Dành cho bạn nào chưa biết NSM (giám sát an ninh mạng) & NSM để làm gì > http://vnhacker.blogspot.com/2009/12/giam-sat-ninh-mang-hay-la-lam-nao-e.html
Sau khi đã biết NSM, tôi xin giới thiệu 3 cách:
1) Splunk Free [+ Syslog-NG]
2) Syslog-NG + Splunk Free
3) ELK
Cách đầu đơn giản nhất. Tất cả cài đặt Splunk Agent và cấu hình forwarding về Splunk Server làm NSM. Search, Report trên Splunk Server. Các thiết bị không thể cài đặt Splunk thì hoặc cấu hình gửi log trực tiếp về Splunk; hoặc cấu hình chuyển log về Syslog-NG server, sau đó Syslog-NG tiếp tục cấu hình gửi log về Splunk.
Cách thứ 2: không cài đặt, ko sử dụng Splunk làm Agent. Sử dụng Syslogd hoặc Rsyslog; cài Syslog Agent trên các server Windows. Tất cả được cấu hình tập trung log về Syslog-NG server. Từ Syslog-ng server, tiếp tục cấu hình gửi log về Splunk. Do đó chỉ cần cài Splunk trên NSM Server là đủ.
Cách thứ 3 đó là sử dụng bộ 3 phần mềm ElasticSearch, LogStash và Kibana (http://www.elasticsearch.org/overview/). Tất cả đều là phần mềm nguồn mở nên bạn ko phải lo lắng về chi phí. Tuy nhiên cách này tôi chưa thử bao giờ nên ko thể so sánh ưu khuyết với 2 cách kia.
Trong 2 cách đầu, tôi thích cách thứ 2 hơn vì:
- Tốn ít công sức quản lý Syslog Agent hơn là quản lý Splunk. Ít ra thì các server Linux đã có sẵn syslogd/rsyslog.
- Chủ động trong việc lựa chọn các dạng log sẽ được tập trung về Splunk. Việc này rất cần thiết nếu như bạn có quá nhiều máy chủ, quá nhiều dữ liệu cần tập trung về Splunk. Dung lượng dữ liệu gửi về đôi khi tăng đột biến quá nhiều cũng sẽ dẫn đến việc vi phạm (Free) License của Splunk, làm mất khả năng Search, nghĩa là NSM đã bị vô hiệu hoá.
- Vừa có thể lưu raw log vừa search trên Splunk. Cái này phù hợp cho những bạn paranoid, ko tin tưởng hệ thống nào và chỉ thích dùng cat, grep, sed, awk...
Nên chọn cách 1 khi:
- Bạn cần làm quen với Splunk. Các apps của Splunk thường chỉ hoạt động với kiến trúc NSM hoàn toàn dựa vào Splunk. Tập trung log thông qua 1 phần mềm khác (Syslog-NG) sẽ yêu cầu bạn phải điều chỉnh/cấu hình nhiều hơn để các apps của Splunk hoạt động.
Nếu có những cách khác hoặc các bộ phần mềm miễn phí khác, bạn vui lòng phản hồi cho tôi biết nhé.
Chúc mọi người xây dựng NSM thành công.
