Чем syslog смотреть?
тиволи мониторинг + тиволи энтерпрайз консоль
при этом кстати я не вижу необходимости все сливать на аиксовую машинку - проще сразу с железок логи снимать в тек.
У заказчика жёсткое требование по разделению на три сети - условно говоря DMZ, внутреннюю сеть, ну и ещё совсем внутреннюю, где мейнфреймы стоят (третья чать меня не интересует)."Жёсткое" - значит что три уровня файрволов от 3 разных производителей, причём файрвол на внешнем уровне совмещён IPS.
Если сделать чтобы кто-либо снимал логи с машин из DMZ, при этом находясь во внутренней сети - будет нехилый трафик через файрвол, чего хочется избежать. Потом, DMZ - это на самом деле не один VLAN, а несколько. Следовательно, если давать возможность снимать логи прямо с машин, то придётся под каждый VLAN на файрволе порты выделять, а они очень недешёвые.
Поэтому и возникла у меня идея чтобы пара syslog-серверов в DMZ всё собирала, бОльшую часть логов отфильтровывала бы, а всё важное слала бы на другую пару syslog-серверов, стоящих во внутренней сети. При этом "всё важное" - это уже совсем другой трафик, на порядки меньший.
Если сделать чтобы кто-либо снимал логи с машин из DMZ, при этом находясь во внутренней сети - будет нехилый трафик через файрвол, чего хочется избежать. Потом, DMZ - это на самом деле не один VLAN, а несколько. Следовательно, если давать возможность снимать логи прямо с машин, то придётся под каждый VLAN на файрволе порты выделять, а они очень недешёвые.
Поэтому и возникла у меня идея чтобы пара syslog-серверов в DMZ всё собирала, бОльшую часть логов отфильтровывала бы, а всё важное слала бы на другую пару syslog-серверов, стоящих во внутренней сети. При этом "всё важное" - это уже совсем другой трафик, на порядки меньший.
Если не трудно, расскажи потом, что получится.
Пока что мне представляется, что правила выбора самого важного из логов придётся существенным образом вручную писать.
Пока что мне представляется, что правила выбора самого важного из логов придётся существенным образом вручную писать.
откуда на логах мегатрафик? ты вообще все события хочешь пересылать с железок? нахуа?
Согласен. Тем не менее, минимизация числа портов на файрволе тоже актуальна. Так я всего один VLAN с файрволами соединяю - значит 2 порта всего нужно под это дело. А иначе все 4 VLANа - значит 8 портов на файрволах (свичи и файрволы задублированы).
Идеологически правильно было бы отправлять прямо оператору на экран логи начиная с определённого уровня severity. Но дело в том, что уровень этот определялся писателями софта для этих железок. И возможно, что их мнение не совпадает с мнением заказчика, поэтому наверное придётся вносить много кастомизаций.
Придумал более грамотный вариант.
Сервера с syslog-ng в DMZ принимают логи со всех серверов и сетевого оборудования в DMZ и пишут их на тома на дисковом массиве, подключённом по FibreChannel. Эти же тома дискового массива подключены в режиме read-only к другим syslog-серверам, размещённым уже в внутренней сети. По IP-сети через файрвол логи не будут ходить, правда, придётся FC-адаптеры на сервера с syslog-ng ставить
А где-нибудь рядом стоит байда типа Tivoli Monitoring или OpenView Operations чтобы разгребать и фильтровать логи, ну и выдавать на экран операторам.
Сервера с syslog-ng в DMZ принимают логи со всех серверов и сетевого оборудования в DMZ и пишут их на тома на дисковом массиве, подключённом по FibreChannel. Эти же тома дискового массива подключены в режиме read-only к другим syslog-серверам, размещённым уже в внутренней сети. По IP-сети через файрвол логи не будут ходить, правда, придётся FC-адаптеры на сервера с syslog-ng ставить
А где-нибудь рядом стоит байда типа Tivoli Monitoring или OpenView Operations чтобы разгребать и фильтровать логи, ну и выдавать на экран операторам.
