Tach Zusammen,

 

Das Leben ist voller Herausforderungen.

 

Manche davon sind existentiell wie z.B. die Frage „was koche ich am Samstag“, manche basieren auf variablen Konstrukten wie „welchen Wein trinke ich dazu“.

Manche sind schwierig. Ich meine wirklich schwierig:

 

Aber manche Herausforderungen werden ganz einfach mit den richtigen Werkzeugen.

Erinnert ihr euch noch an Diskussionen zum Echtzeit-Monitoring und asynchrone Benachrichtigungen über Syslog und Traps?

 

Mit eurer Hilfe haben wir ein paar Herausforderungen beim Verwalten von Protokoll-Logs identifiziert:

  • Fehlende Integration zum normalen Monitoring

Ich habe ständig Logs die eintreffen und auf der anderen Seite ein Gerät welches ich über SNMP beobachte. Ich muss die Daten verbinden können sonst bringt mir das gar nichts.

 

  • Steigende Anzahl an Log-Quellen

Eine Infrastruktur wächst im Laufe der Zeit und damit steigt naturgemäß die Anzahl an Elementen die zu überwachen sind

 

  • Steigende Anzahl an Logs

Manche dieser Quellen senden eine große Menge an Daten. Nicht jede Quelle erlaubt das Selektieren bestimmter Meldungen vor dem Versenden

 

  • Speicherort der Logs

Wo lege ich die Logs ab, wie lange behalte ich sie? Ich kann vorab kaum einschätzen welche Ressourcen benötigt werden.

 

  • Visualisierung der Logs

Das ist ein großer Punkt! Syslog und Trap sind Textzeilen die unter Umständen nur schwer zu deuten sind. Ich muss das in den Griff bekommen und will nicht extra ein Studium anfangen. Ich muss verstehen was passiert. Jetzt.

 

Dank eurem Feedback haben wir den Bedarf erkannt und uns entschieden: Ja, wie hören euch und das bekommen wir hin!

 

In den letzten Monaten waren unsere Entwicklungsteams ziemlich beschäftigt und haben schliesslich ein komplett neues (und unserer Meinung nach beeindruckendes) Produkt geliefert um eure Probleme mit Logs zu beseitigen.

Ich freue mich also euch eine Vorschau geben zu können auf…


<trommelwirbel>

Log Manager für Orion

</trommelwirbel>

 

Was genau ist das Ding jetzt, und warum sollte mich das interessieren?

 

Zuerst einmal haben wir es mit einem neuen Modul für die Orion® Plattform zu tun das entweder für sich selbst läuft oder im Verbund mit anderen Modulen.

Besonders sinnvoll natürlich mit SolarWinds® Network Performance Monitor (NPM)!

 

Aber Moment, sagt ihr jetzt, Log Verwaltung…das macht ihr doch schon…

 

Richtig! SolarWinds hat schon einige Produkte für das Sammeln von Logs und jetzt kommt noch eins um die Ecke!

Man kann schon fast sagen wir sind Logging-Experten!

 

Kiwi Syslog®, Log & Event Manager (LEM), Papertrail™, Loggly® – und jetzt „LM“.
Wo sind die Unterschiede?

 

Schauen wir einmal – Papertrail und Loggly sind SaaS Produkte und zielen primär auf DevOps.

LEM ist eine SIEM Lösung die komplexe Regeln erlaubt, automatisierte Aktionen steuern kann und dient den Aspekten Sicherheit und Konformität.

Kiwi® hat tatsächlich eine ähnliche Zielgruppe wie LM, aber wenn Kiwi der Einstieg in die zentrale Log-Verwaltung ist, ist LM der nächste Schritt in Richtung Korrelation, Visualisierung und natürlich der Integration in die Orion Plattform mit all den Vorteilen.

 

Genug geredet, lasst uns das Ding einmal anschauen!

 

Nach der normalen Installation gibt es einen neuen Reiter im Menü, fantastisch!

