Zentralisiertes Logging und Oberfläche

tux18

Member
Hallo,

ich habe hier diverse Gerätschaften, die gerne per syslog Ihre Meldung abgeben würden.
Was ist denn zur Zeit "State-of-the-Art" für so einen Einsatzzweck? Oder was benutzt ihr zur Auswertung von Logs?

Sind hauptsächlich PDUs, USVs und so anderer Kleinkram.
 
Zu Logstash. Das ist keine Lösung, sondern nur ein kleiner Teil von einer Lösung. Logstash nimmt nur irgendwas (Datei, TCP Stream, UDP Stream, HTTP Endpunkt, XMPP Kontakt, Datenbank, etc.) und schickt es wohin ((Datei, TCP Stream, UDP Stream, HTTP Endpunkt, XMPP Kontakt, Datenbank. etc.) macht dazwischen vielleicht noch ein wenig Umwandlung und Text-Zerstückelung.

Das heißt damit kannst du was du in Syslog hast und es irgendwo anders hin senden. In den meisten Fällen ist das was, wie Elasticsearch, wo dann ein Kibana oder Grafana als Web Frontend verwendet wird. Damit hast du drei Teile zu einer Lösung wo du tatsächlich was siehst, ausgehend von Syslog.

Tipp: Überlege dir was du haben willst. Es kommt wirklich darauf an, was du machen willst. Wenn es dir um Logs und nicht um Metriken geht könnte es sein, dass ganz ein anderes Setup mehr Sinn macht. Die Unterscheidung ist wichtig, weil du Metriken anders aufbereiten und dann vor allem speichern willst, als Logs. Mal sehr pauschal gesagt: Geht's dir um Strings, also tatsächliche Logs, oder um Zahlwerte?

Wenn es generell nicht so viel ist, ist es aber kein Ding wenn du Metriken wie logs speicherst, nur wenn du einen Strom an Werten hast kann das einen gewaltigen Unterschied machen mit was du da rangehst.
 
Aktuell brauche ich einfach nur eine zentrale Anlaufstelle, wo die Netzwerkkomponenten Ihre Logs zusätzlich ablegen können.
Damit man im Fall X ggf. durch die Logs auf dem Syslog-Server recherchieren kann, was passiert ist.

Schön wäre es wirklich, wenn ich das System im nachhinein durch ein Grafana/Kibana besser analysieren oder auswerten könnte.

In naher Zukunft könnten dann auch Zahlen interessant werden, z.B. wie häufig gegen Policy X auf einer Firewall verstoßen wurde, oder ähnliches.
 
Für den Anwendungsfall wäre Graylog eine gute All-in-One Lösung (inkl. Analyse), die auch skalierbar ist.
Erfordert eine Elasticsearch-Instanz als Datenspeicher und MongoDB als Konfigurations-Backend, im Minimalsetup alles auf einer Maschine.

Gruß
 
Zurück
Oben