对拥有众多IT系统的运营商而言,以积极防御为核心的安全技术框架不仅仅是针对一个具体的安全工程提出的解决方案或者是安全设备的部署,更应该是一个全面、立体、构架化的安全体系。Splunk正是这样一个在技术的困境中孕育而生,以灵活、敏捷的数据管理能力为运营商带来一场IT管理革命创新者。
以下案例为某运营商用户将BOSS中的重要网络设备日志通过syslog日志方式发送到splunk服务器上,splunk在收集这些设备日志后,可以便捷地搜索出日志中的关键事件,这些甚至是运维人员之前都不曾关注,或是关注后也没有做系统分析的。
搜索关键字“up OR down”查看日志中存在接口连接情况,splunk将信息转换成时间分布图,使我们更快捷地查看当天或者过去几天设备接口连接状态,同时还可以挖掘接口连接所关联的信息
Splunk智能关联出出现状况的接口所对应的设备IP地址,并且将两张图表对比在一起进行查看,在查看接历史信息时可以快速查找出接口频繁up和down的设备地址。
搜索关键字“fan error”找到出现风扇问题的设备,在详细日志信息中可以找到设备的IP地址以及风扇编号。
搜索关键字“deny”查找核心交换机上丢弃数据包的具体情况,根据这些情况可以统计一些经常出现的被丢弃数据包源头。
统计丢弃的数据包的类型,通过长期视图监控分布变化。
查看拒绝数据包的源地址或者目的地址时间分布图。
查看拒绝数据包的源端口或者目的端口时间分布图,以上视图可以立即组合成仪表台进行长期监控,将冗长的日志信息用最为直观的图表进行展示。
搜索关键字“OSPF”查看动态路由协议使用情况,意外地发现其中一天的OSPF事件达到了17件,远远高于其他时间OSPF出现的事件数量,直接在搜索图形中下探查看那天的OSPF事件具体发生的时间。
事件集中在凌晨1点至4点,继续查看具体日志内容。
发现日志中有一台设备的临近设备反复出现”loading to full,loading done”和“full to down,dead timer expired”, 再仔细询问后得知在该时段运维人员对该设备进行过一次割接,splunk通过日志轻松地找到了“故障点”。