:Как только выиграем тендер - расскажу
Если не трудно, расскажи потом, что получится.
Пока что мне представляется, что правила выбора самого важного из логов придётся существенным образом вручную писать.
При схеме, использующей дисковый массив, пусть фильтрацией логов всякие Tivoli или OpenView занимаются. Думаю, на промежуточных syslog-серверах ничего фильтровать не стоит.
доступ по фиси к дисковым массивам из дмз не секурно
и ты уверен что сможешь сделать доступ на чтение для тома с которым уже общаются? имхо тока покупка лицензий всяких на массив - много денег
и ты уверен что сможешь сделать доступ на чтение для тома с которым уже общаются? имхо тока покупка лицензий всяких на массив - много денег
задачи то написал бы чтко - мож чево и насоветовал бы
> задачи то написал бы чтко - мож чево и насоветовал бы
Есть 2 сети, в них сервера, преимущественно AIX, примерно на половине - HACMP. Сети разделены железным файрволом. Есть желание мониторить по-полной все серверы в обоих сетях при помощи Tivoli Monitoring или аналогичных приборов.
При этом из соображений безопасности хочется, чтобы серверы слали свои логи куда-нибудь в отдельное, специально выделенное для этой цели и соответствующе защищённое место (чтобы в случае взлома сохранились бы логи).
Понятно, что если такое место организовывать в виде пары серверов syslog-ng, то для отделения этих 2 серверов от всех остальных серверов необходим недетских размеров файрвол: в двух сетях в общей сложности порядка 5 VLANов из которых надо собирать логи, поэтому, если я правильно понимаю, то на файрволе надо порядка 10 портов под эти 5 VLANов + 2 порта для подключения серверов syslog-ng (все свичи и файрволы задублированы). А дополнительные 12 портов на файрволе могут поднять класс железа и вместе с ним цену весьма болезненным образом.
Вопрос - как такую проблему решили бы грамотные люди?
Есть 2 сети, в них сервера, преимущественно AIX, примерно на половине - HACMP. Сети разделены железным файрволом. Есть желание мониторить по-полной все серверы в обоих сетях при помощи Tivoli Monitoring или аналогичных приборов.
При этом из соображений безопасности хочется, чтобы серверы слали свои логи куда-нибудь в отдельное, специально выделенное для этой цели и соответствующе защищённое место (чтобы в случае взлома сохранились бы логи).
Понятно, что если такое место организовывать в виде пары серверов syslog-ng, то для отделения этих 2 серверов от всех остальных серверов необходим недетских размеров файрвол: в двух сетях в общей сложности порядка 5 VLANов из которых надо собирать логи, поэтому, если я правильно понимаю, то на файрволе надо порядка 10 портов под эти 5 VLANов + 2 порта для подключения серверов syslog-ng (все свичи и файрволы задублированы). А дополнительные 12 портов на файрволе могут поднять класс железа и вместе с ним цену весьма болезненным образом.
Вопрос - как такую проблему решили бы грамотные люди?
> и ты уверен что сможешь сделать доступ на чтение для тома с которым уже общаются?
народ говорит что сможет :-) правда, у народа опыт в основном с EVA и прочим HP-шным железом, нежели с ESS.
> имхо тока покупка лицензий всяких на массив - много денег
Там ESS по-любому запланирован недетский, с репликацией на удалённый сайт по CWDM.
народ говорит что сможет :-) правда, у народа опыт в основном с EVA и прочим HP-шным железом, нежели с ESS.
> имхо тока покупка лицензий всяких на массив - много денег
Там ESS по-любому запланирован недетский, с репликацией на удалённый сайт по CWDM.
Оставить комментарий
ava3443
Планируется на паре машин под AIX поставить syslog-ng и заставить несколько десятков серверов и разных сетевых железяк лить на них все логи.Подскажите какой-нибудь софт (желательно наверное от IBM, BMC или HP который позволит человеку-оператору что-то разумное извлекать из этой тонны логов и, тем самым, мониторить всю систему?