Đang tải... (xem toàn văn)
Đây là một phần mềm đóng vai trò làm Syslog Server, Kiwi syslog được cài đặt trên môi trường Windows. Log của các Server (Windows Server, Linux Server, Host ESXi) có thể được config để forward log về Kiwi Syslog server để quản lý tập trung. Kiwi Syslog cũng có thể forward log tới một Syslog server khác.
Báo cáo giải pháp quản lý log Solarwind Về giải pháp quản lý Log, Solarwind có phần mềm : SolarWinds Log & Event Manager (LEM) Kiwi Syslog Server Đây sản phẩm tách biệt với phần mềm Solarwind sử dụng để monitoring PG Bank Kiwi Syslog Server a) Các tính Kiwi syslog : Đây phần mềm đóng vai trò làm Syslog Server, Kiwi syslog cài đặt môi trường Windows Log Server (Windows Server, Linux Server, Host ESXi) config để forward log Kiwi Syslog server để quản lý tập trung Kiwi Syslog forward log tới Syslog server khác - Có thể xem liệu syslog qua giao diện web - Giúp tìm kiếm log, hiển thị kết theo nhiều tiêu chí Filter - Log ghi vào CSDL (ODBC logging) - Tự động thực thi số action (vd gửi email cảnh báo) dựa alert - Kiwi syslog sử dụng miễn phí (với tính syslog server), với phiên có phí có thêm số tính : ghi log vào CSDL, Log File Rotation, hỗ trợ web access, hiển thị trường Hostname thay IP hình hiển thị log, b) Thử nghiệm cài đặt Kiwi syslog cài đặt thử nghiệm máy ảo Windows Server 2003 có cấu hình 02 vCPU Gb RAM : Name Server Syslog-srv.pgbank.com.vn IP 10.68.3.99 Thử nghiệm config Host Windows, Linux, ESXi forward log Kiwi syslog + Config cho Host Windows Server forward log Kiwi syslog : Trên Host Windows cần cài đặt thêm SolarWinds_LogForwarder Một số tham số cấu hình : + Config cho Host Linux Server : Sửa file hosts /etc/hosts 10.68.3.99 loghost 127.0.0.1 vdr.pgbank.com.vn vdr localhost ::1 vdr.pgbank.com.vn vdr localhost ip6-localhost ip6-loopback Sửa file syslog.conf /etc/syslog.conf # Log all kernel messages to the console # Logging much else clutters up the screen #kern.* /dev/console # Log anything (except mail) of level info or higher # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none @loghost # The authpriv file has restricted access authpriv.* /var/log/secure # Log all the mail messages in one place mail.* -/var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg * # Save news errors of level crit and higher in a special file uucp,news.crit /var/log/spooler # Save boot messages also to boot.log local7.* Restart lại syslog [root@vdr ~]# service syslog restart /var/log/boot.log + Config cho ESXi host : SolarWinds Log & Event Manager (LEM) a) Các tính LEM : LEM xem thiết bị mềm có tính an tồn cao làm tăng hiệu quản trị, quản lý, giám sát sách an ninh biện pháp bảo vệ mạng nội LEM lấy thông tin dựa Agent cài đặt server, thiết bị mạng sau gửi đến Virtual Appliance (Manager) View trình quản lý (Console) tất liệu nhận xử lý sách định nghĩa qua Manager Vitual Applicance (Manager): Thu thập xử lý nhật ký thơng tin kiện Desktop Software: Trình quản lý (Console) cài đặt máy quản trị để view thông tin từ Virtual Applicance nhận - - Đưa hình ảnh trực quan để phân tích Real-Time Log, nhận kiện bất thường hệ thống Tìm log liên quan đến vấn đề cách nhanh chóng Lập lịch đưa báo cáo thống kê kiện báo cáo tuân theo form chuẩn giới PCI DSS, GLBA, SOX, NERC CIP, or HIPAA Khi nhận cảnh báo gây ảnh hưởng