This post is also available in:
English
“Logging” đã phát triển đáng kể từ những ngày sử dụng syslog truyền thống. Mặc dù vậy, nhiều người dùng syslog-ng vẫn tiếp tục dựa vào các giao thức syslog để vận chuyển log và lưu trữ chúng dưới dạng tệp phẳng. Trong khi hầu hết các hệ thống SIEM và công cụ phân log có thể nhận tin nhắn syslog hoặc đọc chúng bằng các agent của mình, bạn có thể thường xuyên tận dụng đích http() của syslog-ng để gửi nhật ký. Phương pháp này cung cấp hiệu suất cao và một kiến trúc đơn giản hơn để duy trì.
Nâng cao việc vận chuyển log với syslog-ng
Syslog-ng bao gồm nhiều trình điều khiển được xây dựng trên đích http(). Ví dụ, đích elasticsearch-http() gửi các log đến Elasticsearch hoặc OpenSearch. Nhiều dịch vụ sử dụng Elasticsearch Bulk API, bao gồm Sumo Logic và Splunk. Tuy nhiên, một số đích mà hiệu suất không phải là mối quan tâm chính (hoặc có thể là một hạn chế) bao gồm các dịch vụ nhắn tin tức thời như Telegram hoặc Slack để cảnh báo. Ngoài ra, bạn có thể đọc tài liệu API và viết một đích mới dựa trên http() nếu cần.
Chuẩn bị môi trường của bạn
Đối với hầu hết các hệ điều hành hiện đại, phiên bản syslog-ng đi kèm bao gồm đầy đủ các tính năng http(), yêu cầu ít nhất phiên bản 3.23. Phiên bản này có sẵn trong RHEL 8 EPEL repository, và các hệ điều hành khác thường có các phiên bản mới hơn. Nếu hệ điều hành của bạn có phiên bản cũ hơn, bạn có thể kiểm tra các kho lưu trữ tại bên thứ ba của syslog-ng với các gói được cập nhật tại trang nhị phân. Các kho lưu trữ này cũng cung cấp quyền truy cập vào các tính năng syslog-ng mới nhất, như hỗ trợ kiểu dữ liệu hoặc đích nhanh MongoDB.
Đơn giản hóa cấu trúc ghi log
Trong khi nhiều hệ thống SIEM và công cụ phân tích log có các công cụ chuyển tiếp log của riêng mình, việc sử dụng syslog-ng cho cả việc thu thập log trung tâm và chuyển tiếp đến các công cụ phân tích có thể đơn giản hóa kiến trúc của bạn. Thông thường, bạn muốn lưu hầu hết các log message đến để lưu trữ dài hạn và chỉ gửi một phần nhỏ để phân tích thêm. Mỗi công cụ phân log yêu cầu một tập hợp tin nhắn khác nhau.
Cho phép các công cụ chuyển tiếp log khác nhau đọc các log được lưu để lưu trữ dài hạn có thể lãng phí tài nguyên, vì bạn gửi tất cả log bằng nhiều ứng dụng qua network. Về phía phân tích, xử lý nhiều log hơn làm tăng chi phí, đặc biệt đối với các ứng dụng thương mại được cấp phép theo khối lượng log. Lưu các phần nhỏ của log vào tệp để đọc cũng lãng phí không gian đĩa và yêu cầu các ứng dụng bổ sung.
Bằng cách sử dụng syslog-ng để chuyển tiếp log đến các hệ thống SIEM và công cụ phân tích khác nhau, bạn đảm bảo rằng các bên nhận chỉ nhận được các log mà họ cần, mà không tốn thêm không gian đĩa hay ứng dụng bổ sung.
Tăng cường hiệu suất
Elasticsearch, Sumo Logic, và Splunk cung cấp các API dựa trên HTTP để thu thập log. Việc gửi log trực tiếp đến các API này đơn giản hóa kiến trúc ghi log của bạn và nâng cao hiệu suất. Đích http() hỗ trợ nhiều worker và cân bằng tải, cho phép syslog-ng sử dụng nhiều lõi CPU và kết nối mạng để gửi các log massage. Tính năng này cho phép syslog-ng gửi log đến nhiều nút ingest song song, cân bằng tải.
Những khả năng này đơn giản hóa cấu hình của bạn, vì một node syslog-ng có thể cung cấp dữ liệu cho nhiều node Splunk hoặc Elasticsearch mà không cần một ứng dụng hoặc thiết bị cân bằng tải chuyên dụng. Trong khi đích tcp() cũng cung cấp các khả năng tương tự, chúng bị giới hạn hơn. Tài liệu của Cribl cũng khuyến nghị sử dụng đích elasticsearch-http()thay vì giao thức syslog vì những lý do này.
Tiếp tục cải tiến
Với việc HTTP trở thành giao thức phổ biến cho việc vận chuyển log, việc ghi log đã vượt qua giao thức syslog truyền thống. Mặc dù một số API hoạt động qua HTTP nhưng không thể triển khai bằng đích http() của syslog-ng, nhiều ứng dụng và dịch vụ sử dụng Elasticsearch Bulk API hoặc Splunk HEC API. Thường thì tất cả những gì bạn cần làm là xác định đúng URL cần sử dụng, giúp bạn không cần phải đọc tài liệu API và tạo một đích dựa trên http() từ đầu.
Về DT Asia
DT Asia được thành lập năm 2007 với sứ mệnh đưa các giải pháp bảo mật CNTT tiên phong khác nhau từ Hoa Kỳ, Châu Âu và Israel gia nhập thị trường.
Hiện tại, DT Asia đã là một nhà phân phối giá trị gia tăng trong khu vực đối với các giải pháp an ninh mạng, cung cấp công nghệ tiên tiến cho các tổ chức chính phủ trọng yếu cũng như các khách hàng tư nhân lớn bao gồm các ngân hàng toàn cầu và các công ty trong danh sách Fortune 500. Với các văn phòng và đối tác rộng khắp trong khu vực Châu Á Thái Bình Dương, chúng tôi hiểu rõ hơn về thị trường và từ đó mang đến những giải pháp bản địa hóa phù hợp với từng quốc gia, từng tổ chức.
Cách chúng tôi có thể giúp bạn
Nếu bạn muốn biết thêm về syslog-ng, bạn đang ở đúng nơi, chúng tôi sẵn sàng giúp đỡ! DTA là nhà phân phối của One Identity, đặc biệt tại Việt Nam và châu Á, các kỹ thuật viên của chúng tôi có kinh nghiệm sâu rộng về sản phẩm và các công nghệ liên quan mà bạn luôn có thể tin tưởng. Chúng tôi cung cấp các giải pháp trọn gói cho sản phẩm này, bao gồm tư vấn, triển khai và dịch vụ bảo trì.
Nhấn vào đây để biết thêm thông tin chi tiết: https://dtasiagroup.com/one-identity/?lang=vi
