企业监控需要关注的内容

  目前市场上企业监控类的开源免费的产品很多,在眼花缭乱中,有时候想找一款实用的既简单又方便的软件其实不容易,很多开源软件只关注一个点,或许做的不错,但很多时候企业需要的是一个面,从IT设备到业务的监控,这样就导致企业会部署很多的软件来支撑系统的运行,除此之外,多开源或者免费的软件配置也是比较复杂的,经常一个功能从学习熟悉到使用,需要花费大量的成本,如果遇到问题,很难有有效的支持服务,绝大多数情况就是自己求助搜索来解决,费时费力,还不一定能解决好。从体验上,很多开源软件之间又没有什么关系,导致界面入口很多,给用户带来繁琐,经常没有时间看或者干脆就不看了。

  对很多中小企业来说,本身的设备和系统不是太多,设备一般是几台到几十台,软件系统从几套到几十套不等,从 运维的角度,中小企业在业务运维安全管理中的需求上和大公司没有太大的区别,但花费同样的资源和金钱去投入,也不现实,那怎么办呢,本产品就针对此类用户由此而生。通过高性价比的解决方案,满足企业对信息化监控合规业务的需求,以及通过监控所有可能的日志来满足业务分析等。

  监控监控的目标是什么?每个人都有不同的答案,我们认为监控的终极目标就是为了保证业务的持续和稳定运行。监控主要的内容分业务、运维和安全。监控的几个概念。

监控对象:要监控的对象是什么,就是你要监控什么东西。

监控对象的指标:我们要监控这个东西有什么属性?比如CPU内存的使用率等。

确定报警基准线:怎么样才算是故障,要报警呢?比如CPU的负载到到多少才需要报警?

从最基础的到最上层的步骤来分析监控的主要内容。

硬件监控、系统监控、应用服务监控、网站监控、安全监控、文件监控,操作监控,数据库监控、业务监控等。

  硬件监控监控的第一步,如果硬件出了问题是比较严重,所有在此硬件上跑的应用都将不能发挥作用。服务器硬件管理接口都使用了业界统一的IPMI协议,版本从1.52.0不等。从监控的思路上有两种,一种是主动获取IPMI传感器参数,另一种是IPMI设备发送报警通知,一般用到的协议是snmp trap协议。第一种情况在监控详情的时候用的比较多,比如获得曲线图等等,重点应该关注第二种,这种日志主要是硬件告警信息。

  系统监控是监控体系的基础,系统监控主要的对象有CPUMemoryIO等深入的还包括系统的进行,对外链接端口,文件变化,文件变化主要面临的是防篡改方面的需求,这方面的重要性无容置疑。

  应用服务监控也是监控体系中比较重要的内容,主要是提供服务的软件本身的运行状况,例如Apache的连接数,响应时间,JVM的堆栈使用情况等等,垃圾回收情况等,Apache提供了mod_statusmod_info模块用来输出Apache的状态;Nginx编译的时候加上—with-http_stub_status_module,然后就可以使用stub_status on来开启了;JVM使用jmconsolemetrics,或者jmx就可以进行远程监控。

  网站监控,可以通过web访问日志监控,通过日志可得到很多有用的信息,比如pv,独立ip,地域分布,浏览器分布,状态,访问排行等。

  安全监控,安全监控包括攻击监控,系统漏洞监控。攻击监控主要分web网站攻击,服务器攻击等这些大部分可以通过日志进行分析,比如网站攻击可以通过waf的日志和web日志进行分析,对于服务器攻击可以通过系统日志去分析服务器攻击。

  操作监控,操作监控是针对登录到服务器上操作的行为进行监控,防止误操作或者有入侵行为的发生。

  数据库监控,数据库监控针对数据的访问进行监控,包括登录,sql查询,性能慢的查询等。

  业务监控,这个和每个业务系统有关系,比如对大多数网站来说活跃用户、新增用户、交易情况等这几个就是比较重要的指标。

  本系统通过操作系统日志,旁路抓包日志,waf日志,监控日志,ftp日志等其他可能收到的日志进行分析,对上述的内容进行监控,保证用户在业务运维安全方面的需求。目前产品已经整合了mysqlsniffer插件,httpsniffer插件,inotify插件,即将整合collected插件和openvas插件。

  如需详细了解请关注osc上的产品介绍和升级内容。


你可能感兴趣的:(日志分析,secilog,赛克蓝德,secisland)