Zentralisiertes Logging und Oberfläche
- Ersteller tux18
- Erstellt am
foxit
Well-Known Member
Der "State-of-the-Art" Ansatz wird wohl etwas mit Graylog [1] oder Logstash [2] sein.
[1] https://www.graylog.org/
[2] https://www.elastic.co/products/logstash
[1] https://www.graylog.org/
[2] https://www.elastic.co/products/logstash
Zu Logstash. Das ist keine Lösung, sondern nur ein kleiner Teil von einer Lösung. Logstash nimmt nur irgendwas (Datei, TCP Stream, UDP Stream, HTTP Endpunkt, XMPP Kontakt, Datenbank, etc.) und schickt es wohin ((Datei, TCP Stream, UDP Stream, HTTP Endpunkt, XMPP Kontakt, Datenbank. etc.) macht dazwischen vielleicht noch ein wenig Umwandlung und Text-Zerstückelung.
Das heißt damit kannst du was du in Syslog hast und es irgendwo anders hin senden. In den meisten Fällen ist das was, wie Elasticsearch, wo dann ein Kibana oder Grafana als Web Frontend verwendet wird. Damit hast du drei Teile zu einer Lösung wo du tatsächlich was siehst, ausgehend von Syslog.
Tipp: Überlege dir was du haben willst. Es kommt wirklich darauf an, was du machen willst. Wenn es dir um Logs und nicht um Metriken geht könnte es sein, dass ganz ein anderes Setup mehr Sinn macht. Die Unterscheidung ist wichtig, weil du Metriken anders aufbereiten und dann vor allem speichern willst, als Logs. Mal sehr pauschal gesagt: Geht's dir um Strings, also tatsächliche Logs, oder um Zahlwerte?
Wenn es generell nicht so viel ist, ist es aber kein Ding wenn du Metriken wie logs speicherst, nur wenn du einen Strom an Werten hast kann das einen gewaltigen Unterschied machen mit was du da rangehst.
Das heißt damit kannst du was du in Syslog hast und es irgendwo anders hin senden. In den meisten Fällen ist das was, wie Elasticsearch, wo dann ein Kibana oder Grafana als Web Frontend verwendet wird. Damit hast du drei Teile zu einer Lösung wo du tatsächlich was siehst, ausgehend von Syslog.
Tipp: Überlege dir was du haben willst. Es kommt wirklich darauf an, was du machen willst. Wenn es dir um Logs und nicht um Metriken geht könnte es sein, dass ganz ein anderes Setup mehr Sinn macht. Die Unterscheidung ist wichtig, weil du Metriken anders aufbereiten und dann vor allem speichern willst, als Logs. Mal sehr pauschal gesagt: Geht's dir um Strings, also tatsächliche Logs, oder um Zahlwerte?
Wenn es generell nicht so viel ist, ist es aber kein Ding wenn du Metriken wie logs speicherst, nur wenn du einen Strom an Werten hast kann das einen gewaltigen Unterschied machen mit was du da rangehst.
Aktuell brauche ich einfach nur eine zentrale Anlaufstelle, wo die Netzwerkkomponenten Ihre Logs zusätzlich ablegen können.
Damit man im Fall X ggf. durch die Logs auf dem Syslog-Server recherchieren kann, was passiert ist.
Schön wäre es wirklich, wenn ich das System im nachhinein durch ein Grafana/Kibana besser analysieren oder auswerten könnte.
In naher Zukunft könnten dann auch Zahlen interessant werden, z.B. wie häufig gegen Policy X auf einer Firewall verstoßen wurde, oder ähnliches.
Damit man im Fall X ggf. durch die Logs auf dem Syslog-Server recherchieren kann, was passiert ist.
Schön wäre es wirklich, wenn ich das System im nachhinein durch ein Grafana/Kibana besser analysieren oder auswerten könnte.
In naher Zukunft könnten dann auch Zahlen interessant werden, z.B. wie häufig gegen Policy X auf einer Firewall verstoßen wurde, oder ähnliches.