Декабрь 19, 2019 Просмотры 29 просмотров

GFI EventsManager: контроль над событиями в сети

Современным компьютерам (будь то сервер или рабочая станция) приходится обрабатывать количество информации, которое сложно представить человеку. Большое количество расчетов означает и большое количество трудностей и ошибок, с которыми сталкиваются машины. Конечно, программы пытаются справиться с ошибками самостоятельно, но иногда внимание и вмешательство человека просто необходимы.

В большой корпоративной сети часто работают сотни рабочих станций и десятки серверов, маршрутизаторов и прочих активных устройств. Все они регулярно генерируют информацию для администратора, как сообщения об ошибках, так и просто отчеты о происходящем. Этот процесс и результирующий отчет называются одним словом “лог”.

Логи, или как их еще называют, файлы регистрации событий – незаменимый инструмент для мониторинга сетевой активности, состояния системы и ее производительности. К сожалению, они редко используются с максимальной эффективностью. Основные причины этому - огромный объем информации, сложность ее анализа, а также разнобойность форматов лог-файлов, генерируемых программами.

Если некоторые программы ведут лог примерно одинакового формата, то некоторые – весьма своеобразный. Так, стандартный для UNIX syslog представляет собой текстовый файл, в котором каждое новое сообщение представлено отдельной строкой. В Windows за запись и отображение логов отвечает Event Manager – схема его работы более мудрена и непонятна, как и принято в Microsoft. Сетевые устройства а-ля Cisco обычно более или менее придерживаются unix-way.

Что касается объема информации, то в небольших организациях еще удается как-то справляться с ее обработкой и анализом. Но по мере роста организации ей, как правило, приходится внедрять более структурированный подход к управлению файлами логов и их хранению, иначе многочисленные устройства, находящиеся в сколько-нибудь большой сети, будут впустую генерировать великое множество отчетов самого разнообразного вида, храня их “у себя”. Для анализа этой информации придется заглядывать на каждое устройство и просматривать его логи вручную, то есть о сколько-нибудь эффективном мониторинге в реальном времени можно даже не помышлять.

Сама собой напрашивается идея собирать все сообщения лога в одно место, на один сервер, с помощью которого можно будет получать информацию обо всех устройствах сразу и обрабатывать ее.

В принципе, и unix-системы, и Microsoft Windows умеют сами перенаправлять сообщения лога на удаленные компьютеры, но делают это каждая по-своему. Следовательно, желателен программный комплекс, который сможет централизованно собирать и обрабатывать данные, поступающие с разных платформ, а также предоставлять возможности просматривать сообщения в удобной форме (например, выделяя важные сообщения вроде ошибок или окончания длительных или просто важных процессов), а также анализировать их в режиме реального времени.

Такой комплекс уже существует – GFI EventsManager. Менеджер сообщений “умеет” собирать данные с разных серверов и рабочих станций, автоматически выделять важные события, вроде повреждений данных или угроз безопасности и информировать о них в реальном времени.

Среди важных “способностей” EventsManager считаю нужным выделить следующие:

  • Умение централизованно хранить и анализировать события. GFI EventsManager эффективно обрабатывает файлы регистрации событий SNMP Traps, Windows Event logs, W3C logs, SQL Server audit logs и Syslog и предоставляет информацию централизовано, в простой  и удобной форме.
  • Умение расшифровывать сообщения Windows Event Log (кои зачастую малопонятны сами по себе)
  • Централизованная регистрация событий. Основная фишка GFI EventsManager – сбор и хранение всех полученных файлов регистрации событий в единой базе данных SQL, которая может быть как локальной, так и удаленной.
  • Уведомления в режиме реального времени. При возникновении событий, требующих немедленного внимания (ключевых событий или вторжений), продукт способен запустить сценарий и/или отправить уведомления по электронной почте, через службу сетевых сообщений или SMS.
  • Наличие собственных серверов syslog и SNMP (EventsManager работает только под управлением Windows, где собственного syslog нет)
  • Обработка логов на основе правил и фильтров а также возможность создавать собственные фильтры и правила реакции на определенные события. В комплекте с GFI EventsManager поставляется набор правил обработки файлов регистрации, позволяющих фильтровать и классифицировать события, удовлетворяющие определенным условиям. Помимо этого, вы можете изменять и настраивать их или создавать свои собственные правила.
  • Мощные функции фильтрации событий. GFI EventsManager, используя интеллектуальный встроенный инструмент поиска, позволяет выборочно просматривать необходимые события.
  • Создание профилей сканирования лог-файлов. Данный продукт умеет создавать специфические профили с наборами правил мониторинга файлов логов для определенных компьютеров или групп компьютеров.
  • Генерация регулярных отчетов с возможностью отправки их по e-mail, либо экспорта в doc/xls/pdf.

