来源:http://yepeng.blog.51cto.com/3101105/966606
我们已经知道OSSIM是目前为数不多的几个开源的SIEM/安全管理平台之一,而目前还没有什么集成化的日志管理(LM)系统。
不过,只要你愿意,可以自己DIY一个日志管理系统,并且用到的都是最新的技术。
首先,你需要用logstash来采集日志。它的历史不长,但十分新潮,支持通过N种方式采集日志,并且支持N种方式输出日志。这是一个很棒的日志采集器。
当然,logstash还支持AMQP,因此,如果你打算做一个分布式采集器的话,可以考虑找一个AMQP与logstash结合起来用。
然后,LM的另一个核心是历史分析。你需要用到elasticsearch,它也很前沿,是又一个Lucene的衍生品。logstash能够很好的将日志提供给elasticsearch,让它来对日志进行历史存储和全文索引,并提供全文检索的WEB UI。
呵呵,如上所述,现在基本已经有了一个最新潮的LM架构了。
如果还觉得不够的话,那么就是希望能够做些实时分析的工作了。好吧,你可能需要graylog2。它的后台存储可以用MongoDB,并且日志过滤能力还行。
最后,所有这些集成的开源版LM能够替代商业化产品吗?至少你要考虑两个问题——性能和稳定性!当然,还有维护和调优的难度。