Temat: Analiza logów systemowych

Witam,
Jestem ciekaw jakie narzędzia waszym zdaniem najlepiej nadają się do analizy logów systemowych. Oczywiście oprócz własnych skryptów ;) Niestety jest ich na tyle sporo dostępnych na rynku że przeglądnięcie jest czasochłonne ;)
Chętnie skorzystam z czyjegoś doświadczenia.

Pozdrawiam.

Temat: Analiza logów systemowych

jak pracujesz na konsoli windowsowej np. laptop to jest coś takiego: Log Parser 2.2
fajną cechą tego narzędzia jest swego rodzaju SQL do selekcjonowania, przetwarzania informacji

niech cie nie zmyli fakt że to produkt MS, doskonale nadaje się do analizowania dowolnych plików, przykład poniżej

http://linuxlore.blogspot.com/2006/11/howto-use-micros...

Temat: Analiza logów systemowych

Ja używam logcheck ( jest w debianowych paczkach ), działa na zasadzie że jest katalog z plikami w którym są regexpy "co ignorować" (sporo predefiniowanych), a to co nie pasuje do tych wzorców śle na maila co (domyślnie chyba 2 ) parę godzin.

Temat: Analiza logów systemowych

splunk i tylko splunk (http://splunk.com) zarowno do zastosowan w niewielkich sieciach jak i w wielkich rozbudowanych systemach logujacych z tysiacami hostow. Splunk pozwala w latwy sposob analizowac incydenty, laczyc z pozoru rozne nie majace nic wspolego ze soba zdarzenia. Niestety dobre narzedzia nie sa darmowe ...

pozdr
m.

--
kazdy ma swoj NNL http://nnl.pl

Temat: Analiza logów systemowych

Marcin P.:
splunk i tylko splunk (http://splunk.com) zarowno do zastosowan w niewielkich sieciach jak i w wielkich rozbudowanych systemach logujacych z tysiacami hostow. Splunk pozwala w latwy sposob analizowac incydenty, laczyc z pozoru rozne nie majace nic wspolego ze soba zdarzenia. Niestety dobre narzedzia nie sa darmowe ...

Czy mógłbyś podzielić się doświadczeniami z pracy ze splunkiem? Z jakich dodatków do surowego splunka korzystasz? Jak często zdarza Ci się dopisywać coś samodzielnie?

Ogólnie splunk to log management, a nie rozwiązanie typu SIEM, ale tak jak Ty uważam, że można za jego pomocą korelować ze sobą zdarzenia z różnych systemów/aplikacji by dostrzec coś ważnego.

Temat: Analiza logów systemowych

Przemysław S.:

Marcin P.:
splunk i tylko splunk (http://splunk.com) zarowno do zastosowan w niewielkich sieciach jak i w wielkich rozbudowanych systemach logujacych z tysiacami hostow. Splunk pozwala w latwy sposob analizowac incydenty, laczyc z pozoru rozne nie majace nic wspolego ze soba zdarzenia. Niestety dobre narzedzia nie sa darmowe ...

Czy mógłbyś podzielić się doświadczeniami z pracy ze splunkiem? Z jakich dodatków do surowego splunka korzystasz? Jak często zdarza Ci się dopisywać coś samodzielnie?

Wątek trochę przystarawy, ale odpowiem dla potomności.
Z racji specyfiki korzystamy z aplikacji *nix oraz PCI DSS. Sprawdza się to doskonale, żadne narzędzie nie ma nawet ułamka możliwości Splunka, jeśli chodzi o analizę zdarzeń systemowych.
Zdarza się dopisywać reguły parsowania dla własnych loggerów - większość formatów jest już dostępna

Ogólnie splunk to log management, a nie rozwiązanie typu SIEM, ale tak jak Ty uważam, że można za jego pomocą korelować ze sobą zdarzenia z różnych systemów/aplikacji by dostrzec coś ważnego.

Splunk doskonale sprawdza się jako SIEM, są do tego nawet aplikacje (niestety większość płatna).

Temat: Analiza logów systemowych

Tomasz N.:

Przemysław S.:

Marcin P.:
splunk i tylko splunk (http://splunk.com) zarowno do zastosowan w niewielkich sieciach jak i w wielkich rozbudowanych systemach logujacych z tysiacami hostow. Splunk pozwala w latwy sposob analizowac incydenty, laczyc z pozoru rozne nie majace nic wspolego ze soba zdarzenia. Niestety dobre narzedzia nie sa darmowe ...

Czy mógłbyś podzielić się doświadczeniami z pracy ze splunkiem? Z jakich dodatków do surowego splunka korzystasz? Jak często zdarza Ci się dopisywać coś samodzielnie?

Wątek trochę przystarawy, ale odpowiem dla potomności.
Z racji specyfiki korzystamy z aplikacji *nix oraz PCI DSS. Sprawdza się to doskonale, żadne narzędzie nie ma nawet ułamka możliwości Splunka, jeśli chodzi o analizę zdarzeń systemowych.
Zdarza się dopisywać reguły parsowania dla własnych loggerów - większość formatów jest już dostępna

Ogólnie splunk to log management, a nie rozwiązanie typu SIEM, ale tak jak Ty uważam, że można za jego pomocą korelować ze sobą zdarzenia z różnych systemów/aplikacji by dostrzec coś ważnego.

Splunk doskonale sprawdza się jako SIEM, są do tego nawet aplikacje (niestety większość płatna).

Tomku, ponieważ w Polsce zaczyna pojawiać się Splunk w wielu miejscach proponuję nawiązanie kontaktu w celu wymiany doświadczeń. Mam kilka pomysłów, które wspólnie można zrealizować (np. z pomocą pierwszego w kraju partnera Splunka) co mam nadzieję wyjdzie wszystkim na dobre.

Jak mogę się z Tobą skontaktować? - czy słowo kluczowe 'Zen' to dobry drogowskaz by do Ciebie dotrzeć? :)

Pozdrawiam!

Temat: Analiza logów systemowych

Przemysław S.:

Tomku, ponieważ w Polsce zaczyna pojawiać się Splunk w wielu miejscach proponuję nawiązanie kontaktu w celu wymiany doświadczeń. Mam kilka pomysłów, które wspólnie można zrealizować (np. z pomocą pierwszego w kraju partnera Splunka) co mam nadzieję wyjdzie wszystkim na dobre.

Nie jestem pierwszym partnerem ;) Jest jeszcze 2 innych, ale chyba nie bardzo się ujawniają. Nie wiem też, jakie mają doświadczenie ze Splunkiem i z kim pracują.

Jak mogę się z Tobą skontaktować? - czy słowo kluczowe 'Zen' to dobry drogowskaz by do Ciebie dotrzeć? :)

Myślę, że najlepszy ;) jabber, mail: tomasz@napierala.org