Napló

Kis-Szabó András

rendszermérnök

Napló,

2

- Cél szentesíti az eszközt

- Gyűjtés

- Kezelés

- Feldolgozás

- Elemzés

- Minden cél jó a maga módján

- Mivel a cél eltérő, a helyes módszertan sem azonos

- De mi a napló?

- Gyűjtés után minden napló lehet, adattá alakítható

- Napló =

- Jó napló?

- Értékes napló?

- Költséghatékony napló?

Mint az iskolában

Rajt – cél

3

- Általános cél műszaki oldalról

- minden

- Megvalósítható cél

- megegyezik ezzel, minden

- Költség-kontrollált cél

- általában nem beismert

- Költségek

- Cél túlhatározott, korlátok nem beismertek = Csillagháború

A győzelem messze lehet

Halálcsillag

4

Halálcsillag

- Nagy tervek

- Jóváhagyás: Darth Tyranus, Darth Sidious

- Kivitelezés: Tarkin

- Problémák

- Költségek

- Technikai korlátok

- Építési nehézségek, együttműködés

- Közel kész állapot: 20 év

- Üzemeltető személyzet: 1.161.293 fő

A vállalkozók lázadása

Project

5

- Célok

- Célok lebontása csökkentheti a feladatokat és erőforrásokat

- Jobb fókuszt biztosít

- Hamarabb eredményre juthat

- Bízzunk az erőben

- De ne túlságosan

- Ismerjük be korlátainkat

- Mérjük fel erőnket, hogy ne erőszak szerverez legyen a project

- Elérhető célok és emberi erőforrások

- Fizikai erőforrások elérhetőséges, képességeink

Kivitelezés művészete

Gondolkodni

6

- Megfelelő kérdéseket meg kell hallani, fel kell ismerni

- Mi a célom és milyen emberi erőforrást tudok mellé rendelni?

- Az ember véges erőforrás- Technikai paraméterek definiálása egyszerű

- Emberi feldolgozó képességet nehezebb hozzárendelni

- Technika is limitáld lehet

- Matematika- 10.000 EPS, egy Event átlag 2 sor, egy képernyő 168 sor

- 119 képernyő / másodperc = 119 FPS, de az ember kb 20-nál feladja

- Matematika #2- 20 FPS megkülönböztetés – nem olvasás! – a fenti adatokkal

- 1680 EPS felismerése- Ki készít ebből jelentéseket?

- Bízni kell a technikában, de korlátlan „tömörítés” nem lehetséges

Nem erőből cselekedni

Matematika

7

- Mindent fel kell szorozni

- EPS-t limitálni érdemes. Könnyű nagyot mondani!

- Idő x Darabszám x Hossz = Nagy baj!

- Ellenőrzés

- 60.000 EPS 1 évre 1.100 byte méret mellett = 2 PB RAW

- 1 éves jelentés 1 nap alatt: 6.000.000 IOPS! (4k, linear) és 23GBps RAM-DISK IO (HBA!)

- 1:100 tömörítés mellett is rémisztő IOPS

- 1:100 tömörítés IOPS-ot csökkenti, de LZW miatt CPU-t sokszorosra növeli

- Ethernet frame: 1500+ Byte + Meta adatok!

- 10 Gbps 5 napra akár 500TB is lehet meta nélkül

- VS. IOPS, CPU, buszok

- Megvalósítás

- Ha felismerem a limiteket, elfogadva őket elosztott rendszert építhetek

- Két-három dimenziós felosztás kisebb, olcsóbb elemeket követel meg

Realitások segíthetnek

Megvalósítás

8

- Kevés a tapasztalat, el kell hinni a tanácsadó mondását

- Kontroll: valós korlátok ismerete segíthet

- Gyűjteni jó, de szinte soha nem akarok hozzáférni az adatokhoz- Fektetni olcsóbb, mint memóriában tárolni

- Elemezni jó, de vajon mindent akarok elemezni?- Kb. 80% frame error, port up/down feldolgozási költsége meghatározható

- Mit akarok elemezni és mekkora időtávra?- Tudok olyan igényt mondani, ami több, mint 1 órás?

- Miről kell jelentés?- Mi az, ami keresés, de jelentésnek hívom?

- Általános vagy konkrét?- Valóban kell szinte minden adat a válaszoz, vagy felbonthatom csoportokra?

- 1 TB olvasásának és 100 TB olvasásának is van költsége, ami közel nem azonos

- Átlag 30.000.000 EPS is kezelhető- Nem egy project és nem 3 hónap alatt, főleg nem egyben

Tapasztalati problémák

Összefoglalás

9

- Gyűjtés – gyors bevezetés- Mindent el kell rakni – főleg csak tárolni kell

- Visszakeresés gyakorisága, hossza – ILM megoldások- Olcsó, célzott tároló/fogadó megoldás nagy fogadási méretezéssel, ILM támogatással- Syslog-NG OSE/PE/SSB variánsok

- Kezelés, feldolgozás – könnyű sikerek- Szűrés, elő feldolgozás megengedett, célzott eljárások- Költség és keresési hatékonyság növelése- Általánosan megfogalmazott feladatok, compliance- Feladat specifikus rendszerek – hálózat, perimeter, üzleti rendszerek, kiemelt folyamatok- Korrelált adatok megőrzése és tárolása, visszakereshetősége – ILM

- HP ESP ArcSight Logger termékvonal

- Kiemelt elemzés – agymunka vs. korlátlan budget- Korrelációs szint, csak célzott, értékes use-case támogatás- Erős erőforrás-kontroll a költségek kezelésére

- HP ESP ArcSigth Express/ESM SIEM megoldások

- Egyéb megoldások- McAfee SIEM

Javaslatok

Kérdések és válaszok

10

Köszönöm a figyelmet!

Kis-Szabó András

Andras.Kis-Szabo@snt.hu

OOOO A4

11

A naplózás létjogosultsága ma már nem kérdés. Egyre több esetben már értékként is lehet használni. Ebből adódóan célszerű lehet értékes rendszerként alkalmazni. A naplók mérete és igényei jelentősen megnőttek napjainkra. Minden adatot naplónak lehet tekinteni, így adatbányászni is lehet bennük. Innen eredhet a Big Data alapú kezelése a naplóknak. A kissé beláthatatlan, néha homályos Big Data helyett lehet, hogy célszerűbb itt is visszanyúlni a régi adatkezelési elvekhez, s ILM-ben gondolkozni. Osztályozni az adatokat, célokat rendelni hozzájuk, s életciklusban kezelni őket. Kényelmes mindent egyben kezelni, de feldolgozó, tároló, mentő rendszereket is kell társítani mellé. Egy átlátható és felfogható, letisztult rendszer kontrollálhatóvá teheti a költségeket, átláthatóan tartja a rendszert – bár előzetes tervezést igényel. Tapasztalatok alapján a tervezés felgyorsítható, a bevezetés szakaszolható a minőségibb eredmény elérése érdekében – a használható project termék előállítása céljából. Ipari, pénzügyi, TELCO – illetve kiemelkedő méretű nemzetközi – naplókezelési és elemzési projecteken alapuló tapasztalatunk megfontolásra lehet érdemes.