iT邦幫忙

28

用搜尋引擎做IT設備各種Log事件管理

精誠資訊將引進Splunk搜尋引擎企業版,付費企業版本可以搜尋企業IT設備的登錄檔及設定檔案訊息,且沒有每天500MB的Log儲存上限。

搜尋引擎除了做網頁內容搜尋,還可以做什麼?精誠資訊即將於4月正式代理、引進一個新搜尋引擎Splunk。精誠資訊表示,Splunk最大特色是可以搜尋各種IT設備、主機內容、Log(登錄檔)事件、設定檔(Configuration)等資料,以目錄索引(Index)方式進行彙整、搜尋與管理。目前Splunk有免費版下載,但與付費企業版最大的差別在於,企業版可搜尋除本機之外的Log事件,以及沒有每天500MB儲存Log事件的容量上限。
精誠資訊東南亞營運事業部事業開發總監林宗瀛表示,Splunk和一般搜尋引擎最大的差異點在於,Splunk可以搜尋包括本機以及與本機相連的各種網路設備,不論是路由器、交換器、防火牆、網路伺服器、應用程式伺服器甚至是資料庫等,不論是Log、設定檔、警告訊息、腳本程式(Scripts)甚至是效能評量指標等,都可以透過Splunk進行搜尋,以目錄索引方式呈現。

目前Splunk全球已經有560個付費的企業用戶,以及超過10萬人次的免費下載。精誠資訊看好這種以搜尋引擎,整理、彙整各種網路相關設備產生事件的方式,預計在4月簽訂總代理引進臺灣市場。林宗瀛表示,Splunk對於各種IT設備產生的資訊,以搜尋方式進行彙整,對於IT人員而言,在使用效率上有很大的提升,「而Splunk也推出法規遵循套件,例如PCI等,讓企業可以做到IT設備事件、訊息的快速搜尋外,面對相關的法規要求與稽核時,也可以快速彙整所需資料、並可以報表方式完整呈現。」他說。

Splunk搜尋引擎可以方便搜尋各種IT設備、伺服器所產生的各種訊息,林宗瀛說:「Splunk可以快速找到並修補問題,讓系統能持續運轉,符合資安產品的可用性(Availability)標準。」Splunk能透過報表方式呈現各種績效評量指標,讓IT人員快速觀察到潛在的異常,並可以符合各種法規規範。

因為Splunk目前有免費版與企業版的差異,免費版只能搜尋本機端的各種設備訊息、警告,而且每天只有500MB訊息儲存容量的上限。
林宗瀛表示:「若想搜尋與本機相連其他網路設備的訊息,就必須採購付費的企業版,企業版也沒有500MB訊息事件容量儲存上限。」林宗瀛表示:「因為Splunk是搜尋引擎,所以相關IT設備不論產生何種格式,只要鍵入對的關鍵字,都可以找到所需要的資訊。」目前支援各種IT設備產生格式超過75種。

目前國外已經有資安與網路設備廠商,與Splunk簽訂代工合約,包括Radware、Cisco IronPort等廠商,都將內建免費版的Splunk搜尋引擎,提供IT人員進行相關IT設備事件、訊息的搜尋。而通訊手機大廠摩托羅拉則是Splunk企業版的使用者。摩托羅拉以往都是透過撰寫各種中介程式(Middleware),串接各種IT設備產生的各種訊息和警告。這種作法的缺點在於IT部門必須進行頻繁的事件管理,頻繁的開工單(Ticket),對IT人員都是一種工作上的負擔。而摩托羅拉在2007年1月採用Splunk搜尋引擎後,可以在Splunk Web-based平臺上查詢相關IT資訊、事件訊息,摩托羅拉也用Splunk搜尋引擎,做到ITIL中的事件管理(Incident Management)和問題管理(Problem Management)。

除了精誠資訊即將引進的Splunk搜尋引擎之外,在企業搜尋引擎上,網擎資訊(Openfind)的企業搜尋引擎OES(Openfind Enterprise Search)也是目前常見的企業搜尋引擎。OES 2.1版除了支援多國語系搜尋外,也擅長做企業內各種文件搜尋,除了各種Office文件,連壓縮檔也可層層解壓縮進行全文檢索,網頁搜尋也可以支援Proxy、HTTP認證和網頁過濾條件等各種網頁捉取的方式。目前網擎資訊OES 2.1版同時支援各種政府單位網站的分類檢索,可以針對政府網站和各種文件檔案,依照註解建立索引(Index),便利民眾搜尋。

網擎資訊研發協理葉慶章表示,目前網擎資訊還是專注在搜尋引擎核心技術的開發與支援。他指出,未來企業內部如果需要透過搜尋引擎方式,進行各種連網的IT設備,包含Log檔等事件設定檔的搜尋管理,只需要有第三方廠商開發API介面,將相關設備設定檔轉成OES可以讀取的XML格式,OES也可以變身Log檔搜尋引擎。文⊙黃彥棻


0
john651216
iT邦研究生 1 級 ‧ 2008-05-06 09:58:30

謝謝分享

0
魯大
iT邦高手 1 級 ‧ 2008-05-06 10:14:28

每天到IT邦常見識真是令人愉悅

0
skite
iT邦大師 5 級 ‧ 2008-05-06 12:41:14

國內做企業搜尋引擎最著名的應該還是openfind了,這個Splunk用起來不知道差別在哪呢…

0
ping
iT邦研究生 1 級 ‧ 2008-05-06 16:32:07

謝謝分享

0
amber093100
iT邦研究生 1 級 ‧ 2008-05-06 19:54:46

謝謝分享

0
jennymsn
iT邦好手 10 級 ‧ 2008-05-06 20:16:46

謝謝分享此資訊

0
loripan
iT邦研究生 1 級 ‧ 2008-05-06 20:27:53

謝謝你的分享

0
mmm12345
iT邦研究生 1 級 ‧ 2008-05-06 20:38:20

謝謝你提供的分享

0
tgunlu
iT邦研究生 1 級 ‧ 2008-05-06 21:38:45

謝謝分享

0
yce701116
iT邦研究生 1 級 ‧ 2008-05-06 21:59:03

感謝分享

0
fanylu60
iT邦研究生 1 級 ‧ 2008-05-06 22:09:31

感謝分享

0
xxxyyyzzz
iT邦研究生 1 級 ‧ 2008-05-07 07:58:10

謝謝分享

0
5min
iT邦好手 10 級 ‧ 2008-05-10 21:33:33

Splunk 應該是針對一些設備的Log做搜尋,跟一般搜尋引擎的應用方式不太相同,算是滿特別領域的搜尋。

0
jerry640
iT邦新手 1 級 ‧ 2008-06-01 09:09:21

謝謝分享

0
jamesjan
iT邦高手 1 級 ‧ 2008-08-07 12:42:32

重要的應該在於管理機制的建立
要有人去看,分析與處理問題

0

長知識了!

我要留言

立即登入留言