日志監(jiān)控很重要！�。∫粋�(gè)運(yùn)維的傷心史……

cryboy2001

日志很重要，支持

chenryn

你說的復(fù)雜查詢是什么樣子呢？舉個(gè)例子？
另外：一般來說，大家公認(rèn)的是splunk的寫入速度比es快很多，查詢速度比es慢很多。
回復(fù) 22# expert1


   

dc222222222

1 上述案例告訴我們，日志監(jiān)管真的很重要，你們遇到過什么問題？
電商公司，約有web服務(wù)器200多臺(tái)，平時(shí)最關(guān)心的一點(diǎn)是網(wǎng)站的響應(yīng)時(shí)間，這些數(shù)據(jù)都是由access.log處分析得來,公司有專門的bi團(tuán)隊(duì)，但做法不是實(shí)時(shí)的，而是將log先試用sync的方式傳輸?shù)揭慌_(tái)專門到log服務(wù)器，然后再使用hadoop分析，這種做法會(huì)導(dǎo)致數(shù)據(jù)有很大的延遲，真出了響應(yīng)時(shí)間慢的問題，是不能立即得到解決的，目前我的做法是，使用zabbix實(shí)時(shí)分析每5分鐘的log，優(yōu)點(diǎn)是實(shí)時(shí)，但缺點(diǎn)是分析程序需要自己寫，滿足不了普遍性的需求，綜合看來，elk或者kafka是比較合適的解決方案，同時(shí)也可將其與zabbix結(jié)合起來，加上報(bào)警功能，也是最近的實(shí)踐方向，求送書，讓我成為elk大神吧。
2 大家都在使用什么日志分析軟件？
公司有三套系統(tǒng)，bi的hadoop集群，分析業(yè)務(wù)數(shù)據(jù)，運(yùn)維的elk集群，重點(diǎn)分析php fatal log，但目前運(yùn)維使用最重要的還是zabbix＋自定義腳本來分析網(wǎng)站響應(yīng)時(shí)間的這套小系統(tǒng)。
3 你覺得還有什么好的辦法解決這樣的問題呢？
log分析的原則，我覺得有亮點(diǎn)，1是實(shí)時(shí)，2是數(shù)據(jù)可視化。newrelic的做法很值得借鑒，通過仔代碼中埋碼的方式收集數(shù)據(jù)，甚至可以將系統(tǒng)模塊與模塊之間的調(diào)用數(shù)據(jù)都可以抓到，對(duì)于分析系統(tǒng)性能很有幫助，但它是不能對(duì)log進(jìn)行匯總分析的，比如，不能實(shí)現(xiàn)老板的“給我計(jì)算一下上一個(gè)月各個(gè)國(guó)家的登錄用戶比例數(shù)據(jù)”這樣的需求， 相比后知后覺的elk等分析工具，這種先知先覺的方式也是一個(gè)比較好的思路。

ch00206503

首先安全做的就有問題。網(wǎng)頁現(xiàn)在都是HTML5開發(fā)了，然后root權(quán)限應(yīng)該限制遠(yuǎn)程登錄。SSH登錄應(yīng)該用普通權(quán)限

sz1228

回復(fù) 1# stay_sun


   

cgweb

問題1.
以前我們也遇到了樓主在討論問題已中遇到的SSH暴力破解問題，服務(wù)器被攻陷之后被植入后門程序，那是沒有防御系統(tǒng)，服務(wù)器最后被迫重置操作系統(tǒng)。

問題2.
我們使用OSSIM、Splunk等日志分析工具，后來認(rèn)識(shí)到單純的日志收集與分析還不夠。

問題3.
我想即使查詢到SSH暴力破解日志還不足以佐證攻擊過程，還需要和平日收集的各種基線數(shù)據(jù)做數(shù)據(jù)分析。所以要將企業(yè)網(wǎng)中所有資產(chǎn)（網(wǎng)絡(luò)設(shè)備、服務(wù)器）的日志，先預(yù)處理為統(tǒng)一格式的事件，然后對(duì)其進(jìn)行聚合以便關(guān)聯(lián)分析，除此還包括流量、數(shù)據(jù)包大小的、可用性，在統(tǒng)一的界面中監(jiān)控網(wǎng)絡(luò)中所有安全設(shè)備的實(shí)時(shí)運(yùn)行狀態(tài),集中分析和審計(jì)，并且能在集成平臺(tái)中完成更新升級(jí)、入侵事件的報(bào)警、響應(yīng)處理等功能。

cgweb

回復(fù) 10# sync_1521

和防火墻聯(lián)動(dòng)的思路非常不錯(cuò)，在實(shí)驗(yàn)室也能實(shí)現(xiàn)，但目前的技術(shù)，從實(shí)際應(yīng)用的效果看，還無法滿足大多數(shù)用戶的需求。

stay_sun

   求新書回復(fù) 36# cgweb


   

Jasecd

1 上述案例告訴我們，日志監(jiān)管真的很重要，你們遇到過什么問題？
日志監(jiān)管查問題是在elk系統(tǒng)被當(dāng)成ddos攻擊使了，查看es日志時(shí)看到的執(zhí)行shell命令，在此建議不要把elk系統(tǒng)放到公網(wǎng)，或者把默認(rèn)端口改成別的。
2 大家都在使用什么日志分析軟件？
elk使用過兩個(gè)版本的，es1.2跟es1.7。中間遇到過不少問題吧。從開始日志推送使用rsyslog到kafka。不過使用的對(duì)象只是針對(duì)網(wǎng)站日志的，范圍小了。但是使用過程中也暴露出了很大的問題，這套系統(tǒng)用lg正則去解析去拆分很吃內(nèi)存，像我們現(xiàn)在的這套系統(tǒng)：es搭建的集群，3個(gè)es的data服務(wù)器的內(nèi)存使用8G，本機(jī)需要16G�，F(xiàn)在能夠存儲(chǔ)的數(shù)據(jù)大小是650G左右，估計(jì)瓶頸值在1.2T
這套日志分析系統(tǒng)其實(shí)很是不錯(cuò)。在展示方面跟詳細(xì)拆分方面都甚是詳細(xì)，如果把采集方面盡量做好，任何問題都會(huì)一目了然。不管是運(yùn)維還是安全方面都是能夠勝任。
現(xiàn)在還可以使用報(bào)警功能等等。越來越強(qiáng)大了……
3 你覺得還有什么好的辦法解決這樣的問題呢？
內(nèi)存使用大這個(gè)問題，就是加硬件。

blackfriday13

學(xué)習(xí)學(xué)習(xí)，日志和日常監(jiān)控并重