Las 10 principales fuentes de revistas que debe monitorear

Hay literalmente cientos de posibles tipos de fuentes de revistas en su entorno, y elegir una burbuja en la parte superior de su mente de TI puede ser un desafío. En un trabajo donde todo parece ser la máxima prioridad, comprender todos los tipos de publicaciones y fuentes disponibles para elegir puede ser un desafío. En su entorno, algunas revistas pueden ser más valiosas que otras, pero tienen recomendaciones generales para el registro y qué tipos de diarios pueden estar disponibles para el monitoreo pueden ayudarlo a convertirse en un mejor tecnólogo.

No pudimos cubrir todas las posibles fuentes de registros, pero comencemos con los clásicos y sigamos desde allí.

1 - Dispositivos de infraestructura

Estos son los dispositivos que constituyen la "columna vertebral de la información" de su infraestructura. Los conmutadores, enrutadores, controladores inalámbricos y puntos de acceso pueden ser sólidos para proporcionar información de registro sobre el estado y la condición de su entorno. Los registros pueden proporcionar información que va desde un punto de acceso inalámbrico hasta fallas en el equipo. Probablemente lo más influyente para su entorno sean las notificaciones de cambios de configuración. Saber quién cambió qué y cuándo puede ayudarlo a diagnosticar y recuperar cualquier configuración incorrecta.

2 - Dispositivos de seguridad

A medida que las organizaciones avanzan hacia la metodología principalmente en la nube, las herramientas extremas en su entorno pueden volverse aún más importantes para su negocio. Sus firewalls y otros dispositivos de seguridad manejan más y más tráfico a medida que las cargas se transfieren a las infraestructuras de la nube. Los registros de estos dispositivos de seguridad pueden proporcionar una gran cantidad de información interesante, sobre todo el tráfico bloqueado, el estado de la VPN, los sistemas de detección y prevención de intrusiones y la actividad inusual de los usuarios. Estos registros de información de administración de eventos y seguridad (SIEM) pueden ser su primera defensa para comprender el ataque o la anomalía de aislamiento en su experiencia de usuario. Herramientas como Administrador de eventos de seguridad de SolarWinds diseñado para monitorear los registros de eventos en busca de actividad sospechosa, lo que puede permitirle responder en tiempo real a posibles amenazas.

3 - Registros del servidor

Esto puede ser una cuestión de rutina, pero aún diré: los registros del servidor pueden proporcionar una gran cantidad de información sobre el estado de su entorno. Los servidores Windows y Linux generan constantemente registros que le permiten saber cómo y por qué los sistemas se comportan de la forma en que lo hacen. Hay literalmente cientos de miles de eventos que pueden desencadenar un sistema operativo y aplicaciones relacionadas. Saber qué eventos de la revista son frívolos y cuáles requieren una acción inmediata es una habilidad que se perfecciona en el campo de batalla. En cualquier caso, no debe pasar por alto los registros del servidor como una fuente viable de información.

4 - Servidores web

Sí, sé que escribir registros del servidor web puede parecer un proceso tedioso, pero es una de las mejores maneras si no sobre la mejor manera de comprender cómo los usuarios finales interactúan con sus propiedades web. IIS, Apache, Tomcat, Web Sphere, NGINX y cualquier otro motor web pueden proporcionar alguna medida de registro del servidor web. Dependiendo de sus necesidades, a veces solo entender Si la gente va a su sitio y sale donde puede resultar invaluable para comprender las necesidades de sus clientes. Desafortunadamente, un diario de servidor web es un tipo común de diario que a veces puede pasar desapercibido cuando las organizaciones desarrollan su propia estrategia de registro.

5 - Servidores de autenticación

Ya sea que use Active Directory, una implementación de OpenLDAP u otra alternativa, saber quién y qué está ejecutando su infraestructura puede ser la clave para mantener una buena posición de seguridad. Cada uno de sus servidores de autenticación proporciona una cierta medida de registro, pero lo más importante para usted es comprender qué buscar. La mayoría de las veces, debe buscar solicitudes de token, revocación de autorización y fallas de autenticación. Estos tipos de registros pueden ayudar a identificar inicios de sesión fallidos debido a la caducidad de la cuenta, aislar la fuente de un posible ataque y señalar áreas problemáticas que deben abordarse.

