ПЕРВЫЙ ВЗГЛЯД

Отдача оправдает усилия на освоение продукта

Камерон Стардевант

ПО Splunk Professional версии 2.2 обрабатывает log-файлы, данные мониторинга и другие временны|е данные о работе ИТ-систем, преобразуя их в организованный массив информации, к которому можно применять функции поиска, в том числе и для выявления неисправностей.

Секрет Splunk состоит в умении находить отметки времени в журнальных записях и превращать запротоколированную информацию в сжатые и проиндексированные метаданные, доступ к которым снабжен пользовательским интерфейсом с поисковыми возможностями.

Splunk Professional можно приобрести на год или по бессрочной лицензии. Расценки зависят от максимума суточного объема индексируемых данных и выбранных опций поддержки. Диапазон вариантов в США начинается от $2500 в год, что позволяет индексировать 500 Мб в сутки, до терабайтных объемов ежедневно индексируемой информации с неограниченным числом экземпляров ПО.

Тестовый центр eWeek Labs инсталлировал Splunk Professional 2.2 в Linux-системе Ubuntu 6.10 фирмы Canonical со 160 Гб дискового пространства. Splunk Professional 2.2 можно использовать на различных Unix- и Linux-платформах, причем поиск, доступ к административной консоли и решение практически всех задач конфигурирования системы осуществляются через Web-интерфейс приложения.

Временной график над текстовыми результатами поиска в Splunk Professional 2.2 обеспечивает наглядный обзор событий

Мы считаем полезным, чтобы ИТ-специалисты средних и крупных организаций, занимающиеся обнаружением и устранением неполадок, включили в свой арсенал средств управления Splunk Professional 2.2. Способность продукта просеивать гигантские объемы данных для ответа на насущный вопрос, что произошло непосредственно перед сбоем приложения XYZ, вполне окупает силы и время, потраченные на освоение ПО.

Хотя инсталляция и первичная настройка Splunk Professional 2.2 для анализа log-файлов не представляют особых сложностей, ПО начнет приносит реальную отдачу только после его основательного освоения. Так, для более эффективного поиска проблем данные о событиях желательно размечать тегами. Однако умение делать это правильно и даже просто понимание того, какие данные надо выделять тегами, требуют размышлений и практического опыта.

Splunk Professional 2.2 позволяет аккумулировать данные из многих источников. Для того чтобы огромные массы собранных данных были информативны, пользователям предоставляется ряд вариантов их приема.

В наших тестах по мониторингу различных систем Windows Server 2003 с Microsoft Exchange Server и SQL Server, а также нескольких серверов Ubuntu Linux с Web-сервером Apache продукт Splunk смог быстро и правильно найти такую информацию, как данные об администраторе, внесшем изменения в систему, или сведения обо всех последних инсталляциях. При повторении нежелательных событий продукт может посылать извещения по электронной почте.

Мы использовали Splunk Professional 2.2 для слежения за системными журналами коммутаторов Cisco Systems и брандмауэра WatchGuard Technologies, а также для приема SNMP-извещений из маршрутизатора Cisco. Нас впечатлила способность продукта выдавать размеченные по времени log-файлы и данные SNMP, коррелирующие с нашими действиями в сети, если они привели к нарушению соединений или ухудшению работы приложений, в частности при нагрузке коммутаторов слишком большим тестовым трафиком.

Краткий список аналогов

 

-  LogRhythm одноименной фирмы. Продукт ориентирован на работу с log-данными по безопасности, но пригоден и для формирования отчетов по другим регистрируемым событиям (www.logrhythm.com).

- LogCaster фирмы RippleTech. Собирает log-данные для аудита и контроля соответствия нормативным требованиям (www.rippletech.com).

- Security Information Manager компании TriGeo Network Security. Предназначен для корреляции событий на брандмауэрах с фактами вторжений (www.trigeo.com).

Попрактиковавшись с продуктом несколько недель, мы научились создавать запросы (в продукте они называются Splunks), позволившие разобраться, почему некоторые пользователи наших тестовых систем не получали электронной почты. Причиной проблемы оказались правила фильтрации контента, установленные на Exchange Server, что выяснилось из log-записей, которые генерировались при блокировке сообщений этими правилами. Splunk Professional 2.2 сумел обнаружить эту оплошность, профильтровав за считанные секунды сотни тысяч ежедневно формируемых log-файлов.

Недостатком в работе Splunk является скудость информации SplunkBase - онлайнового репозитория описательных сведений о событиях. Ни одно из событий, связанных с проблемами, которые мы обнаружили в тестах, не было описано в SplunkBase.