Würden Sie Splunk verwenden?

Ich schaue mir das Video unter http://www.splunk.com an und als jemand, der neu im IT-Management ist, scheint dies eine großartige Lösung zu sein, um mir den Einstieg zu erleichtern. Aber ich habe Bedenken. Ich bin gerade von cPanel umgezogen und möchte nicht auf ein anderes schweres, überlastetes System angewiesen sein. Ich frage mich, ob einer von euch es benutzt, wenn ja, was magst du daran oder nicht?

Ich bin wirklich auf der Suche nach einer Lösung, mit der ich Serverprotokolle sortieren und diagnostizieren kann, wenn der Server angegriffen wird. Splunk scheint eine sehr gute Lösung zu sein, aber gibt es eine bessere, vorzugsweise kostenlose?

Installieren Sie das Logcheck-Paket. Es scannt die Protokolle einmal pro Stunde und sendet Ihnen eine E-Mail, wenn dies nicht normal ist. Im Wesentlichen werden alle E-Mails gesendet, die in der letzten Stunde in die Protokolle eingegeben wurden, und es gibt keine Regel zum Ignorieren. Es gibt zusätzliche Angriffsregeln als Dinge, die nicht im Protokoll enthalten sein sollten. Die Betreffzeile der E-Mail hängt vom Grund ab, aus dem die Dinge abgeholt wurden.

Ich erstelle im Allgemeinen eine lokale Ignorierdatei dafür, wenn ich Dinge entdecke, die ich für normal halte, aber keine vorhandenen Ignorierregeln habe.

Die verschiedenen Syslog-Alternativen unterstützen alle die Serverkonsolidierung, sodass Sie die Protokolle an einen einzelnen Server weiterleiten können. Ich habe es mir jedoch nicht angewöhnt. Das einzige System, von dem ich mich abmelde, ist meine OpenWRT-Firewall.

BEARBEITEN: Ich verwende Splunk bei der Arbeit, um Protokolldateien zu durchsuchen. Wenn ich jedoch das gesuchte Protokoll kenne, verwende ich mit größerer Wahrscheinlichkeit weniger. Es verfügt über Warnfunktionen, die wir jedoch nicht verwenden. Ich gehe davon aus, dass sie bei einem Match auf einen bekannten Rekord aufmerksam werden. Dies kann zu vielen falschen Negativen führen, wenn Sie ohne Alarmregel neue Probleme haben. Ich bevorzuge Fehlalarme, wie ich sie vom Logcheck bekomme. Splunk hat möglicherweise eine bessere Aktualität bei Warnungen.

Ich erhalte von fail2ban rechtzeitig Benachrichtigungen zu Fällen, die dazu führen, dass es ausgelöst wird. Außerdem werden Blacklist-Einträge für die Ursprungsquelle verwaltet.

Eine andere Sache hinzuzufügen. Unser Unternehmen hat kürzlich den Kauf von Splunk geprüft. Wir hatten definitiv mehr als 500 MB Protokolle zu analysieren und stellten fest, dass das Lizenzmodell unglaublich teuer war. Splunk hat ihre zunehmende Beliebtheit genutzt und ihre Preise im Laufe der Jahre langsam erhöht. Als wir es uns vor 2 Jahren zum ersten Mal angesehen haben, war das Limit für kostenlos 1 GB und die Lizenzgebühren waren halb so hoch wie jetzt.

Splunk ist ein fantastisches Tool, aber zum aktuellen Preis würde ich meiner Meinung nach über Alternativen nachdenken.

Splunk gehört nicht wirklich zur selben Softwarekategorie wie cPanel. Soweit ich mich erinnere, ist cPanel ein webbasiertes Systemverwaltungspaket. Splunk ist ein Datenanalyse- und Alarmierungswerkzeug.

Das heißt, laut unserer Website:

"Laden Sie Splunk kostenlos herunter. Sie erhalten 60 Tage lang alle Enterprise-Funktionen von Splunk und können bis zu 500 Megabyte Daten pro Tag indizieren. Nach 60 Tagen oder jederzeit zuvor können Sie in eine unbefristete kostenlose Lizenz konvertieren oder erwerben Sie eine Enterprise-Lizenz, um die erweiterte Funktionalität für Enterprise-Bereitstellungen für mehrere Benutzer weiterhin nutzen zu können. "

Es genügt zu sagen, dass Sie Splunk für die meisten durchschnittlichen Systemprotokolldatensätze kostenlos herunterladen und verwenden können.

Bei der Diagnose, wann Ihr Server angegriffen wird, würde Splunk Ihre Anforderungen erfüllen. Schauen Sie sich meinen Blog-Beitrag von heute an, in dem ich Ihnen zeige, wie Sie iPhone-Benachrichtigungen einrichten, wenn jemand versucht, sich mit ungültigen Anmeldeinformationen bei Ihrem Server anzumelden.

http://blogs.splunk.com/2010/08/16/how-to-use-notifo-to-receive-splunk-alerts-on-your-iphone/

Sie können mich gerne zurückrufen, wenn Sie weitere Fragen haben oder eine erweiterte Demonstrationslizenz für unser Produkt wünschen.

Ich verwende und empfehle http://papertrailapp.com für Remote-Syslog. Nachdem Sie Ihre Warnungen und Suchfilter erstellt haben, ist es erstaunlich und kostengünstig!

Wir verwenden Splunk für solche Dinge ... Windows- und Linux-Hosts leiten ihre Protokolle alle an Splunk weiter und es gibt einige "gespeicherte Suchvorgänge" in Splunk, die Warnungen generieren. Ermöglicht das Erkennen von Dingen wie "mehr als X fehlgeschlagene Anmeldungen in den letzten 30 Minuten" über alle Benutzernamen und Systeme hinweg (die gespeicherte Suche ist jedoch komplex, um Fenster, Linux-Systeme und verschiedene Anwendungen zu erfassen ...). Es eignet sich auch hervorragend zum Durchsuchen von Protokollen.

Splunk kann für einen ausreichend kleinen Datensatz kostenlos sein.

Sie müssen den Server entsprechend skalieren, basierend darauf, wie viele Daten Sie pro Tag an Splunk senden, wie viel Sie behalten möchten und wie viel Sie suchen werden. Sonst kann es stecken bleiben.

Vor Splunk verwendeten wir SEC auf einem Syslog-Server, auf den alle Protokolle weitergeleitet wurden. Es ist viel schwieriger, gespeicherte Suchanfragen zu schreiben, und es ersetzt Grep nicht wirklich, wenn nachträglich nach Dingen gesucht wird. Trotzdem ziemlich anständig.