Re: centralne repozytorium logow

Bartek Siebab <bs@vt.pl> wrote in message
news:d74ek1$qgf$1@nemesis.news.tpi.pl
> Dariusz Kiszkiel dnia 2005-05-26 09:14:
>> Ciekawe podejście do archiwizacji logów. ;) Oby się nie okazało, że te
>> "zbęde i mało ciekawe zdarzenia", które nie znajdą się na backupie,
>> nie były kluczowymi, ewentualnie bardzo pomocnymi szczegółami podczas
>> próby dojścia do tego, co się właściwie w sieci działo... :)
> To zależy co uważa się za mało ciekawe. Weź pod uwagę że przecież
> i tak wszystkie zostają w dziennikach zdarzeń na maszynach :)
> a mnie jest potrzebna przede wszystkim baza do analiz poza tym
> dla mnie np. zdarzenie iż wydrukowano dokument na drukarce
> jest mało ciekawe bo takich zdarzeń mam całe pierdyliony
> i nic mi po nich i nie sądzę żeby były ciekawe bo imho
> ciekawsze dla mnie jest to iż ktoś się gdzieś zalogował
> z sukcesem lub nie albo próbował, lub też np. że na terminal
> zalogował się taki-to-a-taki gdy tymczasem na pecku z którego
> było logowanie był zalogowany zupełnie-kto-inny :p
> Także do takich rzeczy potrzebuję bazy.
> BTW. syslog-ng do kitu bazy obsługuje, wywołuje zewnętrzny
> skrypcior i tenże inseruje dane z pliku do bazy,
> to jak będę miał kilkaset zdarzeń na sekundę to jak znam
> życie syslog-ng mi zajeździ maszynę takim podejściem.

Niby tak... W sumie zależy od polityki jaką stosuje firma...
Właściwie chodziło mi głównie o to, że praktycznie niemożliwa jest ocena
przydatności informacji, a tym samym ich selekcja, przed zaistnieniem
sytuacji pod kątem której dane te miałyby być analizowane. Przykład z
drukowaniem. Dosyc łatwo można ułożyc hipotetyczny scenariusz w którym
właśnie informacje o tym kto, co i kiedy drukował, mogą okazać się gardłowe.
To samo dotyczy np. archiwizacji korespondencji elektronicznej.
A skoro pisałeś o centralnej bazie wszystkich logów, to myślałem, że
chodziło Ci o kompleksowe składowanie "naprawdę wszystkich logów".... :)
Stąd moje trzy gorsze na temat backupowania tylko wyselekcjonowanych
zdarzeń.

-- 
Darek (DAKOTA)