cancel
Showing results for 
Search instead for 
Did you mean: 
Create Post

Log Analyzer

(Updated für Version 2.1)

Tach Zusammen,

Das Leben ist voller Herausforderungen.

Manche davon sind existentiell wie z.B. die Frage „was koche ich am Samstag“, manche basieren auf variablen Konstrukten wie „welchen Wein trinke ich dazu“.

Manche sind schwierig. Ich meine wirklich schwierig:

01.jpg

Aber manche Herausforderungen werden ganz einfach mit den richtigen Werkzeugen.

Erinnert ihr euch noch an Diskussionen zum Echtzeit-Monitoring und asynchrone Benachrichtigungen über Syslog und Traps?

Mit eurer Hilfe haben wir ein paar Herausforderungen beim Verwalten von Protokoll-Logs identifiziert:

  • Fehlende Integration zum normalen Monitoring

Ich habe ständig Logs die eintreffen und auf der anderen Seite ein Gerät welches ich über SNMP beobachte. Ich muss die Daten verbinden können sonst bringt mir das gar nichts.

  • Steigende Anzahl an Log-Quellen

Eine Infrastruktur wächst im Laufe der Zeit und damit steigt naturgemäß die Anzahl an Elementen die zu überwachen sind

  • Steigende Anzahl an Logs

Manche dieser Quellen senden eine große Menge an Daten. Nicht jede Quelle erlaubt das Selektieren bestimmter Meldungen vor dem Versenden

  • Speicherort der Logs

Wo lege ich die Logs ab, wie lange behalte ich sie? Ich kann vorab kaum einschätzen welche Ressourcen benötigt werden.

  • Visualisierung der Logs

Das ist ein großer Punkt! Syslog und Trap sind Textzeilen die unter Umständen nur schwer zu deuten sind. Ich muss das in den Griff bekommen und will nicht extra ein Studium anfangen. Ich muss verstehen was passiert. Jetzt.

Dank eurem Feedback haben wir den Bedarf erkannt und uns entschieden: Ja, wie hören euch und das bekommen wir hin!

In den letzten Monaten waren unsere Entwicklungsteams ziemlich beschäftigt und haben schliesslich ein komplett neues (und unserer Meinung nach beeindruckendes) Produkt geliefert um eure Probleme mit Logs zu beseitigen.

Ich freue mich also euch eine Vorschau geben zu können auf…


<trommelwirbel>

Log Analyzer

</trommelwirbel>

Was genau ist das Ding jetzt, und warum sollte mich das interessieren?

Zuerst einmal haben wir es mit einem neuen Modul für die Orion® Plattform zu tun das entweder für sich selbst läuft oder im Verbund mit anderen Modulen.

Besonders sinnvoll natürlich mit SolarWinds® Network Performance Monitor (NPM)!

Aber Moment, sagt ihr jetzt, Log Verwaltung…das macht ihr doch schon…

Richtig! SolarWinds hat schon einige Produkte für das Sammeln von Logs und jetzt kommt noch eins um die Ecke!

Man kann schon fast sagen wir sind Logging-Experten!

Kiwi Syslog®, Log & Event Manager (LEM/SEM), Papertrail™, Loggly® – und jetzt „LA“.
Wo sind die Unterschiede?

Schauen wir einmal – Papertrail und Loggly sind SaaS Produkte und zielen primär auf DevOps.

LEM/SEM ist eine SIEM Lösung die komplexe Regeln erlaubt, automatisierte Aktionen steuern kann und dient den Aspekten Sicherheit und Konformität.

Kiwi® hat tatsächlich eine ähnliche Zielgruppe wie LA, aber wenn Kiwi der Einstieg in die zentrale Log-Verwaltung ist, ist LA der nächste Schritt in Richtung Korrelation, Visualisierung und natürlich der Integration in die Orion Plattform mit all den Vorteilen.

Genug geredet, lasst uns das Ding einmal anschauen!

Nach der normalen Installation gibt es einen neuen Reiter im Menü, fantastisch!

02.png

Damit wir Daten bekommen klickt bitte auf ein Gerät das Logs sendet und auf „Edit Node/Knoten bearbeiten“ und scrollt ein wenig herunter:

03.png

Aufgepasst: Bei Syslog Knoten muss natürlich am Gerät selbst Syslog erzeugt werden. LA ist kompatibel mit normalem Syslog und TLS über TCP.

Bei einer Windows Maschine wird der Orion-Agent benoetigt.

In beiden Fällen muss der Knopf da oben ausgewählt werden.


Nach dem Eintreffen der ersten Logs finden wir einen neuen Button in der Management-Box:

04.png

Ich wähle aber den Einstieg über Dashboards --> Logs --> Log Viewer.
Wenn wir drauf klicken sieht es erstmal ein wenig aus wie der Performance Analyzer innerhalb der Plattform:

05.png

Oben haben wir die eingegangenen Logs der letzten 10 Minuten. Ich klicke auf die 10 Minuten und sehe:

06.png

Nett, wie beim PerfStack! Doch dazu später mehr.
Natürlich kann ich in der Zeitachse oben auch mit der Maus dynamisch einen Zeitraum auswählen.

