什么是IT数据?
即IT设备生产的数据,它为我们提供了观测IT基础设施运转、系统配置以及用户操作等各种情况的窗口。
定义
在介绍Splunk的过程中,我们多次提到了IT数据,实际上,IT数据就是所有IT设备所生成的数据。不仅仅是日志,它还包括系统的配置数据、API数据、消息队列、变更事件以及输出的诊断命令等等。我们知道,日志的格式成千上万,其中大多数的日志都来源于各种自定义的应用,而这些日志对于诊断服务故障、监测复杂的安全威胁以及安全与合规来说又是至关重要。
在这里,我们简要地描述了一些比较重要的IT数据源,这些数据源能够帮助你更好地了解IT设施的运转、用户操作以及安全威胁等情况。
-
应用日志
-
web 访问日志
-
呼叫详细记录(CDR)
-
配置文件
-
数据库审计日志与表格
大多数自行开发和封装的应用会记录本地日志,这通常是通过中间件内置的日志服务来实现的。如使用weblogic,Websphere ,JBoss, .Net, PHP等的J2EE应用服务器。这些文件对于开发人员日常调试生产应用程序等工作来说非常重要。只要掌握了所有交易细节,开发人员就能够以更好的方式呈现业务、用户状态,侦测欺诈行为。当开发人员把时间信息输入至日志事件后,这些文件就能够同时兼备对应用性能的监测与报告作用。
web日志标准化高结构完成。可用于呈现web服务器处理的每一个请求,比如该请求来自于哪一个IP地址、所涉及到的URL以及请求失败或成功的相关数据等等。这也是市场是最常见的生成web分析报告的方法。同时,web访问日志对于创建基于用户的报表也非常重要。
呼叫详细记录(CDR)、收费数据记录以及事件数据记录,它们都包含了由交换机记录的各种事件日志。其中,CDR中包括了当呼叫或服务经过交换机时一些有用的细节数据,比如呼叫号码,被叫号码,呼叫时间,呼叫持续时间以及呼叫类型等。随着通信服务发展为基于互联网协议的服务,这种数据也随之被称为IPDR,IPDR包括了如IP地址、端口号码等详细的信息。虽然这些文件的规范、格式以及结构等都差异极大,想要保持与所有排列步伐一致有一定难度,但是文件中所包含的数据对账单、收入保障、客户保障、合作伙伴定位以及市场营销等来说都至关重要。Splunk则能够实现这些数据的快速索引,并与其他有用的运营数据结合,为您呈现更多信息,保证最有价值的市场前瞻性。
除了真实、实时的系统配置文件以外,没有什么能够更好地去理解IT设施的运行情况。在做故障排除时,我们就需要配置文件做进一步的调查工作。当配置文件发生变更,我们需要知道发生了何种变更、什么时候发生的、该变更是否经过授权以及有可能所面临的各种潜在威胁等。
数据库数据中包括了某些非常敏感的公司数据,比如客户信息、财政数据等。所以数据库的审计记录对了解谁在什么时候访问或更改何种数据是非重要。同时数据库审计日志可有助于理解应用程序如何利用数据库来优化查询的。
