我正在http://www.splunk.com 上观看视频,作为 IT 管理新手,这似乎是让我入门的绝佳解决方案。但我有顾虑。我刚从 cPanel 搬来,我不想最终依赖另一个陷入困境、过载的系统。我想知道你们中是否有人使用它,如果是,你喜欢还是不喜欢它?
我真的在寻找一种解决方案来帮助整理服务器日志并诊断服务器何时受到攻击。Splunk 似乎是一个非常好的解决方案,但有没有更好的解决方案,最好是免费的?
安装日志检查包。它会每小时扫描一次日志,并通过电子邮件向您发送任何它认为不正常的内容。本质上,它会通过电子邮件发送过去一小时内进入日志的所有内容,并且没有规则可以忽略。除了包含不应包含在日志中的内容之外,还有其他攻击规则。电子邮件主题行根据拾取邮件的原因而有所不同。
当我发现我认为正常但没有现有忽略规则的事情时,我通常会为其构建一个本地忽略文件。
各种系统日志替代方案都支持服务器整合,因此您可以将日志转发到单个服务器。不过,我一直没有这样做的习惯。我转发注销的唯一系统是我的 OpenWRT 防火墙。
编辑:我确实在工作中使用 Splunk 来搜索日志文件,尽管如果我知道我正在查找的特定日志,我更有可能使用较少的日志文件。它确实有警报功能,但我们不使用它们。我希望他们会在一场已知记录的比赛中发出警报。如果您在没有警报规则的情况下遇到新问题,这可能会导致大量漏报。我更喜欢像从日志检查中得到的误报。不过,Splunk 的警报可能具有更好的及时性。
我确实会从fail2ban 中及时收到有关导致其触发的情况的警报。它还维护原始来源的黑名单条目。