LOGNESS Windsender

LOGNESS Windsender

LOGNESS Windsender

LOGNESS keretrendszer LOGNESS Windsender komponense gondoskodik a naplóállományok forrásrendszerekből történő megbízható, naplóvesztés nélküli és magas rendelkezésre állású továbbításáért. LOGNESS Windsender tervezése során elsődleges célkitűzés volt egy rugalmas, moduláris kialakítású naplótovábbító szoftver megalkotása, mely biztosítja a különböző forrás rendszerek könnyű illeszthetőségét.

LOGNESS Windsender legfontosabb funkciói

  • Titkosított, biztonságos (SSL) naplótovábbítás
  • Szabványos syslog protokollok támogatása
  • HA architektúra támogatása, szinkron és aszinkron működés
  • Naplóállományok pufferelése és automatikus továbbítása
  • Heartbeat funkció a forrás rendszerek leszakadásának ellenőrzésére
  • Nagyvállalati infrastruktúra támogatása – policy alapú telepítés, konfiguráció és frissítés
  • Fájlból történő naplózás támogatása

A Unix rendszereken megszokott syslog rendszer, és a különböző syslog daemon-ok által ezen rendszerek logelemző rendszerbe vonása könnyedén megvalósítható. Ezzel szemben a Microsoft Windows rendszerek Eseménynaplója natívan nem támogatja a naplóüzenetek távoli szerver felé küldését. Ezen igény kielégítésére született meg a LOGNESS keretrendszer LOGNESS Windsender komponense, melynek fő funkciója az Eseménynaplóba érkező üzenetek küldése TCP, vagy TCP/SSL kapcsolaton keresztül. Az agent – hasonlóan magához a LOGNESS rendszerhez – moduláris felépítésű: úgynevezett “forrás”, illetve “nyelő” pluginek valósítják meg a naplóüzenetek fogadását különféle logforrások felől, illetve küldését a loggyűjtő szerverek felé.

Az agent két nyelő plugint tartalmaz:

  • SocketSinkPlugin, ami a naplóözeneteket a beállított szerver felé TCP kapcsolaton küldi.
  • SSLSocketSinkPlugin, ami a logok továbbításához biztonságos SSL kapcsolatot használ.

Mindkét “nyelő” pluginban beállítható egy másodlagos logszerver, így az agent segítségével könnyedén kialakíthatunk high availability rendszert. Mindkét logszerver kiesése esetén a naplóüzenetek pufferelődnek, így ebben az esetben is elkerülhető a logok elvesztése.

Az agent az Eseménynapló üzenetein kívül többféle forrásból képes logokat fogadni. Erről a különböző “forrás” pluginek gondoskodnak:

  • EventLogSourcePlugin, NewEventLogSourcePlugin,EventLogSourcePluginWrapper: az Eseménynaplóba kerülő üzenetek fogadását teszik lehetővé.
  • FileSourcePlugin: bármilyen egy log/sor formátumú naplófájl feldolgozását valósítja meg.
  • SQLTraceSourcePlugin: az MSSQL trace üzeneteket kinyeréséért felel. A paraméterként megadott Trace Definition File segítségével finomhangolható, hogy milyen üzenetek dolgozzon fel.
  • TMGChangeLogSourcePlugin: A Forefront Threat Management Gateway változáskezelési logjait kérdezi le, és dolgozza fel.
  • HeartBeatSourcePlugin: ez nem igazi naplóforrás, egyszerűen arra szolgál, hogy bizonyos időközönként egy üzenetet küldjön a gyűjtő szerverek felé, így könnyedén monitorozhatók a naplóforrás-kiesések.