Una de estas actividades era la recogida de logs y su posterior análisis para extraer información útil de verdad para el system manager, desde fallos en los discos hasta intentos de acceso no autorizados. Hasta ahora, mi relación con los logs se había reducido a consultarlos tras un fallo en los sistemas o aplicaciones, reportado generalmente por un usuario, armado con el típico grep, el awk y poco más.
Esta vez, sin embargo, me propuse no sufrir innecesariamente y comencé a buscar por Internet en qué se había invertido el esfuerzo de análisis de logs en todos estos años que yo he estado ausente del tema. En primer lugar pensé en la seguridad y busqué herramientas con ese objetivo. Encontré OSSEC, pero me pareció excesivo teniendo en cuenta lo modesto de la instalación que gestiono actualmente y el hecho de que mucha de la seguridad es gestionada por el cliente desde otros departamentos. Luego encontré SEC. Es una herramienta de correlación mucho más simple que OSSEC y probablemente sea la que termine instalando junto con un desarrollo propio para detectar problemas de seguridad en mi entorno.
En cualquier caso, uno, de los logs, pretende extraer más información que escaneo de vulnerabilidades en tu servidor HTTP o intentos de acceso por SSH. Cansado de buscar herramientas de uso gratuito y dominio público (el presupuesto no es muy amplio), empecé a mirar en la otra acera, en las aplicaciones comerciales. Ahí sí había cosas, muchas cosas y todas en principio muy interesantes. Sin embargo, una me gustó sobre las demás porque se basa en el modelo de las dos versiones (Enterprise y Community Edition), y permite al usuario usar antes de comprar (y si no tiene pasta suficiente, seguir usando con menos prestaciones).
En concreto la aplicación se llama SPLUNK y ha sido como ver el Sol tras un largo y lluvioso invierno. Una vez que se le enchufan los logs, aquello empieza a indexarlos todos y en minutos estás haciendo todo tipo de búsquedas sobre los mismos. Así he estado unas semanas, contento con mis búsquedas fáciles, sin profundizar más en la herramienta por falta de tiempo. Pero el otro dia, la cosa volvió a cambiar. Una compañera me pasa el problema de un usuario que se queja de que su rendimiento con nuestro FTP ha caído dramáticamente. En ese momento, como todos los logs del FTP también se los está tragando SPLUNK, decidí probar a ver que podía sacar. ¡Genial! En 20 minutos, definí nuevos campos de búsqueda, creé una búsqueda nueva, le apliqué un filtro estadístico y me sacó un gráfico de barras agrupado por día de los rendimientos de las transferencias para ese usuario. Y eso, ¡leyendo el tutorial de Splunk en diagonal! (por cierto, el usuario se quejaba con razón aunque no parece culpa nuestra)
Ahí me he dado cuenta de la potencia real de la herramienta. La gente de Splunk viene en unos días a hacernos una presentación y estoy invitando a todos los administradores que conozco en el cliente para que se acerquen a ver lo que puede hacer esta herramienta. Es el tipo de cosas que hay que compartir con los compañeros de profesión para mejorarles la vida, si ellos quieren ¡claro!.
Hasta la próxima
1 comentarios:
Ok, todo entendido.
En parte depende mucho de el entorno en el que estes inmerso y las necesidades de monitoreo del mismo.
Particularmente estuve probando OSSEC y me parecio una herramienta en extremo poderosa ya que trae no solo la parte de administracion de logs (investigando se puede llevar a cabo) sino que ademas te ayuda con cuestiones de seguridad que a la postre se veran reflejadas en el cumplimiento con normas internacionales.
De hecho utilice Splunk para la presentacion de graficas bonitas y la realizacion de busquedas, ya que la interfaz web de ossec esta en pañales. Conoces Splunk for OSSEC? Si no lo conoces revisalo y veras que ya trae muchas busquedas predefinidas, lo que te evita mucho trabajo y ademas puedes construir nuevas busquedas a partir de todos los campos que te proporcionan las etiquetas de OSSEC.
El plus de OSSEC es que es un HIDS o HIPS, segun como se configure y que asigna niveles a los eventos, dependiendo de la severidad del mismo.
De cualquier forma gracias por la info y espero compartas con la comunidad tus busquedas.
f3r
Publicar un comentario en la entrada