日志监控很重要！！！一个运维的伤心史……

expert1

1 上述案例告诉我们，日志监管真的很重要，你们遇到过什么问题？

貌似没遇到过这种问题。

2. 我用过splunk, 基本上跟elk类似，但的确很强大，主要在于查询语句，绘图等。不过是付费版的。

3. 这种行为，明显就是简单的安全不到位的，ssh登陆用key不要用密码，此外设置tomcat 服务器权限，只允许某些IP/user来登陆。

expert1

Splunk强大的地方在于其查询语句，类似SQL那种语句，以及其查询速度，可视化很牛。此外扩展性等都不是问题。

至于ELK不知道查询速度如何，尤其那种非常复杂的查询。

chenyx

1.系统排错，系统被黑等等问题，出问题的时候，检查日志是第一步需要做的事情。
2.我用过splunk,免费的那个，基本上也就够用了。
3.可以试试用fail2ban这个软件，通过定时监控系统日志，与iptables防火墙联动，可以阻塞一部分密码试探攻击。

amarant

被攻击了对攻击者有什么有效的手段？
报警有没有用？

expert1

回复 1# stay_sun


    求书一本，急需。

heguangwu

1 上述案例告诉我们，日志监管真的很重要，你们遇到过什么问题？
    这种方式已经属于事后诸葛亮了，个人认为应该在问题萌芽的时候发现并解决才是王道，个人认为理想的思路是日志全部打到Kafka，由Kafka出来可以分出几路，其中一路由storm或spark stream直接对事件流分析，检测异常并实时报警，另外一路转由ES提供给运维查询定位，最后还可以做一路到Hadoop做天报表，周报表之类的事情

2 大家都在使用什么日志分析软件？
我曾经听说测试过splunk，据说是日志分析领域的领头羊，因为当时不是专门运维，里面很多道道还摸不清，个人认为采用开源软件也可以实现大部分功能，问题是用起来没有商业软件那么好

3 你觉得还有什么好的办法解决这样的问题呢？
问题1我已经阐述了大致的思路，实时告警由storm来做，ES提供运维查询，Hadoop出报表，当然开发量有点大

solohac

1 上述案例告诉我们，日志监管真的很重要，你们遇到过什么问题？
        被打和被扫比较常见。
        比较说不出口的是。。某些业务系统完全不敢开日志，据说开了日志影响执行效率，还好不是我这边的业务。。。
        我曾经在帮排查该业务系统问题的时候，打开日志看，发现里面N多系统报错，如连接超时。
        由于没有监管系统，该系统的领导并不知道该业务系统其实各方面完全不达标。更不知道当前有没有人在扫描，或者已经沦为肉鸡。
       
2 大家都在使用什么日志分析软件？
        目前都是自己开发的。
        日志分析在我这主要用处为：
                1）监控系统是否健康，每天有多少报错
                2）有没有人在打我、扫我
                3）某些业务的数据汇总，是通过日志来定时汇总的，有单独的日志处理集群
        由于第三点跟业务相关比较大，没有采用日志分析软件，而是定时从业务服务器同步日志到日志集群，再由日志集群处理。
        实现比较简单：scp拷贝日志，shell + c 处理非格式化数据，R语言绘图，最后由PHP后台展示结果。
       
3 你觉得还有什么好的办法解决这样的问题呢？
        ELK应该是一套不错的解决方案，或者只采用logstash+自己开发的日志处理系统也不错。
        对ELK比较感兴趣，找时间研究一下。

yehuafeilang

支持支持，日志管理至关重要哟~~lol