Willkommen im #Neuland
Login wie bei quake.ingame.de zuvor, die Passwörter aus der alten Datenbank wurden aber gelöscht - einmal hier neu anfordern.
Wer seine E-Mail-Adresse nicht mehr hat oder kennt, bitte eine Nachricht mit Infos schicken o. im Discord melden.

PQ Discord Server: #planetquake                                                                                                                                         Spenden? Hier entlang!

Zentrales Logging

Netzwerk- und Internettechnik, Lan-Partys, IRC, Eggdrops uvm.
Antworten
sl1zer
Rampage
Rampage
Beiträge: 14860
Registriert: Dez 2001

Zentrales Logging

Beitrag von sl1zer »

Hi, und zwar:

Ich habe einfach mal dieses Unterforum genommen, weil es dem ganzen vermutlich am nächsten kommt.

Ich habe nun die Aufgabe ein zentrales Logging in meinem Unternehmen zu realisieren und habe mich damit erst kurz beschäftigt.
Wir haben ca. 80 VMs am laufen sowie einige andere Rechner plus natürlich die Rechner der Mitarbeiter.

Ich will nun erstmal ins Blaue fragen ob hier jemand zentrales Logging in der Firma verwendet und welche Kombination aus Produkten dort verwendet werden.

Plan ist es alle Logs auf einer Linux-VM mit angeschlossener Datenbank zu aggregieren.

Im ersten Moment wirkt das alles relativ undurchsichtig für mich mit all den Lösungen, die angeboten werden, Vor- und Nachteile lassen sich mMn nur schwer ausklabustern.


Für generelle Tipps bin ich erzlichst dankbar.


Mit viel Liebe
Bild
Tell me was it all worth it, to watch your kingdom grow?
All the anchors in the ocean never sunk this low!
fame
Combo
Combo
Beiträge: 13842
Registriert: Okt 2000
Wohnort: LK Rosenheim

Beitrag von fame »

Erinner mich heute Abend noch einmal hier im Thread. Arbeite set 3 Jahren im Bereich Log Management/SIEM.

Muss es eine umsonst Lösung sein oder darf es auch was kosten?
RDX hat geschrieben:Halt einfach mal deine verfickte Fresse du Spast, OK? Wenn es dir Spass macht nach dem Essen einen grummelnden Magen zu haben (noch dazu nachdem du etwas gegessen hast was dir absolut nicht schmeckt) um dann irgendwann furzend auf's Klo zu spazieren und richtig ordentlichen Weichschiss zu hinterlassen wonach du deinen Arsch etwa 12 mal abwischen musst, dann viel Spass damit.
Wenn nicht, dann halt's Maul und lass mich in Ruhe.
sl1zer
Rampage
Rampage
Beiträge: 14860
Registriert: Dez 2001

Beitrag von sl1zer »

Prinzipiell kann es auch eine kostenpflichtige Lösung sein, da mein Unternehmen aber nicht sonderlich groß ist (wie gesagt, es laufen ca. 80 VMs + andere Server) denke ich, dass das auch mit Open Source zu lösen sein sollte.

Nach erstem Einlesen erscheint mir die Kombination "ElasticSearch / Logstash / Kibana" als solide Lösung.
Bild
Tell me was it all worth it, to watch your kingdom grow?
All the anchors in the ocean never sunk this low!
fame
Combo
Combo
Beiträge: 13842
Registriert: Okt 2000
Wohnort: LK Rosenheim

Beitrag von fame »

Naja Open Source zahlst du halt mit deiner eigenen Arbeit. Ich kenne eure Ressourcen nicht. (wenn den Rest mein Chef liest bin ich tot :ugly: ) Bei einer kommerziellen Lösung hast du halt den großen Vorteil dass es a) mehr out of the box kann, b) du einen richtigen Support hast und c) es i. d. R. eine deutlich bessere Dokumentation usw. gibt.

