jose maria wrote:
El Miércoles 03 Febrero 2010, carlopmart escribió:
Si lo que tratas de hacer es gestionar mucho volumen de información a través de syslog, te recomiendo esto: http://www.splunk.com/. La versión free está limitada en tamaño (y solo en tamaño, las demás funcionalidades las tiene), pero la empresarial no.
Saludos.
* splunk tiene muchas limitaciones "el gratuito" ademas de los 500 MB , antes, no creo que haya cambiado la cosa, no te dejaba meter mas de 5 maquinas esto no lo dicen pero era asi ......, y el comercial vale una fortuna anual, aparte de que en este apartado se limita a presentarte el contenido del fichero, es decir tienes tu que programar con su api o herramientas las correlaciones, que es cada campo, asociar con usuarios , etc , para obtener resultados decentes en las consultas, vamos que es un tail, la aplicacion que usamos da hasta la foto del carnet del fulano aunque no es esto lo que ando buscando.
¿estás seguro? Yo dispongo de un servicio splunk en entorno de producción que recoge logs de 25 máquinas y es la versión free ... O sea que lo de la limitación de 5 en mi caso no procede (y tampoco creo que sea así). Además tengo el servicio clusterizado para evitar pérdidas de datos. Eso sí, lo malo son los 500MB pero por suerte no he llegado a esos límites diarios, ya que retrinjo la info que quiero que se derive a splunk. Aquí te envio una comparativa entre la versión free y la enterprise: http://www.splunk.com/view/free-vs-enterprise/SP-CAAAE8W. Todo es salvable excepto la limitación de los 500MB. Una opción seria montar dos instancias de splunk si no quieres pagar licencia. Ahora bien si lo que buscas es explícitamente un Event Correlation para linux y GNU es dificil. Este es un de los problemas que resuelven los productos comerciales ... Tendrás que combinar varios componentes. Te envio varios de ejemplos (alguno está encarado específicamente a ciertos aspectos): - http://simple-evcorr.sourceforge.net/ - http://www.8pussy.org/dokuwiki/doku.php - http://www.sguil.net/ Para mas info te recomiendo mirarte este blog: http://chuvakin.blogspot.com/search/label/SIEM
* No es lo mismo que splunk pero para las maquinas de control uso zabbix y zenoss este tiene limitaciones en features ninguna en cuanto a syslog o snmpd, ni en maquinas o volumen, ademas trato 80% con linux y los windows me la sudan, asi que me he hecho mis propios zenpacks (que no son mas que comandos por ssh , solo que usados en plan raton desde la interfaz de administracion, basicamente para que lo usen los administradores locales).
* Nagios tiene un plug-in reciente para lo que ando buscando, pero migrar esta historia a nagios, es un autentico palo y me lo prohibe mi religion por una sola caracteristica que necesito .......
Pues Nagios es bastante más potente que Zenoss, pero para gusto los colores :))
-- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org