多日誌檔案資料幫你追蹤使用者

管理數量不斷增加的伺服器、應用和使用者，需要使用數十個不相容的日誌檔案。亞利桑那州立大學開始使用Splunk，在混雜有業務中建立統一的、相互關聯的資料檢視。 哪個美國大學排名靠前?史丹佛?MIT? 你一定會說錯的。 談到美國學術界的創新，亞利桑那州立大學(ASU)，在2016年和2017年的“美國新聞與世界報導”(US News&World Report)排行榜上都名列前茅。

史丹佛大學和麻省理工學院分別是第二名和第三名。 ASU通過將其技術範圍擴充套件到人工智慧、擴增實境、機器學習和認知計算等方面進行創新，該學校的計算基礎設施，包括大型機在內的基於雲端計算和本地資源的組合在持續增長。

通過跟蹤數以千計的伺服器和應用程式，以及數以萬計的學生和教師使用者的活動，然後整理並關聯所有資訊，以便在單一的、統一的、可審計的檢視中進行檢視和跟蹤，這已成為當務之急， 據ASU大學分析和資料服務系統架構師Chris Kurtz的所說。

相關資料很重要

診斷潛在的安全問題或定位多系統整合中斷，需要檢視所有相關係統的日誌檔案，因此需要一致的、相關的資料檢視。

Kurtz表示：“我們需要解決的問題是將來自Windows、Linux、防火牆、交換機等的不同日誌都集中在一個易於搜尋的地方，並且可以在受保護的環境中進行審計和分發。所有這一切都需要從運營伺服器和網路裝置獲取日誌，並按使用者排列資訊，以便為負責監督IT基礎設施運營和安全的人員建立相關資料。你可以把它想象成一個聚合引擎。“你想看到個人使用者的日誌，以及這個使用者如何跨系統轉換，”Kurtz說。

Kurtz.說，這些個人使用者正增加。ASU擁有8萬多名在校學生和20,000名教職人員，其中有很多需要跟蹤。為了進行機器資料收集和日誌整理，ASU轉尋了舊金山的軟體供應商Splunk，該軟體旨在將機器生成的資料轉換成公司所稱的“運營智慧”。

Splunk公共部門副總裁Kevin Davis說，整理和關聯的資料是必要的，可以幫助IT人員找到出現問題所在。

“以IT系統 和網際網路的速度發展，系統變得越來越龐大和複雜，致使我們建立了大量的孤島，”他說。孤島阻礙對整個IT系統的可視性，使得難以發現問題或追蹤特定使用者的行為。“直到出現問題，這肯定不是你想的。”

當問題出現時，它將是某個人的工作——或者是許多人的責任，來弄清楚什麼出了問題、備份系統，並儘快執行。這是首要任務，Davis說。“然後，你終於可以做一點分流了。”

密歇根州特拉弗斯市研究公司Ponemon Institute的董事長Larry Ponemon說，這項工作並沒有變得簡單。 他說：“有這麼多的裝置，試圖阻止這種瘋狂並獲得上市不僅只是一個艱鉅的任務，”他補充說，物聯網裝置的激增導致要跟蹤更多的裝置型別，這增加了難度。

Kurtz說，ASU首先看到了幾個產品，包括來自Hewlett Packard Enterprise的ArcSight企業安全管理器和由亞馬遜網路服務公司提供的、在2012年建立Splunk軟體之前的Elasticsearch服務。該大學現在使用它來將基礎設施問題與使用者活動關聯，這似乎顯而易見，但是當每個子系統日誌以真空形式存在時，這將很難做到的。

本文轉自d1net（轉載）