đến hệ thống LEM thực hành động để cách ly thiết bị máy tính như: block IP, kill process, disabling account, khởi động lại service… Tự động detect ngăn thiết bị lưu trữ USB Khả nén liệu log lớn để tiết kiệm tối đa không gian lưu trữ với tỉ lệ 60:1 Lưu trữ Log đén database server (có option có Lisence) b) Thử nghiệm cài đặt: Các Port sử dụng triển khai hệ thống LEM: - LEM chạy Linux đươc đóng gói dạng file *.ova dạng template máy ảo để triển khai dẽ dàng hệ thống vmware Name Server IP VMWare Version CPU Speed Memory Hard Drive Space logsrv.pgbank.com.vn 10.68.8.9 vSphere or later GHz GB 250 GB - Khi cài đặt xong máy chủ có giao diện sau tiếp thực cấu hình hostname,ip cua LEM server - Cài đặt LEM Desktop: (Console quản trị LEM) Sau cài đặt đăng nhập vào LEM Console có giao diện bên dưới, Default Filter định nghĩa Rule sẵn có ứng dụng - Cài đặt LEM Agent: Trên server chạy windows, Linuxs, vmware hay audit database SQLserver có Agent riêng cài đặt để lấy Log gửi cho LEM server Agent Windows Agent LINUXs - Trong LEM manager có sẵn template cho phép người quản trị định nghĩa rule để monitor hệ thống Người quản trị cần làm nhiệm vụ kéo thả template vào đưa thơng số cần thiết để monitor Khi cài đặt xong Agent tự động LEM Desktop nhận các Node cài đặt - Khả lọc liệu cách đinh nghĩ kết muốn tìm việc muốn tìm xem xóa file server v v - Định nghĩa Rule để xác định User/Computer logon có thành cơng hay khơng vào server muốn monitor - Việc định nghĩa Rule/Filter có thẻ kết hợp nhiều nhóm điều kiện khác với quan hệ and/or nhóm điều kiện làm cho việc định nghĩa xác với đối tượng cần tìm hay giám sát -Đưa báo cáo khoảng thời gian cách nhanh chóng có nhiều loại báo cáo cho ta lựa chọn định nghĩa Ngồi lưu báo cáo Database server sử dụng SQL server Oracle Server 3 So sánh Kiwi LEM: - - - - Kiwi đơn dành cho việc ghi lại kiện bình thường.(Như kiểu EventViewer Windows) http://www.kiwisyslog.com/kiwi-syslog-server-overview/ LEM hỗ trợ lưu lại kiện ứng dụng, hệ thống mạng, server để thuận tiện việc theo dõi kiểm tra hỗ trợ 800 thiết bị Tạo tương quan tất ghi nhiều nguồn khác khả nén liệu cao Kiwi ó nhiệm vụ nhận,ghi,hiện chuyển tiếp log đến server khác LEM có tương quan nghĩa ghi cảnh báo liên quan phân tích chi tiết LEM tuân theo chuẩn báo cáo giới Kiwi khơng Kiwi khơng thể giải vấn đề gặp thông báo việc cô lập máy gây ảnh hưởng LEM thực lưu lại thời gian dài Về giá: Kiwi license tính theo tháng sử dụng 292$ 12 tháng, 395$ 24 tháng LEM license tính theo sơ Node sử dụng vòng năm 30 Node 4,495$, 60 Node 6,995$, 100 Node 12,495$ http://www.solarwinds.com/products/log-management/comprehensive-data-sourcesupport.aspx ... uucp,news.crit /var /log/ spooler # Save boot messages also to boot .log local7.* Restart lại syslog [root@vdr ~]# service syslog restart /var /log/ boot .log + Config cho ESXi host : SolarWinds Log & Event... *.info;mail.none;authpriv.none;cron.none @loghost # The authpriv file has restricted access authpriv.* /var /log/ secure # Log all the mail messages in one place mail.* -/var /log/ maillog # Log cron stuff cron.* /var /log/ cron #... hiệu quản trị, quản lý, giám sát sách an ninh biện pháp bảo vệ mạng nội LEM lấy thông tin dựa Agent cài đặt server, thiết bị mạng sau gửi đến Virtual Appliance (Manager) View trình quản lý (Console)