0
centralizar log switchs diferentes marcas

Open 4 Respuestas 1 Views
Estimados,

Que herramienta recomiendan para centralizar logs de switchs de diferentes marcas, (hp, cisco, allied telesis, etc).  Si es opensource mejor, tal vez más adelante también centralizar los logs de servidores (Linux/Win) pero no es importante ahora .

Tiene un punto a favor si la puedo integrar con Zabbix a la hora de las alertas.

4 Respuestas

1

No te puedo recomendar ninguna, donde estoy se está usando TheDude de Mikrotik y no me gusta nada.

Hace poco llegué de casualidad, a NAV que lo desarrollaron en Noruega algunas universidades para sí mismas, luego se juntaron entre varias y desde hace un tiempo lo lanzaron opensource.
Recuerdo de cuando leí la info de la web que lo habían empezado para monitorear switchs justamente (tal vez me equivoco).

Saludos,

respondido por MAbeeTT (890 puntos) Jul 30
2
Hola!

Pegale una mirada a graylog, está muy piola:

https://www.graylog.org/

EDIT: ando con el click fácil hoy, si no te querés complicar la vida y querés algo rápido como para empezar a centralizar mientras analizas opciones; podés levantar un rsyslog en algun linux que tengas por ahí y después es cuestión de grepear /var/log/syslog en el server; también funciona muy bien.

éxitos!
respondido por ralgozino (710 puntos) Jul 31
2Comentarios
comentado por gastondc (200 puntos) Jul 31
Muchas gracias. estoy analizando como opción graylog, también logstash. pero todavía no se que ventajas y contras tiene cada uno.

Vi que para graylog hay plugins para combinar con zabbix.
comentado por flazcano (470 puntos) Ago 1
En mi nuevo trabajo lo usan para juntar registros de equipos Fortinet. En mi viejo trabajo lo usamos para servidores. Para empezar fácil, fíjate que hay una VM para descargar.
1
Me sumo a la respuesta de grepear sobre rsyslog.

Sino tenes

logstash
https://www.elastic.co/products/logstash

o Splunk
https://www.splunk.com/

Que hasta cierto volumen de log es gratis.

Saludos.
respondido por PanLactal (160 puntos) Jul 31
2Comentarios
comentado por gastondc (200 puntos) Jul 31
Muchas gracias, estaba analizando entre estas dos opciones logstash o graylog   la verdad que hoy no tenemos nada, y cualquier cosa es una mejora.

¿logstash tengo que combinarlo con kibana si o si para poder leer los logs?
comentado por luigibalzani (8,800 puntos) Jul 31
Lo mejor es el paquete ELK, elastic search, logstash y kibana, podes agregar filebeat y algun otro producto segun tus necesidades. Pero de esos lo unico necesario si o si en tu caso seria logstash para leer y procesar syslog, y elasticsearch. Despues necesitas alguna manera de hacer las busquedas en elasticsearch de manera amigable y ahi entra kibana.

Saludos
1
Syslog-ng te deja organizar muy bien los logs, yo los tengo por host, por carpeta, año, día y mes.

Después, si querés que se vea bonito, tenes ELK.

 

Tip 1: Ojo, un syslog, dependiendo del tamaño de tu red, necesita

a) Discos buenos en RAID 1+0 en lo posible o LUN de Storage (iSCSI no, pls)

b) Un buen FS que te permita ir creciendo (usate LVM + EXT o zPool + ZFS).

Yo armé un syslog con un server tower HP viejo, con  raid y zPool y logueo todas las sesiones de dos firewalls, mas switches y otras cosas, y se la banca.

Tip 2: Estructurate bien las facilities (local0 a local7) y las severidades, para distinguir qué logueas en donde.
respondido por kmai (720 puntos) Jul 31
3Comentarios
comentado por gastondc (200 puntos) Jul 31
Excelentes recomendaciones. Voy a mirar bien ELK.  En este caso me suma que sea amigable y bonito.

Con respecto a los requerimientos, tengo todo virtual. Así que es flexible. ¿En tu caso vos tenes los logs en texto plano?  ¿En el caso de usar ELK o Graylog usa una BD si no me estoy equivocando?

Me estaba tentando Graylog. pero me tiran para ELK
comentado por kmai (720 puntos) Jul 31
Sí, utiliza una db, pero tené en cuenta que la línea de log se lee, se parsea y escribe en una base, por lo cual vas a tener un radio de escritura sobre lectura muy alto. Lo otro que tenés que tener en cuenta, es que es una row por entrada de log.. y capaz tengas que tocar algo en la base y las tablas para que no lockee la tabla y no tarde bocha en acceder a la info.
comentado por gastondc (200 puntos) Jul 31
Gracias! voy a examinar a ver que tan complicado es el tema de ELK. sino ire por un syslog como tenes vos.
...