6 - Hipervisores

Los hipervisores pueden permitirnos a nosotros, los profesionales de TI, hacer mejor nuestro trabajo al equilibrar las cargas de trabajo y usar los recursos de manera más eficiente. Los clústeres ahora pueden realizar cientos, si no miles, de cargas de trabajo simultáneas. Sin embargo, gran parte del trabajo asociado con el hipervisor permanece detrás de la cortina y nunca verás al mago. Sus hipervisores hacen malabares constantemente: asignan recursos de esta máquina virtual a esta, mueven el almacenamiento de este nodo de clúster a otro, mueven toda esta máquina virtual a otro nodo, y ese es un equilibrio inestable. Capturar y monitorear los registros del hipervisor puede ser una de las mejores formas de comprender lo que hacen sus hipervisores cuando usted no está mirando.

7 - Contenedores

Aunque los contenedores son relativamente nuevos en comparación con la mayoría de los otros tipos de revistas en esta lista, los contenedores son cada vez más importantes para las empresas. La extrapolación a un nivel superior será un servicio de gestión de contenedores como Kubernetes, Docker Swarm y Apache Mesos. Estos servicios son similares en muchos aspectos a los hipervisores, pero lo suficientemente diferentes como para resaltar una categoría separada. Comprender por qué el host consideró necesario deshacer una implementación escalada de ocho puntos finales a cuatro sería útil para el diagnóstico y la configuración. La mayor parte de esta información solo se encuentra en los registros del contenedor, así que asegúrese de obtenerla.

8 - Infraestructura SAN

Esto puede parecer una adición sorprendente a esta lista de los mejores tipos de registros para monitorear debido a la tendencia de TI de moverse a una infraestructura más hiperconvergente o migrar todo a la nube, pero esto es algo que a menudo se ignora. Si su conmutador de fibra pierde la comunicación con el transceptor del lado del servidor, estos datos ya no estarán disponibles para ese servidor. En el mundo actual, por lo general hay rutas redundantes, por lo que la comunicación no se pierde realmente, pero este escenario aún se aplica en un entorno de varios entornos. Supongamos que tiene cuatro conexiones desde su servidor a su infraestructura SAN, pero después de una serie de eventos desagradables en el transcurso de varios meses, tres fallaron. Esto significa que ha restringido el movimiento de datos en un 75%. No ha encontrado fallas en el sentido tradicional porque la conexión aún existe y los datos se están moviendo, pero el rendimiento se ve gravemente afectado, ¿es de extrañar que los usuarios finales se quejen? En mi opinión, esta es una de las fuentes más populares de revistas.

9 - Aplicaciones

Esto se aplica a casi cualquier aplicación de revista. Aunque algunos programas de software utilizarán la funcionalidad del sistema operativo existente para administrar los registros, cada vez son más pequeños. La mayoría de los registros de aplicaciones críticas se almacenan en archivos planos en algún lugar de sus discos. A menudo, estos registros son utilizados por los servicios de soporte de aplicaciones para solucionar problemas, pero ¿qué pasa con las aplicaciones en niveles? Si tiene un despliegue frontal, intermedio e interno, todos pueden compilar revistas de manera un poco diferente. Asegúrese de no quedarse dormido recopilando y monitoreando estos registros, de cada nivel, y colocándolos en el sistema para que pueda comparar transacciones mediante la creación de marcas de tiempo.

10 - Máquinas cliente

Sí, de hecho. La TI suele ser culpa del usuario final, pero a veces no es su culpa. A veces el punto final es el culpable. No estoy diciendo que cada revista en cada máquina deba recolectarse todo el tiempo; de hecho, estoy diciendo que probablemente debería No hágalo, pero la recopilación selectiva de revistas de puntos finales puede ser crucial para obtener una mayor comprensión del alcance del problema. Este es probablemente el tipo de revista más desapercibida que se necesita para abordar activamente los problemas.

Todo lo demas

Hay fuentes adicionales de registros que he descuidado, como proxies, balanceo de carga y sistemas de administración en la nube, y estos son solo algunos de ellos, pero esta no es una lista completa. Con suerte, al revisar estos diez tipos de revistas, obtendrá una pequeña idea de lo que será relevante para su situación. Esto también debe recordarse cuando su infraestructura incluye nuevo hardware y software.

Usted elige uno, todos o ninguno de ellos como fuentes potenciales de revistas para monitorear, según sus necesidades. Una idea simple de qué tipos de herramientas de monitoreo o análisis necesita para avanzar puede ayudarlo a elegir las que son relevantes para su situación. Cada información puede ayudarlo a comprender mejor su infraestructura y la mejor manera de manejar el cuidado y la alimentación. Recuerda que este no es el caso Si algo se va a ir, eso Si. Tener los mejores tipos de registros para respaldar sus soluciones puede ser una herramienta deseable en su arsenal de TI.

Artículos de interés

Subir