扫一扫
关注微信公众号

管理与监控服务器日志数据最佳“攻略”
2012-02-16   TechTarget中国

随着数据中心规模增长,有效合理管理服务器日志变得越来越重要。服务器、防火墙、应用程序甚至是交换机设备的事件日志可以为IT管理员分担许多工作压力,而不是忙于救火--若正确管理日志,工程师们完全可以建立一个主动的可用性监控与控制环境,预防问题产生。现在就让我们来回顾一些有效利用服务器日志数据的技巧与秘诀。

日志管理最佳实践与秘诀

借助有效日志管理,管理员可以完成如下任务:

·创建用于取证分析的审计追踪。时常会遇到可疑入侵或数据丢失事件。良好的审计追踪可以让数据中心审计工程师获知谁在最近登录了环境,并将这些数据整理成可用信息。

·管理与监控入侵。主动服务器日志监控可以预防事故或针对系统的恶意入侵。当日志有效生成后,所有重要系统都会纳入监控,任何未授权的活动一旦发生,告警系统将立刻将其标识为红色状态。

·事件抑制。如果数据中心内发生了未授权事件,日志告警设置将通知工程师们快速对其做出反应。通过良好的日志管理,工程师们可以快速定位问题所在并将网络或服务器隔离,防止问题进一步扩大。

·主动保护数据中心环境。基线分析与日志管理工具可以帮助组织在安全策略方面更加主动。通过捕获安全漏洞或系统中存在的问题,工程师们可以在问题变得更严重前解决。这样的做法与简单的给服务器打补丁或因为没有正确配置日志监控而造成数据丢失相比,具有极高预见性。

·实时告警配置。数据中心是IT运维的核心业务。日志管理相当重要,尽管如此,同样重要的还包括访问与监控实时警报的能力。通过良好的告警机制,管理员可以获知环境中所发生的情况并及时解决,不再浪费时间。若遭遇入侵或严重事故,争分夺秒是十分必要的。

·管理活动网络日志并建立使用基线。日志可以作为未来环境规划的参考。例如,网络日志可以用来为当前环境建立使用基线。以此为基准,工程师可以判断他们是否缺乏资源或应该如何有效规划规模增长。

·创建实时的日志工作簿以应对IT需求变化。保持一个活动日志簿可以追踪当前环境中的所有日志。通过了解这些系统所承担的负载,明白其性能峰值/谷值,并了解服务器利用率状况,可以让工程师们根据业务需求变化而精简其基础设施。活动日志工作簿可以让未来的数据中心工程师观察与学习整个环境是如何运作的。

明白每个环境都是独一无二这点十分重要,不同数据中心包含不同设备,日志管理需要针对这些差异。因管理要求可能需要数据中心将日志保存一定的期限。

其他要求还可能包括建立审计追踪以满足如SOX或HIPPA--这对许多企业来说是愈加重要的流程规范,而且可能因为无效的日志管理流程而产生严重负债,无论是有形还是无形资产。这可能包括数据丢失,安全漏洞,或增加数据中心环境风险。

通过分析日志数据,企业可以很容易发现一些数据对IT与整个运维的影响。正确日志数据可以帮助工程师管理整个环境并确保系统与基础设施安全。例如,网络交换机日志可以现实其还可通过优化,以支持某个存储区域网络。通过日志分析与报表工具持续收集的信息同样可以帮助企业判断现有的环境是否安全,同时降低在大量应用审计与恢复评估上的开销。通过保证日志环境的健康与数据及时更新,工程师们收集需要的重要信息来评估与分析网络、系统与应用程序的健康状况与可访问性。

虽然最佳实践可能由各自独立的组织基于自身特定开发,但同样有许多共同之处值得借鉴与应用。

灵活利用第三方工具。通常工程师小组会购买服务器日志管理工具,然而却从未正确使用过。举例来说,在进行购买之前,需要先对现有基础架构进行盘点。通过盘点结果,工程师们应该能确定日志管理工具是否能够支持当前环境中各种设备的日志管理。确保理解自身的日志管理需求--以及你想从中获得的内容--以上问题需要在花费数千美元购买日志管理工具前仔细研究。另外一个例子便是安全问题--如果安全是一个重要控制目标,在决定时需要选择能够提供主动告警的软件厂商。无效的工具可能建立一个日志环境,而你很难(甚至完全无法)从中得到你所需要的数据。

