日志集中分析系统
日志集中分析系统,主要对业务体系组成的各个类型IT资源的深层日志进行监控,主要分为以下两个层面:IT基础资源架构监控、日志集中分析。
对于IT基础资源架构的监控,系统提供以业务为核心,按照管理员所管理的业务系统以及及其关联系统、设备提供业务视图展现,业务视图将IT环境具体业务应用系统涉及的相关分散的监测点进行了汇聚分析,为管理员提供快速掌握的业务运行的管理通道,通过多级视图的呈现方式,紧贴管理员思维,实现由全局到局部、由粗线条到细颗粒度地逐层展现业务应用的运行状况。
日志集中分析,主要集中在组成业务系统的各个业务应用的深层日志和应用进程,如网络设备、主机设备的syslog/trap日志、数据库的日志、中间件的日志、应用系统的日志等,以及在相关操作系统中的业务应用的进程等。
产品功能
日志采集功能
操作系统:
Linux、Solaris、AIX等所有主流类Unix操作系统的运行状态及系统日志;
Windows操作系统的事件日志(EventLog)、服务器主机性能、网络连接状态等;
网络及安全设备:
天融信、绿盟、东软、联想网御、Cisco、Checkpoint、Juniper、Fortinet、等国内外主流网络及安全设备厂商的各种网络设备及安全设备;
主流数据库访问行为:
支持对ORACLE、MS-SQL、SYBASE、Informix、DB2等主流数据库日志分析,管理其他的错误故障信息。
应用系统:
支持对常见Web及应用中间件系统(Apache、IIS、Tomcat、Resin、Websphere、WebLogic、TUXEDO等)、系统、FTP系统和常见应用系统产生的系统运行及用户访问日志。
业务系统:
支持对客户自有的业务系统日志进行分析,包括核心交易系统、网上银行、卡系统和财务系统等,通过针对业务系统的日志分析,可实现对业务交易性能和业务交易故障的监控分析,帮助管理员更好的掌控业务系统运行情况。
日志采集部署
Syslog/SNMP Trap探针:
Syslog/SNMP Trap日志为代表的网络及系统日志协议是目前所有的网络设备、安全设备、Unix主机中比较通用的日志协议,其它类似协议还有SNMP Trap等,日志集中分析系统依据特定协议接受或主动询问获得相关系统日志。
CLI远程探针:
提供基于Telnet/SSH的CLI远程探针,对的操作系统和应用系统产生的文件型日志进行远程分析和采集。
专用Agent探针方式:
对于主机上的各种非文件形式的日志、无法通过Syslog或者CLI远程探针采集的日志信息,系统支持采用在对象主机上安装软件探针(Agent)方式进行日志采集。如通过在Windows主机上安装Agent完成收集Event Log、性能监控、网络连接状态、进程运行状态等信息的收集;通过在Unix主机上安装Agent完成对用户通过加密协议或Console进行的Shell操作的记录采集等。
日志解析策略
规则基本信息:规则编号、规则名称、规则描述;
规则条件:规则匹配的依据。
正则表达式进行规则匹配。
通过语义进行内容搜索;(行为主体、行为时间、行为内容)
比较运算符:等于、大于、小于、不等于、区间、模糊。
逻辑运算符:与、或.
规则动作:规则匹配成功的日志进行相应的动作。
日志分类(原始、重要、告警)
告警等级;(设置告警等级,对告警性质进行分类)
告警方式(邮件、短信、声音,其中可以多种告警方式并用)等;
告警消息;(用户可以接受,查看的告警提示信息)
接收告警组;(可以处理告警对象集合)
日志分析综合展现