 

 

Damit wir Daten bekommen klickt bitte auf ein Gerät das Logs sendet und auf „Edit Node/Knoten bearbeiten“ und scrollt ein wenig herunter:

 

 

Nach dem Eintreffen der ersten Logs finden wir einen neuen Button in der Management-Box:

 

Ich wähle aber den Einstieg über Dashboards --> Logs --> Log Viewer.
Wenn wir drauf klicken sieht es erstmal ein wenig aus wie der Performance Analyzer innerhalb der Plattform:

 

 

Oben haben wir die eingegangenen Logs der letzten 10 Minuten. Ich klicke auf die 10 Minuten und sehe:

 

Nett, wie beim PerfStack!
Natürlich kann ich in der Zeitachse oben auch mit der Maus dynamisch einen Zeitraum auswählen.

 

Links finde ich einen Filter:

 

Im Moment ist nichts ausgewählt also sehen wir alle Nachrichten und diese natürlich in der Mitte.
Ganz unten die Anzahl an Events die im ausgewählten Zeitraum eingetroffen sind:



Klicken wir mal auf irgendeine Nachricht und sehen ein neues Element ganz rechts:

 

 

Ein paar Dinge sollten ins Auge fallen – wir sehen direkt das aktive Filtering welches Elemente als Login und in Grün klassifiziert:

 

Das funktioniert durch Regeln. Die finden wir rechts oben:

 

Aufgepasst. Links kann man zwischen vordefinierten und eigenen Regeln wählen:

 

Basteln wir uns einmal eine Regel?

Klickt auf „my custom…“ und dann auf „Create new rule“ um den Assistenten zu starten:

 

Ich habe verschiedene Bedingungen zur Auswahl – schaut euch das bei einem Livesystem einmal in Ruhe an, hier nur ein Beispiel:

 

 

 

Der nächste Schritt:

 

 

Zur Auswahl stehen uns schon ein paar Aktionen:

 

 

Taggen wir einmal!

 

Wir sehen eine Vorauswahl die um unsere eigenen Tags ergänzt werden kann:

 

Das Verändern oder Löschen von bestehenden Tags ist im Moment noch nicht über die Benutzeroberfläche möglich, kann aber über die Datenbank erledigt werden.

 

Alternativ können wir als Aktion auch Executables und Scripts ausführen und ein paar Variablen als Schalter übergeben:

 

 

Gehen wir noch einmal auf die Übersicht zurück. Rechts oben neben den Regeln ist noch ein Knopf:

 

Jetzt werden die Events in Echtzeit angezeigt wenn sie hereinkommen und die Zeitachse oben ist dynamisch.

 

Es gibt auch eine Such-Box:

 

Wonach Suchen…im Grunde genommen kann ich nach allen Dingen suchen die in Logs auftauchen wie vielleicht IP Adressen, Zeit/Datum oder beliebigen Inhalten. Ich bin gerade so unkreativ und suche nur nach dem Port:

 

Die Suche funktioniert sowohl mit historischen- wie auch mit Echtzeit-Daten als adhoc Filter, und auch Geräteübergreifend. Das ist ziemlich praktisch. Trotzdem kommen mir jetzt Selbstzweifel. Schreibt man Geräteübergreifend oder geräteübergreifend? Was auch immer!

 

Natürlich haben wir auch eine neue Position bei den Einstellungen:

 

 

Dort finden wir folgendes:

 

Die beiden „Show“ Positionen sind Berichte. Das macht mich neugierig.



Es gibt auch ein paar neue DB-Einträge für eigene Berichte:

 

 

Aber Moment – da kommt noch was!

 

 

Hier ist noch einmal ein Screenshot von der alten Liste von Syslogs innerhalb der Plattform. Keine Filter, keine Intelligenz, nur ein paar Zeilen Text!

 

 

Das hat sich nun geringfügig geändert

 

 

Das sollte reichen für eine Vorschau zum neuen Produkt. Nagut, noch eine Sache.

 

LM benötigt seine eigene Datenbank basierend auf 2016SP1 oder neuer.
Deswegen gibt es beim Installationsprozess auch eine neue Abfrage:

 

Wichtig: Wir empfehlen die SQL Volltext-Suche zu aktivieren.

 

 

Jetzt aber!
Bleibt nur noch die Frage, was am Samstag zu kochen.
Mein Vorschlag:
Pasta mit Salsiccia, Pistazien-Pesto und viel Parmesan.

Dazu passt hervorragend ein Glas Primitivo!

 

 

Macht’s gut!