Ich nehme mal an der Fokus ist aktuell ganz klar auf den Bereich "Operation" und nicht "Security", korrekt? Hast du schon einmal Splunk ausprobiert? Ist für den Einsatzzweck nicht verkehrt und im Bereich Log Management aktuell schon ne Bank. Gibt ne Free Trial mit 500mb / Tag an Logvolumen. Nach 60 Tagen werden dann die Funktionen beschnitten. Die bieten seit kurzem auch eine "Splunk Light" an, was für euch vermutlich erst einmal reichen würde und billiger ist als die Enterprise Variante. Dann würdest du auch sehen was ihr in etwa für ein Logvolumen habt. Alternativ kann ich dir dein Logvolumen abschätzen, dafür bräuchte ich aber mehr Infos als "80 VMs". Müsste dann wissen was für OS es sind, was die Einsatzzwecke (DC, Fileserver, Workstation, Server, usw.) sind und wie viele Nutzer die Umgebung hat.

Wenn es wirklich Open Source sein soll ohne Capex dann ist aktuell ElasticSearch / Logstash / Kibana vermutlich die beste Wahl.
RDX hat geschrieben:Halt einfach mal deine verfickte Fresse du Spast, OK? Wenn es dir Spass macht nach dem Essen einen grummelnden Magen zu haben (noch dazu nachdem du etwas gegessen hast was dir absolut nicht schmeckt) um dann irgendwann furzend auf's Klo zu spazieren und richtig ordentlichen Weichschiss zu hinterlassen wonach du deinen Arsch etwa 12 mal abwischen musst, dann viel Spass damit.
Wenn nicht, dann halt's Maul und lass mich in Ruhe.
sl1zer
Rampage
Rampage
Beiträge: 14860
Registriert: Dez 2001

Beitrag von sl1zer »

Ich muss das nochmal mit meinem Chef bereden, aber eigentlich habe ich da freie Wahl, wenn ich sage, dass kostenpflichtige Lösungen besser sind, dann würden wir das vermutlich auch realisieren.

Splunk hatte ich auch schonmal gesehen, das Problem ist, dass ich das jetzt im Rahmen meiner Projektarbeit realisieren muss und mich deswegen leider erstmal festlegen muss und keine Monate zum durchtesten von zB Splunk habe.

Ich denke ich werde bezüglich des Projektes erstmal bei Logstash etc bleiben und zu einem späteren Zeitpunkt nochmal Splunk durchtesten.


Danke dir jedenfalls schonmal für das Feedback! :daumen:
Bild
Tell me was it all worth it, to watch your kingdom grow?
All the anchors in the ocean never sunk this low!
fame
Combo
Combo
Beiträge: 13842
Registriert: Okt 2000
Wohnort: LK Rosenheim

Beitrag von fame »

Naja, Splunk ist in 5 Minuten installiert. Daten reinladen ist auch relativ trivial. In einem Tag hast du schon einmal einen guten Überblick wie Splunk grob funktioniert und was es kann.

Aber letztlich natürlich deine Entscheidung. Ein kurzer Schwenk aus meiner Erfahrung: Wir (arbeite btw. nicht für Splunk ;) ) lösen immer öfters LogStash / Elastic Search bei Kunden ab weil der Wartungsaufwand doch recht groß ist. Nur mal als kleines Beispiel: Alleine für das Parsing und die Klassifizierung von Windows Event Logs gibt es bei uns über 5.000 Regeln, Linux Host Syslog 4000+ Regeln, usw. (Splunk hat hier deutlich weniger was das anbelangt, aber zumindest etwas ist vorhanden) Bei uns siehst du direkt was sich hinter einer Meldung verbirgt ohne alle Windos Event IDs auswendig zu kennen. Wenn du das für LogStash nachbauen willst viel Spaß :p Dazu kommen dann Themen wie die Echtzeitanalyse der Daten, uvm.
RDX hat geschrieben:Halt einfach mal deine verfickte Fresse du Spast, OK? Wenn es dir Spass macht nach dem Essen einen grummelnden Magen zu haben (noch dazu nachdem du etwas gegessen hast was dir absolut nicht schmeckt) um dann irgendwann furzend auf's Klo zu spazieren und richtig ordentlichen Weichschiss zu hinterlassen wonach du deinen Arsch etwa 12 mal abwischen musst, dann viel Spass damit.
Wenn nicht, dann halt's Maul und lass mich in Ruhe.
Antworten