Splunk – Központi Log Szerver

Aki csupán néhány gépet adminisztrál, az általában akkor szokott logokat nézni, amikor valamilyen alkalmazás, vagy szolgáltatás nem működik helyesen. Illetve kevés rendszer esetében, egyszerűbb a lokális logolást testre szabni, és a gépen magán nézelődni rendszeresen. Nagyobb környezet esetében a biztonságot, illetve a napló bejegyzések áttekintését és kiértékelését is jobb egy központosított helyen megtenni. A következő cikkben az általam használt megoldást kívánja bemutatni.

Helyi és Távoli naplózás

A rendszer, illetve más programok által generált napló bejegyzések felelősek azért, hogy tudjuk mi is történik a rendszeren és annak komponenseivel. Ezeket általában nem valós időben figyeljük, hanem valamilyen területre archiváljuk, és igény, illetve hiba esetén visszanézzük.

Minden rendszer készít ilyen naplózó eseményeket, logokat. Ezeket alap esetben a rendszer helyben tárolja. Sok esetben ezekkel nem törődünk. Egyszer azért, mert túl sok információ logolódik, másrészről mert nem érdekli az embereket mi történik a gépen, amíg baj nincs belőle.

Amikor viszont megtörténik a baj, és a log bejegyzésekhez nyúlnánk, akkor döbbenünk csak rá, a problémára. Nincs bekapcsolva normálisan. Hiba miatt nem futott, a gép hibája miatt a rendszer a helyben tárolt logokkal együtt nem elérhető, és sorolhatnám.

Ezért fontos, hogy lokális bejegyzések mellett távoli helyre is kézbesítsük az üzeneteket. Amennyiben a lokális rendszer elérhetetlenné válik, vagy alaki szánt szándékkal akarja meghamisítani a helyi bejegyzéseket, abban az esetben is használhatjuk a központi helyen tárolt példányát.

Persze nem csak biztonsági szempontból hasznos a távoli logolás. Amint említettem a legnagyobb probléma, hogy a hatalmas adathalmazt analizálni is szükséges. Amennyiben központi helyen tároljuk a logokat abban az esetben is szükséges az elemzés. Erre már létezik néhány megoldás, de a legtöbb fapados és csúnya. Már pedig ha egy elemző rendszer nem megfelelően szép, és könnyen testre szabható, úgy megint csak oda lyukadunk vissza, hogy nem akarják majd használni.

Már pedig logokat elemezni rendszeresen kell.

Splunk

A Splunk egy alkalmazás, mely számomra a jelenleg elérhető legjobb megoldást kínálja a központi logolás megvalósítására.

A software gyakorlatilag bármilyen operációs rendszerre telepíthető, és ingyenesen letölthető. Az ingyenesség limitáltsága a napi 500MB adat feldolgozása és bizonyos enterprise featurek használhatatlansága. Természetesen, amint megadjuk a kódot ezek a limitációk is megszűnnek anélkül, hogy bármit változtatunk kellene.

Data Source

A Splunk maga egy nagyon könnyen telepíthető program. A megfelelő csomag után, szinte azonnal a webes admin felületen kell befejeznünk az installációt. Belépés után viszont egy szép és üres felület fog minket fogadni. Ez azért lesz, mert nem adtunk meg egyetlen lehetőséget sem, ahonnan adatokat nyerhetne.

Alapvetően a következő két megoldás között kell döntenünk:

– Meglévő Log szerver file alapú állományait indexeltetni
– A Splunk által Log szervert indítani, így a távoli gépek közvetlenül a Splunk-nak tudják küldeni a log bejegyzéseket, minden féle köztes file nélkül.

Amennyiben, definiáltunk Data Source-t, már is érdemes lesz nézegetni az eddig üres analizáló nyitó képernyőt. Fontos, hogy Data Source-ból, többet is megadhatunk. Megadhatunk file-ket és nyithatunk több különböző portot.

Amint elkezdenek jönni az adatok, úgy fogunk egyre több információt látni a kezdő, Summary képernyőn. Itt fogjuk látni, hogy milyen Data Source-ról, milyen gépről, és milyen típusú logból mennyin állunk jelenleg.