Links finde ich einen Filter:

07.png

Im Moment ist nichts ausgewählt also sehen wir alle Nachrichten und diese natürlich in der Mitte.
Ganz unten die Anzahl an Events die im ausgewählten Zeitraum eingetroffen sind:

08.png

Klicken wir mal auf irgendeine Nachricht und sehen ein neues Element ganz rechts:

09.png

Ein paar Dinge sollten ins Auge fallen – wir sehen direkt das aktive Filtering welches Elemente als Login und in Grün klassifiziert:

10.png

Das funktioniert durch Regeln. Die finden wir rechts oben:

11.png

Aufgepasst. Links kann man zwischen vordefinierten und eigenen Regeln wählen:

12.png

Basteln wir uns einmal eine Regel?

Klickt auf „my custom…“ und dann auf „Create new rule“ um den Assistenten zu starten:

13.png

Ich habe verschiedene Bedingungen zur Auswahl – schaut euch das bei einem Livesystem einmal in Ruhe an, hier nur ein Beispiel:

14.png

Der nächste Schritt:

15.png

Zur Auswahl stehen uns schon ein paar Aktionen:

16.png

Taggen wir einmal!

17.png

Wir sehen eine Vorauswahl die um unsere eigenen Tags ergänzt werden kann:

18.png

Das Verändern oder Löschen von bestehenden Tags ist im Moment noch nicht über die Benutzeroberfläche möglich, kann aber über die Datenbank erledigt werden.

Alternativ können wir als Aktion auch Executables und Scripts ausführen und ein paar Variablen als Schalter übergeben:

19.png

Selbstverständlich kann ein Logevent auch einen Orion-Alarm auslösen:

pastedImage_1.png

Um die Bedienung innerhalb von LA so simpel wie möglich zu gestalten, wird der Alarm an dieser Stelle einfach weitergereicht und kann dann mit dem Advanced Alert Manager der Platttform weiterverarbeitet werden.

Windows Events sind übrigens schon vorgefiltert und mit Tags ausgestattet:

pastedImage_6.png

Gehen wir noch einmal auf die Übersicht zurück. Rechts oben neben den Regeln ist noch ein Knopf:

20.png

Jetzt werden die Events in Echtzeit angezeigt wenn sie hereinkommen und die Zeitachse oben ist dynamisch.

Es gibt auch eine Such-Box:

21.png

Wonach Suchen…im Grunde genommen kann ich nach allen Dingen suchen die in Logs auftauchen wie vielleicht IP Adressen, Zeit/Datum oder beliebigen Inhalten. Ich bin gerade so unkreativ und suche nur nach der IP meines NAS:

pastedImage_3.png

Die Suche funktioniert sowohl mit historischen- wie auch mit Echtzeit-Daten als adhoc Filter, und auch Geräteübergreifend. Das ist ziemlich praktisch. Trotzdem kommen mir jetzt Selbstzweifel. Schreibt man Geräteübergreifend oder geräteübergreifend? Was auch immer!

Natürlich haben wir auch eine neue Position bei den Einstellungen:

23.png

Dort finden wir folgendes:

24.png

Die beiden „Show“ Positionen sind Berichte. Das macht mich neugierig.

25.png

Es gibt auch ein paar neue DB-Einträge für eigene Berichte:

26.png

Aber Moment – da kommt noch was! Ich hatte den PerfStack erwähnt. Hier sehen wir SNMP Daten (von NPM) und Syslog beides in Echtzeit(!) nebeneinander.

Das ist High-End, oder?

pastedImage_10.png

Hier ist noch einmal ein Screenshot von der alten Liste von Syslogs innerhalb der Plattform. Keine Filter, keine Intelligenz, nur ein paar Zeilen Text!

28.png

Das hat sich nun geringfügig geändert

29.png

Hier ist eine Liste mit Funktionen vom alten und neuen Syslog-Empfaenger innerhalb Orion, und LA oben drauf:

LA feature comparison

Das sollte reichen für eine Vorschau zum Produkt. Nagut, noch eine Sache.

LA benötigt seine eigene Datenbank basierend auf 2016SP1 oder neuer.
Deswegen gibt es beim Installationsprozess auch eine neue Abfrage:

30.png

Wichtig: Wir empfehlen die SQL Volltext-Suche zu aktivieren.

Jetzt aber!
Bleibt nur noch die Frage, was am Samstag zu kochen.
Mein Vorschlag:
Pasta mit Salsiccia, Pistazien-Pesto und viel Parmesan.

31.png

Dazu passt hervorragend ein Glas Primitivo!

Macht’s gut!

Tags (1)
0 Kudos
Reply