的日志,先预处理为统一格式的事件,然后对其进行聚合以便关联分析,除此还包括流量、数据包大小的、可用性,在统一的界面中监控网络中所有安全设备的实时运行状态,集中分析和审计,并且能在集成平台中完成更新升级、入侵事件的报警、响应处理等功能。
回复 10# sync_1521
和防火墙联动的思路非常不错,在实验室也能实现,但目前的技术,从实际应用的效果看,还无法满足大多数用户的需求。
:em02: 求新书回复 36# cgweb
本帖最后由 Jasecd 于 2016-01-20 10:47 编辑
1 上述案例告诉我们,日志监管真的很重要,你们遇到过什么问题?
日志监管查问题是在elk系统被当成ddos攻击使了,查看es日志时看到的执行shell命令,在此建议不要把elk系统放到公网,或者把默认端口改成别的。
2 大家都在使用什么日志分析软件?
elk使用过两个版本的,es1.2跟es1.7。中间遇到过不少问题吧。从开始日志推送使用rsyslog到kafka。不过使用的对象只是针对网站日志的,范围小了。但是使用过程中也暴露出了很大的问题,这套系统用lg正则去解析去拆分很吃内存,像我们现在的这套系统:es搭建的集群,3个es的data服务器的内存使用8G,本机需要16G。现在能够存储的数据大小是650G左右,估计瓶颈值在1.2T
这套日志分析系统其实很是不错。在展示方面跟详细拆分方面都甚是详细,如果把采集方面尽量做好,任何问题都会一目了然。不管是运维还是安全方面都是能够胜任。
现在还可以使用报警功能等等。越来越强大了……
3 你觉得还有什么好的办法解决这样的问题呢?
内存使用大这个问题,就是加硬件。
学习学习,日志和日常监控并重