Search

Alap funkció, hogy tudjunk keresni a rengeteg adat között. A Splunk erre felül egy kereső sávot különít el a képernyő tetején. Az weben jól ismert keresőktől vett filozófia pedig nagyon jól működik, és viszonylag könnyű ráérezni a jó keresésekre. Adhatunk meg kulcsszavakat, rakhatunk joker karaktereket. Használhatunk logikai AND, OR, NOT kapcsolókat. Illetve a kereső rész mellett ott található egy lenyitható kapcsoló, mellyel kiválaszthatjuk, hogy időben, mennyire akarunk visszamenni a keresést illetően.

A keresési feltételeinket tehát a webes keresők mintájára szabhatjuk testre. Minden keresést követően, akár csak a webes társaiknál lentebb egyből megjelennek a találatok. Láthatjuk az üzenet mikor lett lelogolva a Splunk által, és mi volt a teljes üzenet. Fontos megemlíteni, hogy a találatokon túl, melyek időrendben a legfrisebbtől mennek a legrégebbi felé, megjelenik egy időcsík is. Ezen az időcsíkon fog megjelenni, hogy milyen időszakban mennyi releváns találatunk volt. Természetesen ezen a időcsíkon kattintani is tudunk idő szeleteket, vagy akár hosszan nyomvatartva az egerünket tetszőleges idő szeletet jelölhetünk ki. Ekkor a keresés egyből csak a kijelölt időhöz fűződő eseményeket fogja megjeleníteni.

Ezeket a kereséseket természetesen elmenthetjük, hogy a menüből egy kattintásra előhívhassuk a jövőben, és ne kelljen mindig az elejéről beírogatnunk, és emiatt fejben tartanunk.

Dashboard

Már a keresésnél megjelennek diagramok. Viszont érdemes lehet a keresések eredményét egyetlen oldalon összegezni. Ez lesz a Dashboard. Egy Dashboard-ra szöveges és diagrammos kereséseket is kitehetünk. Ezek a csíkok, számok, kördiagramok, nagyszerűen reprezentálják a helyzetet. Ami fontos, hogy ezek a „képek” interatkív módon viselkednek, tehát a megfelelő részre, vagy időre kattintva az aktuális keresés eredményeihez fog minket vinni, ahol megnézhetjük, milyen üzenetekből is áll az a jelzett rész.

Alerts

Természetesen, ha már keresésekről beszélünk, tudunk időzíteni is kereséseket. A keresések találataihoz pedig riasztásokat rendelni. Ha egy keresés értéke több mint az általunk megadott küszöbérték, akkor mi történjen. Küldhet a Splunk email-t, futtathat scriptet, vagy átadhatja az Alert Manager-nek.

Tehát, amennyiben egy jól beállított logolással rendelkezik a gépünk, akkor minden féle „monitorozási” funkciót is köthetünk a Splunk-hoz.

Apps

A Splunk alapvetően az, amit bemutattam. A népszerűsége, és hihetetlen minősége miatt rengeteg ember kedvence lett és rájöttek, minden féle funkciót ki lehet váltani a Splunk feldolgozása által. Nincs másra szükség csak kliens oldalon a megfelelő adatokat küldeni a log szervernek, a splunk pedig értelmezi azt, és megfelelő diagramokat rajzol nekünk.

Küldhetünk web szerver logokat, és azt elemeztethetjük ki egy splunk app által:

Viszont ennél komolyabb dolgokat is elérhetünk. Amennyiben olyan parancsok kimeneteit irányítjuk át, amik a gépünk terheltségéről adnak információkat:

Rengeteg App érhető el, amiket magából a Splunk-ból is listázhatunk, és telepíthetünk. Általában ezek az App-ok, valamilyen konkrét alkalmazás logjat dolgozzák fel valamilyen előre kitalált formában. Ezekkel nem kell, nekünk kitalálni kimutatásokat, és elemzéseket, mert már valaki ezt megtette helyettünk.

Összegzés

A Splunk egy kivalló software. Fejlesztői a sokrétűségére építenek, és emiatt a felhasználása is csak a fantázia szabhat határt. A kezelő felülete már régóta nem FLASH alapú, hanem HTML5. Így mobil eszközökkel is teljesen működőképes tud lenni.

A Splunk eszközöket lehet FORWARDER célra is használni. Ilyenkor az instance továbbítja az üzeneteket, ezáltal egész hálózatát lehet kiépíteni a rendszereknek.

Bízom benne sikerült felkeltenem az érdeklődést a termékre, ezáltal pedig minden üzemeltető, nagyobb felelősséget fog érezni az üzenetek iránt, és rájön, mennyi felesleges figyelmeztetést, vagy üzenetet meg lehet szüntetni, ezáltal optimalizálni a rendszereket.