日志监控很重要！！！一个运维的伤心史……

cryboy2001

日志很重要，支持

chenryn

你说的复杂查询是什么样子呢？举个例子？
另外：一般来说，大家公认的是splunk的写入速度比es快很多，查询速度比es慢很多。
回复 22# expert1


   

dc222222222

1 上述案例告诉我们，日志监管真的很重要，你们遇到过什么问题？
电商公司，约有web服务器200多台，平时最关心的一点是网站的响应时间，这些数据都是由access.log处分析得来,公司有专门的bi团队，但做法不是实时的，而是将log先试用sync的方式传输到一台专门到log服务器，然后再使用hadoop分析，这种做法会导致数据有很大的延迟，真出了响应时间慢的问题，是不能立即得到解决的，目前我的做法是，使用zabbix实时分析每5分钟的log，优点是实时，但缺点是分析程序需要自己写，满足不了普遍性的需求，综合看来，elk或者kafka是比较合适的解决方案，同时也可将其与zabbix结合起来，加上报警功能，也是最近的实践方向，求送书，让我成为elk大神吧。
2 大家都在使用什么日志分析软件？
公司有三套系统，bi的hadoop集群，分析业务数据，运维的elk集群，重点分析php fatal log，但目前运维使用最重要的还是zabbix＋自定义脚本来分析网站响应时间的这套小系统。
3 你觉得还有什么好的办法解决这样的问题呢？
log分析的原则，我觉得有亮点，1是实时，2是数据可视化。newrelic的做法很值得借鉴，通过仔代码中埋码的方式收集数据，甚至可以将系统模块与模块之间的调用数据都可以抓到，对于分析系统性能很有帮助，但它是不能对log进行汇总分析的，比如，不能实现老板的“给我计算一下上一个月各个国家的登录用户比例数据”这样的需求， 相比后知后觉的elk等分析工具，这种先知先觉的方式也是一个比较好的思路。

ch00206503

首先安全做的就有问题。网页现在都是HTML5开发了，然后root权限应该限制远程登录。SSH登录应该用普通权限

sz1228

回复 1# stay_sun


   

cgweb

问题1.
以前我们也遇到了楼主在讨论问题已中遇到的SSH暴力破解问题，服务器被攻陷之后被植入后门程序，那是没有防御系统，服务器最后被迫重置操作系统。

问题2.
我们使用OSSIM、Splunk等日志分析工具，后来认识到单纯的日志收集与分析还不够。

问题3.
我想即使查询到SSH暴力破解日志还不足以佐证攻击过程，还需要和平日收集的各种基线数据做数据分析。所以要将企业网中所有资产（网络设备、服务器）的日志，先预处理为统一格式的事件，然后对其进行聚合以便关联分析，除此还包括流量、数据包大小的、可用性，在统一的界面中监控网络中所有安全设备的实时运行状态,集中分析和审计，并且能在集成平台中完成更新升级、入侵事件的报警、响应处理等功能。

cgweb

回复 10# sync_1521

和防火墙联动的思路非常不错，在实验室也能实现，但目前的技术，从实际应用的效果看，还无法满足大多数用户的需求。

stay_sun

   求新书回复 36# cgweb


   

Jasecd

1 上述案例告诉我们，日志监管真的很重要，你们遇到过什么问题？
日志监管查问题是在elk系统被当成ddos攻击使了，查看es日志时看到的执行shell命令，在此建议不要把elk系统放到公网，或者把默认端口改成别的。
2 大家都在使用什么日志分析软件？
elk使用过两个版本的，es1.2跟es1.7。中间遇到过不少问题吧。从开始日志推送使用rsyslog到kafka。不过使用的对象只是针对网站日志的，范围小了。但是使用过程中也暴露出了很大的问题，这套系统用lg正则去解析去拆分很吃内存，像我们现在的这套系统：es搭建的集群，3个es的data服务器的内存使用8G，本机需要16G。现在能够存储的数据大小是650G左右，估计瓶颈值在1.2T
这套日志分析系统其实很是不错。在展示方面跟详细拆分方面都甚是详细，如果把采集方面尽量做好，任何问题都会一目了然。不管是运维还是安全方面都是能够胜任。
现在还可以使用报警功能等等。越来越强大了……
3 你觉得还有什么好的办法解决这样的问题呢？
内存使用大这个问题，就是加硬件。

blackfriday13

学习学习，日志和日常监控并重