LOGNESS Windsender
LOGNESS Windsender
LOGNESS keretrendszer LOGNESS Windsender komponense gondoskodik a naplóállományok forrásrendszerekből történő megbízható, naplóvesztés nélküli és magas rendelkezésre állású továbbításáért. LOGNESS Windsender tervezése során elsődleges célkitűzés volt egy rugalmas, moduláris kialakítású naplótovábbító szoftver megalkotása, mely biztosítja a különböző forrás rendszerek könnyű illeszthetőségét.
LOGNESS Windsender legfontosabb funkciói
- Titkosított, biztonságos (SSL) naplótovábbítás
- Szabványos syslog protokollok támogatása
- HA architektúra támogatása, szinkron és aszinkron működés
- Naplóállományok pufferelése és automatikus továbbítása
- Heartbeat funkció a forrás rendszerek leszakadásának ellenőrzésére
- Nagyvállalati infrastruktúra támogatása – policy alapú telepítés, konfiguráció és frissítés
- Fájlból történő naplózás támogatása
A Unix rendszereken megszokott syslog rendszer, és a különböző syslog daemon-ok által ezen rendszerek logelemző rendszerbe vonása könnyedén megvalósítható. Ezzel szemben a Microsoft Windows rendszerek Eseménynaplója natívan nem támogatja a naplóüzenetek távoli szerver felé küldését. Ezen igény kielégítésére született meg a LOGNESS keretrendszer LOGNESS Windsender komponense, melynek fő funkciója az Eseménynaplóba érkező üzenetek küldése TCP, vagy TCP/SSL kapcsolaton keresztül. Az agent – hasonlóan magához a LOGNESS rendszerhez – moduláris felépítésű: úgynevezett “forrás”, illetve “nyelő” pluginek valósítják meg a naplóüzenetek fogadását különféle logforrások felől, illetve küldését a loggyűjtő szerverek felé.
Az agent két nyelő plugint tartalmaz:
- SocketSinkPlugin, ami a naplóözeneteket a beállított szerver felé TCP kapcsolaton küldi.
- SSLSocketSinkPlugin, ami a logok továbbításához biztonságos SSL kapcsolatot használ.
Mindkét “nyelő” pluginban beállítható egy másodlagos logszerver, így az agent segítségével könnyedén kialakíthatunk high availability rendszert. Mindkét logszerver kiesése esetén a naplóüzenetek pufferelődnek, így ebben az esetben is elkerülhető a logok elvesztése.
Az agent az Eseménynapló üzenetein kívül többféle forrásból képes logokat fogadni. Erről a különböző “forrás” pluginek gondoskodnak:
- EventLogSourcePlugin, NewEventLogSourcePlugin,EventLogSourcePluginWrapper: az Eseménynaplóba kerülő üzenetek fogadását teszik lehetővé.
- FileSourcePlugin: bármilyen egy log/sor formátumú naplófájl feldolgozását valósítja meg.
- SQLTraceSourcePlugin: az MSSQL trace üzeneteket kinyeréséért felel. A paraméterként megadott Trace Definition File segítségével finomhangolható, hogy milyen üzenetek dolgozzon fel.
- TMGChangeLogSourcePlugin: A Forefront Threat Management Gateway változáskezelési logjait kérdezi le, és dolgozza fel.
- HeartBeatSourcePlugin: ez nem igazi naplóforrás, egyszerűen arra szolgál, hogy bizonyos időközönként egy üzenetet küldjön a gyűjtő szerverek felé, így könnyedén monitorozhatók a naplóforrás-kiesések.
