Microsoft Operations Management Suite OMS – Insight and Analytics Nedir? Veri Kaynakları Nelerdir?
Bundan önceki makalemde genel olarak OMS paketi hakkında temel bilgilendirme yapmıştım. Bu makalem ile birlikte ise sunmuş olduğu 4 temel servisin incelemesine başlıyorum. Bu servisleri bir daha hatırlayalım;
· Insight & Analytics
· Security & Compliance
· Automation & Control
· Protection & Recovery
Bu makalemde ilk olarak Insight & Analytics konusuna değineceğim.
Bu servis temel olarak agent yüklü makinelerde işletim sistemi ve uygulamalar tarafından üretilen logların ( ve performans verilerinin) toplanması, kolere edilmesi ve yine bu loglar üzerinde arama yapılmasına olanak sağlar. Bu veriler ile pek çok farklı başlık altında size raporlar sunulabilmektedir. Gerçek zamanlı loglar üzerinde arama yapmak veya toplanan milyonlarca log üzerinden istediğiniz özel raporların alınmasını sağlayabilen bir platform sunulmaktadır. Portal üzerinde “Solution” olarak tanımlalan istediğiniz çözümleri mevcut toplanan loglarınızın daha anlamlı ve sizin için kritik raporlara dönüşmesini sağlayabilirsiniz.
Bildiğiniz gibi pek çok sistem log toplamaktadır ancak toplanan bu verilerin gerçekten sizin için anlamlı ve sizin IT yönetiminize yön verecek veya kritik yatırılmar, güvenlik önemleri için daha kolay karar vermenizi sağlayacağını düşünün! Microsoft OMS ilse sizlere bunu sunmayı hedeflemektedir. Bu nedenle toplanan bu verilerin sizin ihtiyacınız doğrultusunda yorumlanması için portal üzerinde pek çok çözüm sunmaktadır. Malum bulut teknolojileri çok hızlı geliştiği için aşağıda sizin ile paylaşacağım çözümler şu anda aktif olanlar, ancak özellikle OMS çok hızlı ilgi gören ve kullanılmaya başlayan bir ürün olduğu için müşteri talepleri doğrultusunda yeni çözümler eklenmektedir. Malum loglar zaten var, bunları kolere edecek bilgisayar gücüde bulut üzerinde nerede ise sınırsız olarak sunuluyor, geriye aslında müşteriden gelecek ek bir ekran, raporu bu sisteme entegre etmek kalıyor.
Portal üzerindeki mevcut çözmler şu anda gördüğünüz gibi, ama dediğim gibi her an yenileri ekleniyor;
Peki bu çözümler temel olarak ne yapıyor derseniz aslında hepsini tek tek incelemek gerekli fakar buna vaktimiz yok, temel olarak yukarıda özetlediğim gibi toplanan verilerin sizin için anlamlı yorumlanmasını sağlıyorlar. Örneğin birisi sisteminizdeki eksik yamaları paylaşırken bir diğeri sizin sisteminize hangi ip adresleri üzerinden ne tür ataklar yapıldığını, bir diğer network performans durumunu, bir diğeri kötü içerikli kodların sisteminizdeki raporunu, bir diğeri active directory replikasyonunundaki sorunları bir diğeri ise SQL performans sorunlarını raporlayabilir. Örnekleri çoğaltmak mümkün.
Peki bu log toplam işi aslen nasıl gerçekleşiyor şimdi ona bakalım.
Yukarıdaki resimde gördüğünüz gibi Azure veri merkezinde host edilen OMS Repository sistemin merkezi konumundadır. Bilginin kaynağı ise sizin sisteminizdeki sunuculardır. Kaynak olarak eklediğiniz sunuculardan toplanan veriler OMS Repository de toplanır. Toplanan verileri ayrıce hesabınıza eklediğiniz çözümler – solutions da değiştirmektedir. Yani örneğin SQL, Network performance, AD Replikasyon ve benzeri her bir ek çözüm kendine özgü logları toplayacağı için ek logların toplanmasına neden olur. Ancak sunucu logları ve eklediğiniz bu çözüm logları tek veri olarak analiz edilir. OMS aynı zamanda Azure storage üzerinden de log toplayabilir. Yani hali hazırda bulut çözümleri kullanıyorsanız pek çok bulut servisinin log ve ölçübirimini çıktı olarak kayıt ettiğini biliyorsunuzdur. OMS, Azure storage hesabınız üzerinde saklanan bu verileri de izleyebilir. Yine ek olarak mevcut bir SCOM alt yapınız var ise onun ile de entegre çalışarak SCOM’ un size sunamayacağı bilgisayar ve rapor gücü ile mevcut loglarınız için çok daha anlamlı ve karar vermeye yönelik raporlar edinebilirsiniz.
Ne tür verilerin toplanacağına sizlerde karar verebilirsiniz. Temel olarak Windows veya Linux sunucular için olay günlüğü olarak ifade ettiğimiz verilere ek olara performs verileri, IIS logları veya custom text log toplama şansına sahipsiniz.
Peki ne tür verileri toplayabiliyoruz?
· Custom Logs
· Windows Event logs
· Windows Performance counters
· Linux Performance counter
· IIS logs
· Syslog
Custom Logs
Windows veya Linux işletim sistemleri üzerindeki txt dosyalarından toplanan verilerdir. Bildiğiniz gibi pek çok uygulama txt bazlı loglar yazmaktadır. Bu logları OMS’ in sunduğu Custom fields (aramalar için kendinize özel alanların tanımlanması) özelliği sayesinde daha anlaşılabilir bir şekilde sisteme kayıt edebiliriz
Yukarıda custom fields uygulaması için bir örnek yer almaktadır.
Burada ise en temel veri kaynağımız olan text bazlı log dosyasnın nasıl OMS sistemine alındığını görebiliyoruz.
İşletim sistemlerinden klasik olarak bildiğimiz olay günlüklerini veri olarak OMS sistemine alabiliyoruz.
Ek olarak hangi olay günlüklerini alacağımızı da seçebiliyoruz
Windows Performance counters
Windows sistemler için performans değerlerini OMS sistemine alabiliyoruz.
Yine diğer veri kaynaklarında olduğu gibi bunda da performans sayaçları için ihtiyaç duyduğumuz ayarları değiştirebiliyoruz
Linux Performance counter
Windows platformunda olduğu gibi Linux platformu içinde performans sayaçlarını OMS ile toplayıp raporlayabiliyoruz.
IIS logs
Benzer şekilde IIS loglarını toplayarak özellikle internete açık sunuculardaki atakların hangi ip adresleri üzerinden gerçekleştirildiğini tespit edebiliyoruz.
Not: tabiki burada IIS üzerinde hangi alanların loglanacağını kendiniz ayarlayabiliyorsunuz.
Syslog
Windows veya Linux işletim sistemlerinde cihazlar veya yazılımlar tarafından üretilen logların syslog sunucusuna gönderilmesi yanında agent üzerinden OMS içerisine alınması desteklenmektedir.
OMS için veri kaynaklarını bu şekilde sizler ile detaylandırmış olduk. Makalemin ikinci bölümünde ise bu kaynaklardan alınan logların nasıl işlendiği ve rapor haline getirildiği konularına değineceğim. Bir sonraki makalemde görüşmek üzere.