Помимо всего вышеперечисленного, стоит также упомянуть поддержку автоматической архивации данных и удобный графический интерфейс программы.

Предопределенные фильтры и правила

EventsManager включает в себя предопределенный набор фильтров и правил для анализа часто встречаемых событий. Вот примеры некоторых из них:

  • Изменения Group Policy на контролируемых Windows-компьютерах
  • Отчеты принт-серверов
  • Состояние служб
  • Активность пользователей, обнаружение неиспользуемых аккаунтов
  • Проблемы с безопасностью Windows – отключенный брандмауэр, отсутствие антивируса
  • Переполнение жестких дисков
  • Медленная реакция на ping (перегрузка процессора)
  • Аудит серверов MS-SQL и Oracle
  • Классификация событий MS ISA, MS IIS и MS Exchange.
  • Вычистка “мусорных” (часто повторяющихся и некритичных) сообщений. Это очень важно, так как сообщения, сигнализирующие о нормальной работе машины, могут составлять более половины всех сообщений.

Помимо правил для анализа информации syslog и event log, EventsManager включает и поддержку для сообщений практически всех популярных сетевых устройств (в том числе и VoIP) и ПО: Cisco, 3Com, IBM, HP, Check Point, Alcatel, Dell, Netgear, SonicWall, Juniper Networks, Arbor Networks, Allied Telesis.

Системные требования

Для работы EventsManager желателен отдельный сервер под управлением Windows Server 2008 (поддерживаются и Server 2003 и Windows 7). Также потребуется установка .NET framework 2.0 и наличие сервера MS-SQL для хранения данных.

На сервере средней производительности (4gb RAM / 3 GHz Xeon) анализатор может обрабатывать около 6000 сообщений в секунду – это, на самом деле, очень много.

Зачем вообще хранить логи и как может быть полезен их анализ?

Грамотный анализ логов – задача сложная и трудоемкая. Потому им часто пренебрегают, а зря. Анализ событий и их динамики поможет улучшить производительность компьютеров и сети, а как следствие – производительность труда и помочь в форс-мажорной ситуации. Например, при выявлении утечки данных из организации есть большая вероятность, что прослеживание событий по журналу приведет к установлению точки утечки и виновного. А без централизованного журналирования положительный эффект от расследования маловероятен – во-первых, придется просматривать и сопоставлять разрозненные данные на разных компьютерах, что утомительно и долго, да и локальные журналы событий обычно долго не хранятся.

Способность программы, занимающейся анализом журнала, сигнализировать о событиях в реальном времени важна как минимум тем, что администратор сможет узнать об отказе какого-либо сервера или сервиса, который, будь он критичен для бизнеса, может вызвать цепочку негативных последствий.

Резюме

Все вышеперечисленное (и многое другое) по плечу GFI EventsManager. Программный комплекс разработан так, что должен стать незаменимым инструментом сетевого администратора в любой мало-мальски крупной компании. Этому способствует простое развертывание системы, большой спектр возможностей продукта, а также высокая скорость работы.

Где взять продукт

На сайте GFI вы можете бесплатно скачать пробную версию программы на месяц.

Скриншоты программы:

events001

events002

events003

events004

events005

events006


Просмотры 29 просмотров

Статистика просмотров страницы:

  • за текущий месяц (Март 2024) - 1;
  • за прошлый месяц (Февраль 2024) - 3;
  • за последние 3 месяца (Декабрь 2023 - Февраль 2024) - 5;
  • за последний год (Март 2023 - Февраль 2024) - 11;

Отзывы

Админ
Отлично!
Март 28 Админ

Статьи и обзоры Все статьи

GT & Industrial Systems, LP, действующая в Узбекистане через зарегистрированное ...
В начале 2000-х мир киберспорта переживал свою золотую эпоху, а ...
Бухгалтерская программа 1C способствует успешному развитию бизнеса в условиях современной ...
Автоматизация бизнес-процессов и повышение эффективности компании с помощью программы 1С.