信息科技的不断进步,一方面使得银行业信息和数据逻辑集中程度不断得到提高,另一方面又成为银行业稳健运行的一大安全隐患。Splunk作为智能的IT管理运维平台,能够帮助银行业积极迎接、应对和解决不断出现的各种风险,为其完善IT体系,建立良好的风险管理,提高风险控制能力,实现网络经济时代银行业的新发展。
以下为某银行总行案例,该总行拥有庞大的网络设备产生的日志,运维人员平时通过一些简易的软件平台登录查看日志信息,但无法找到快速有效的长期监控方法,Splunk的出现能为运维人员带来些什么呢?通过搜索出日志中的重要关键字来挖掘出网络设备日志中有价值的信息,再不断积累的搜索经验下将这些有价值的信息转换成为Splunk搜索语句,在仪表台上进行直观的展现,最后成为一线运维人员的网络监控平台。
搜索关键字“up/down”,如果有接口出现频繁地接口翻转,在制定的监控视图中我们可以及时找到该接口所对应的设备。
搜索关键字“duplicate”, 发现有少量存在IP地址冲突的地址,其中地址冲突所发生的时间以及冲突的源主机MAC地址都可以一目了然。
搜索关键字“duplex mismatch”,可以快速定位接口双工模式不匹配的接口号和对应的设备地址,再进行统计的同时还能够对某个关心的设备作深入检索和分析。双工模式不匹配会导致数据在二层就无法正常进行传输。
搜索关键字“flapping”发现部分交换机上收到的MAC地址在极短的时间内出现多次变化情况,通过这些可以快速定位到故障源,而不是手动去查看日志记录信息。通过Splunk检索出来的信息还可以进一步判断MAC地址的频繁变化是不是由于ARP攻击所导致的。
搜索关键字“SYN flood”, 在防火墙日志中查找SYN攻击事件,在图表视图中可以快速显示出来,同时时间段也可以做到非常精确的统计。
搜索关键字“power”快速查找重要设备是否会出现“power off”的情况,对于出现单电故障的设备来说,更需要进行“power”搜索。
搜索关键字“1”将syslog中level-1级别的日志过滤出来,对于分布比例比较大并且在短期大量出现的事件可以进行重点关注。
