導入logger前先確認維運需求與管理目標
在IT日常維運中,各種設備的日誌管理問題常被忽略,不是因為資訊人員不去處理,而是面對多樣化的設備日誌格式,沒有統一的方式收集,以致大多數是採用,定期進行備份方式,等待需要時再倒回系統查詢。
談到保存日誌這件事的動機,儲存日誌的主要用途要做什麼?當發生駭客入侵系統事件,方便去追查哪些系統受害或是為了符合個資法的要求?有了動機之後,再來探討哪些設備的日誌要進行保存,是核心應用系統、閘道端網路設備或是系統日誌?確定設備的日誌保存優先順序後,接著要訂定明確的管理目標,如每日或每月產出哪些稽核報表作為稽核,慢慢地就會讓IT的維運管理逐漸變好。SAFE3.0稽核日誌保存系統與其他類似產品的優越性能差異在哪裡?請看以下分析:
內建強大的報表製作工具
以稽核報表的功能來說,SAFE3.0提供操作介面,讓用戶自行設計報表的內容,不僅可以跨設備在同一報表上,還可以自訂圖表樣式。好比是在一張A4的白紙上,自己定義要呈現的封面、標題等,同時可將查詢結果以拖曳的方式拉進來報表內,再設定產製長條圖或表格,這樣就做好一個圖表,這個功能一直是用戶覺得比其他日誌保存系統強的地方。除了提供客戶自行設計報表的彈性外,SAFE3.0 也已內建ISO27001相關實用的稽核報表。
解決客戶日誌解析的痛點
其次日誌系統的擴充與客製化能力也要評估進來,解析寫得好不好將直接影響日誌系統的效能與查詢速度。又因為公司使用的資訊設備,未必所有的日誌管理系統均能支援,需要評估廠商的客製化解析能力。一般來說,廠商的產品會隨著設備的增加而逐漸擴充其接收產品日誌的多樣性,但常遇到設備一更新韌體版本或升級後,就會造成日誌格式欄位無法對應,這些都是要特別留意的。SAFE3.0具備提供用戶自行製作正規化(Regular Expressions)解析的介面,除了用戶自己定義日誌格式外,本公司亦不定時提供新的設備解析功能給用戶。
叢集架構易於未來擴充
其次是硬體效能的擴充,如果原日誌系統的硬體已達效能瓶頸,擴充的作法有兩種,一是再買一套新的日誌系統接收新設備日誌,產製報表及查詢分別在各設備所屬的系統進行操作。另一個方法要看看原日誌系統有沒有支援橫向擴充設備的功能,如果有,就可以再增加接收設備,集中產製報表與查詢。好的日誌系統應具備大數據架構的基礎,可平行擴充多台日誌系統主機,但市售有些日誌系統就做不到,而SAFE3.0就具備水平擴充的能力,因此在導入系統管理日誌時,就要將這些因素考慮進來。
功能分流獲得最佳效能
曾有客戶提到國內另一家日誌保存廠商的產品,具備流量管理的功能,可將日誌保存與Net Flow流量導入到同一部設備上進行分析。這時會發現,當日誌量稍大時,硬體的效能根本無法處理湧入的日誌,後來還是採購單一功能的系統,將日誌保存與流量管理分析分開採購與建置,在系統各司其職的情況下,得到較佳的效益。因此,在原本日誌系統單一目的上額外去增加其他功能時,未必是個好的選擇。
性價比因素
若以授權的方式跟國內這家廠商比較,這家廠商的授權是以設備數量計價,又分成Syslog跟主機數兩種模式,而SAFE3.0採用EPS(Event Per Second)的計價方式,基本為1000EPS。若以國內企業常見的設備部署來看,這個規格跟N廠商比較起來,SAFE3.0在收容設備種類及彈性上是較具有擴充優勢的。若以整體方案的授權價格來評比,SAFE3.0亦更勝一籌。
特色比較
| 功能 | SAFE3.0 | N廠商 |
| 資源水平擴充 | 佳 | 不易 |
| 即時分析與告警能力 | 具備 | 有 |
| 報表製作 | 容易 | 僅能製作預定報表 |
| 儀表版製作 | 容易 | 需技術人員處理 |
| 自訂解析能力 | 具介面讓用戶自訂 | 需技術人員處理 |
| Net Flow收集 | 可 | 可 |
| 性價比 | 佳 | 較低 |
綜合上述,SAFE3.0日誌保存與稽核系統融合了上述各項特點,讓企業導入日誌管理系統獲得最大效益:
- 採用雲端架構設計,水平擴充資源容易,效能可隨時提升。
- 內建多種報表及儀表版,也可自行設計製作,便於資料分析統計。
- 介面設計簡單易用,查詢快速資料分析易讀。
