Daten sammeln, Daten durchgraben, aus Daten Berichte erzeugen - das sind die Schlüsselfunktionen der Log-Daten-Analyse. Mit Version 6.0 ihres Event-Tracker-Log-Managers vereinfacht Prism Microsystems alle drei Funktionen.

Event Tracker 6.0 von Prism Microsysems sammelt Daten von bis zu 50 Servern.

Zu den neuen Funktionen von Event Tracker zählen eine verteilte Collection-Architektur, die einen Einsatz in geografisch verteilten Organisationen erlaubt, ein erweitertes Daten-Mining, eine deutlich verbesserte Berichterzeugung sowie die Unterstützung von XML und Windows-2003-Ereignisformaten.

Um es gleich vorweg zu nehmen: Network Computing testete Event Tracker - und war beeindruckt. Prisms Produkt ist gleichwertig mit denen von Loglogic, Q1 Labs oder Splunk.

Einfache Handhabung

Einige Funktionen sind wunderbar einfach zu handhaben, beispielsweise die Verteilung von Agenten an Windows-Server: Hosts finden, darauf zeigen, klicken, fertig. Der Agent installiert sich und beginnt, Ereignisse zurück an den Collector zu senden. Syslog-Hosts hinzuzufügen ist ebenso einfach.

Verteilte Event-Log-Collectors, Collection-Points genannt, sind Event-Tracker-Server, die Ereignisse planmäßig an den Master-Collection-Server weiterleiten. Die Ereignisdateien sind komprimiert, um die Menge der Daten zu reduzieren, die über das WAN übertragen werden.

Event Tracker wird nach Anzahl der berichtenden Server lizenziert, und nicht pro Collector oder Managementstation. Daher können Anwender ihr Log-Collection-System nach Belieben aufbauen, ohne sich Sorgen über zusätzliche Kosten machen zu müssen.

Testumgebung

Um die zum Master-Collector gesendeten Ereignisse zu filtern, wurden im Test Agenten so konfiguriert, dass sie spezifische Benachrichtigungen, beispielsweise Windows-Sicherheitsereignisse, zu einem bestimmten Collector sendeten.

Dieser Controller leitete dann ausgewählte Ereignisse zum Master weiter. Management und Daten-Mining waren außerdem direkt auf den Event-Tracker-Collection-Points durchführbar.

Mit dem Eintreffen der ersten Ereignisse begann die Untersuchung der Such- und Berichtsfähigkeiten des Systems. Die neue Benutzerschnittstelle gleicht der Microsoft-Managementkonsole, was sie Windows-Administratoren gleich vertraut erscheinen lässt.

Klicks auf Hosts, Gruppen oder Ereignistypen schränkte Ereignisse auf genau diese Selektion ein. Eine prima Fähigkeit – für den, der weiß, wonach er sucht.

Fortgeschrittene Untersuchung

Event Tracker konzentriert sich mehr auf das Erstellen von Berichten und definiert Queries statt intuitiver Suche. Um beispielsweise ein spezifisches DHCP-Ereignis zu finden, ist eine Suche nach allen DHCP-Ereignissen innerhalb einer bestimmten Periode durchzuführen.

Anschließend können die Parameter angepasst werden. Prism nennt diesen Prozess »Advanced Forensics« – das Durchsuchen der Suchresultate unter Verwendung regulärer Ausdrücke und Schlüsselwörter in einer separaten Dialogbox.

Allerdings ist eine Anpassung der Parameter nur einmal möglich. Wer die Suche weiter begrenzen möchte, muss die Anpassung immer wieder neu eingeben.

Sehr hilfreich: die Event-Knowledge-Base

Eines der nützlichsten Features von Event Tracker ist Prisms integrierte Event-Knowledge-Base. Für jedes erkannte Ereignis liefert Event Tracker sinnvolle Beschreibungen und zusätzliche Ressourcen.

So kann jeder Administrator verstehen, was ein Ereignis bedeutet. Prisms Knowledge-Base ist zwar frei verfügbar, aber die Integration in Event Tracker ist natürlich eine prima Sache und erleichtert dem Admin das Leben erheblich.

Berichte sind nützlich, um zu zeigen, dass ein aktives Monitoring durchgeführt wird. Ausführbar sind sie bei Bedarf oder nach Zeitplan.

Die Version 6.0 kommt mit einigen vordefinierten Berichten für Operationen, Sicherheitsereignisse und reguläre Compliance. Der Administrator wählt einfach den Typ aus, fügt den Ziel-Host hinzu, erzeugt Filter, beispielsweise für spezifische Benutzer, und auf geht’s. Administratoren erhalten auf Wunsch Benachrichtigungen via E-Mail oder RSS-Feed.

Event Tracker 6.0 repräsentiert eine starke Balance zwischen Log-Aggregation und Daten-Mining. Ein Setup mit 50 überwachten Servern kostet rund 15.000 Dollar, einschließlich aller Module.