Co w logach siedzi?

Prawie każda sieć była lub będzie kiedyś obiektem ataku. Ale skoro już doszło do włamania, warto wiedzieć kto za nim stoi i jakich spustoszeń dokonał. Instalując LogCastera, na pewno szybciej znajdziemy słabe strony naszej sieci.

Każdy administrator systemu informatycznego składającego z kilku serwerów (np. WWW, FTP, poczta, baza danych) boryka się codziennie z problemem monitorowania stanu poszczególnych składników swojej sieci. Rozrzucone po dysku pliki dzienników, mające często różny format, rozrastają się z czasem do wielkich rozmiarów i dopóki w systemie nie zdarzy się jakaś poważna awaria, nikt nawet nie myśli o czytaniu tysięcy linii z zapisem zdarzeń.

Centralnie i kompleksowo

Większość serwerów ma własne konsole do przeglądania dzienników, a informacje można nawet zbierać w zewnętrznej bazie danych. Taka forma gromadzenia informacji doskonale nadaje się do późniejszego przetwarzania i raportowania, nie pozwala jednak na bieżące monitorowanie stanu aplikacji i ewentualne powiadamianie administratora o zagrożeniu. Dlatego wielu niezależnych producentów oprogramowania dla administratorów tworzy własne kompleksowe rozwiązania.

Przejrzysta prezentacja skomplikowanych danych systemowych to niewątpliwie duża pomoc dla każdego administratora.

Przykładem takiego pakietu jest LogCaster firmy RippleTech. Jest to rozbudowane narzędzie, dzięki któremu możliwe jest śledzenie pracy dużego systemu. Narzędzie składa się z dwóch części ­ agenta, czyli programu odpowiedzialnego za zbieranie danych, oraz konsoli zarządzającej. Agenta należy zainstalować na wszystkich stacjach roboczych oraz serwerach, które chcemy monitorować. Można to wykonać lokalnie lub zdalnie (co znacznie ułatwia pracę) bez potrzeby fizycznej obecności przy stacji roboczej. Mimo że program agenta pełni funkcję serwera, to jednak dane są przesyłane wtedy, gdy się pojawią, a nie kiedy poprosi o nie administrator. W przypadku awarii lub wyłączenia konsoli wszelkie informacje są przechowywane lokalnie.

Elementy składowe aplikacji, które znajdują swoje odzwierciedlenie w oknach konsoli, to Event watcher, Service watcher, TCP/IP watcher oraz Performance Monitor. Event watcher jest najważniejszym składnikiem LogCasera i jak sama nazwa wskazuje – umożliwia centralne zarządzanie systemowymi dziennikami zdarzeń. Szczególny nacisk położono tu na generowanie alarmów dla wskazanych przez użytkownika zdarzeń oraz możliwość definiowania akcji w razie ich wystąpienia. Agenty obecne na stacjach roboczych i serwerach przesyłają wybrane dane do konsoli zarządzającej. Tu administrator może w jednym oknie przeglądać i analizować interesujące go zdarzenia. Dzięki temu nie musi on przedzierać się przez setki lub tysiące niestotnych dla niego informacji.

Obecne w sieci komputery można grupować, co pozwala na określanie wielu poziomów wymagań dla różnych maszyn. Dla poszczególnych komputerów można podać, jakie zdarzenia mają podlegać inspekcji. Administrator ma także możliwość określenia treści komunikatów pojawiających się na ekranie wybranego komputera, a także stworzenia własnych skryptów, które w sytuacji alarmowej zostaną wywołane wraz z podanymi parametrami.

Inteligenty podglądacz

Service watcher to druga ważna z punktu widzenia administratora usługa. Obecny w systemie Windows NT Server Manager staje się niewygodny w użyciu już przy kilkunastu stacjach roboczych. Moduł Service watcher to jedno, wspólne dla całej sieci narzędzie, pozwalające wydajnie kontrolować usługi systemowe. Dzięki niemu bardzo łatwo i szybko można zidentyfikować źródło problemów oraz podjąć akcję zapobiegawczą. Oprócz automatycznego restartu samej usługi lub całego systemu program może także wykonać dowolne polecenia administratora, zawarte we wcześniej przygotowanych przez niego skryptach. Aplikacja pozwala także ręcznie zarządzać serwisami bez potrzeby uruchamiania narzędzi systemowych.

Dzięki rozbudowanej wizualizacji LogCaster pozwala też na wygodne śledzenie parametrów dowolnego licznika w systemie Wnidows NT.

Kolejny moduł –

TCP/IP watcher — powinien zainteresować administratorów usług i serwerów, które udostępniają zasoby poprzez protokół TCP/IP. W tym przypadku na monitorowanej maszynie nie musi być zainstalowany agent LogCastera, ponieważ aktywność zdalnej usługi badana jest na podstawie odpowiedzi na wysyłane zapytania. Administrator określa częstość kontroli, a w odpowiedzi otrzymuje m.in. czas potrzebny na reakcję serwera. W programie predefiniowane są już takie usługi, jak WWW, FTP, POP3, SMTP, Ping oraz Telnet. W przypadku serwera WWW mamy dodatkowo możliwość wyboru ponad 40 kodów zwrotnych, które wskażą nam, czy usługa działa poprawnie. Jeżeli ktoś chce testować nie zdefiniowaną wcześniej usługę TCP, to może wpisać żądany numer portu i dodać ją do listy. Uzyskane dane przedstawiane są następnie w tabeli oraz w formie wykresów, co pozwala określić stabilność i dostępność serwerów.

Ostatni z modułów LogCastera to Performance watcher, który stanowi rozszerzenie systemowego monitora wydajności Windows NT/2000. Wszystkie zdefiniowane w systemie liczniki mogą być wykorzystane do tworzenia różnych wykresów oraz do generowania alarmów i kolekcjonowania danych.

Dzięki dodatkowemu modułowi Text File watcher LogCaster może monitorować pliki tekstowe generowane przez wiele aplikacji i powiadamiać administratora także o tych zdarzeniach.

Wart też nadmienić o obecności składnika SysLog Watcher, który potrafi zapisywac w Dzienniku zdarzeń NT komunikaty pochodzące z systemów Unix lub Linux, a następnie generować na ich podstawie e-maile.

Dobrze, bo bezpiecznie

Autorzy aplikacji zadbali także o bezpieczeństowo monitorowanego systemu i zapewnili szyfrowanie przesyłanych informacji, jednocześnie starając się ograniczyć ruch sieciowy do minimum.

Jak widać, LogCaster może stanowić dużą pomoc dla administratora systemów Windows NT/2000. Dlatego jeżeli stoimy przed zadaniem kontrolowania zasobów sieci, powinniśmy rozważyć możliwość użycia programu firmy RippleTech.

LogCaster 3.1
Wymagania: takie jak systemu Windows NT lub 2000, ok. 61 MB na dysku
+ wydajna praca w rozległych sieciach
+ zdalna instalacja agentów
+ definiowanie reakcji na zdarzenia
– konieczność wczytywana konfiguracji wykresów po restarcie

Producent: RippleTech, USA
http://www.rippletech.com/
Dostarczył: Orion Instruments Polska, Warszawa
tel.: (0-22) 685 25 85
faks: 685 24 22
http://www.orion.pl/
e-mail: [email protected]
Cena: ok. 450 zł (workstation)
ok. 3800 zł (serwer)
W dziale Software | Nowe produkty znajduje się wersja demonstracyjna programu LogCaster 3.1

0
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.