坚持检查日志。许多组织把日志看作是查找信息或排查故障的参考信息,而没有定期审视这些日志信息。但主动检查与分析日志数据来确保一致性需要通过纪律约束。

大型环境必须将日志管理作为每日例行任务,以确保所有日志为最新状态。通过每天检查日志,可以保持对整体环境状态的追踪并在问题产生前提前解决。同样的,通过定期监控日志,还可以了解数据中心环境运行状态以及各系统之间关系。即使法规遵循不是当前最重要的任务,定期检查日志可以节约许多时间与资金,并预防事故发生。例如,可以设置针对环境中所有安全日志的报警。如果组织建立适当规则,当检测到入侵时可以及时阻止并防止造成损失。通过主动捕获安全事件,公司可以节约成百上千万美元来防止数据丢失。

建立监控与告警系统。许多服务器日志管理工具都内建了这些功能。尽管如此,许多系统根据审计基准内建许多告警,而忽略了其他潜在的重要日志。当我们管理日志时,关注除了审计基准外的重要安全日志同样重要。在这样的情况下,管理员们才可以更详细的了解整个环境的健康状况。例如,数据中心核心网络设备的日志需要收集,监控及利用。通过有效利用日志,管理员可以很快定位到错误配置,安全漏洞以及相关交换机的资源利用情况。更重要的是,有了良好的告警通知,可以主动采取措施改善和确保环境运行稳定与健康。

采用内部日志管理策略。通过日志管理,服务器日志分析将成为例行的关键流程。管理员需要设计对应的策略来实现常规日志报表。一旦所有报表完成,还需要分析流程中数据的一致性。许多时候,整合的日志报告可以显示安全问题或系统组件没有正常工作。例如,大型企业的数据中心可能包括大量设备。良好的日志管理策略将关注所有终端基础设置组件并将信息收集集中到日志管理工具中。工程师可以检查负载均衡器,安全网关以及数据中心应用程序来判断是否有异常存在。同样,拥有良好的策略,我们还可以收集与分析在一段时期内的日志记录。通过分析这些日志,可以关联重要安全更新与系统数据。这样便可以从长远角度组织入侵行为并确保系统健康管理。

测试日志管理工具。渗透测试或内部一致性测试将帮助确定日志收集是否正确。更重要的是,通过测试我们可以评估自己是否收集到正确事件日志以及对应的告警。通过测试我们可以回顾会重新定义优化流程。周期测试可以帮助组织磨练其日志管理机制并让其更加有效。当进行测试时,工程师们不仅需要明白测试目的,同样还需要注意是否有任何未授权的系统应用程序在运行或是否有其他分支细节没有考虑完善。

锁定日志。服务器日志管理将被某个授权小组所审计。仅有少数授权人员对日志管理与日志记录活动负责。将访问权限授予太多人员可能会引起潜在的事故(或恶意的)删除甚至修改现有日志环境,进而影响诚信守则或破坏监管日志要求。

有效记录可以保护线上环境

当使用日志管理系统时,理解日志在数据中心用所扮演的角色十分重要。防火墙,服务器或应用程序日志可以共同工作来实现更加安全的环境。记住,主动扫描日志与设立日志告警,管理员们可以快速发现内部环境中的安全故障。通过主动记录日志活动,数据中心工程师可以加固环境中潜在的薄弱点。更重要的是企业数据安全。日志管理在防止数据丢失中扮演着重要角色。任何安全漏洞都可能让公司在信誉与支出上花费高昂的代价。

通过有效的日志管理策略,管理员们可以创建一个健康,可监控的环境来主动保障数据中心安全。

关于作者:Bill Kleyman,MBA,MISM,一名狂热的技术专家,在网络基础设施管理领域具有丰富的经验。其工程经验包括大型虚拟化环境部署以及商业网络设计与实施。目前他是MTM Technologies 公司的虚拟化架构师,之前曾作为World Wide Fittings公司的技术总监。

热词搜索:

上一篇:经验分享:配线架集中上线方式的四大优势
下一篇:聚焦CIO:未来5年需要的五个关键技术

分享到: 收藏