J'ai posé la même question sur un forum anglophone sans succès, alors je
tente ma chance ici.
Checkpoint utilise un format de log proprietaire mais je trouve le log
viewer vraiment pratique. Il est en effet facile de filtrer les logs selon
divers critères comme le host, le port, la firewall source, une plage
horaire, etc...
Les logs des PIX sont des syslog betes et méchant. Chercher une information
est assez fastidieux (pour le moins). J'ai trouvé sur le marché différents
soft qui rendent de zolis graphiques et des informations synthétiques. Ce
genre d'info est utile MAIS je veux également pouvoir filtrer les logs comme
le ferait un checkpoint.
J'imagine que des hard core users vont me dire que l'on peut tout faire avec
"grep". C'est probablement le cas mais je cherche un soft qui me sorte les
logs dans un joli format et filtrable par chaque colonne.
Pour ma part j'écris un filtre qui convertis les logs en fichiers CSV et j'injecte ca dans une base SQL (postgres). Apres SQL pour interroger...
choowie
Christophe Garault wrote:
Dans le message , Alain Montfranc écrivit...
Pour ma part j'écris un filtre qui convertis les logs en fichiers CSV et j'injecte ca dans une base SQL (postgres). Apres SQL pour interroger...
En ce qui me concerne syslog-ng bazarde tout directement vers
PostgreSQL via écriture dans un canal nommé et un démon qui exécute l'insertion dans la base: pas la peine de passer par des CSV. Avec logger et un paramétrage des stats de syslog on peut tester facilement la montée en charge pour la gestion d'un réseau. Depuis un an je n'ai perdu aucun message sur un réseau d'une dizaine de machines, et je suis sur qu'on peut monter beaucoup plus puisque le goulot d'étranglement se situe à l'écriture de lignes dans PostgreSQL. Et 5 à 6000 lignes/sec ne me semblent pas être difficiles à atteindre.
Ok, merci pour vos réponses. Je m'attendais à ce genre de solution. Il ne me reste plus qu'à les implémenter.
-- Choowie
Christophe Garault wrote:
Dans le message <mn.ba5f7d4c9ef0a0a5.15643@montfranc.com>,
Alain Montfranc écrivit...
Pour ma part j'écris un filtre qui convertis les logs en fichiers CSV
et j'injecte ca dans une base SQL (postgres). Apres SQL pour
interroger...
En ce qui me concerne syslog-ng bazarde tout directement vers
PostgreSQL via écriture dans un canal nommé et un démon qui exécute
l'insertion dans la base: pas la peine de passer par des CSV.
Avec logger et un paramétrage des stats de syslog on peut tester
facilement la montée en charge pour la gestion d'un réseau. Depuis un
an je n'ai perdu aucun message sur un réseau d'une dizaine de
machines, et je suis sur qu'on peut monter beaucoup plus puisque le
goulot d'étranglement se situe à l'écriture de lignes dans
PostgreSQL. Et 5 à 6000 lignes/sec ne me semblent pas être difficiles
à atteindre.
Ok, merci pour vos réponses. Je m'attendais à ce genre de solution. Il ne me
reste plus qu'à les implémenter.
Pour ma part j'écris un filtre qui convertis les logs en fichiers CSV et j'injecte ca dans une base SQL (postgres). Apres SQL pour interroger...
En ce qui me concerne syslog-ng bazarde tout directement vers
PostgreSQL via écriture dans un canal nommé et un démon qui exécute l'insertion dans la base: pas la peine de passer par des CSV. Avec logger et un paramétrage des stats de syslog on peut tester facilement la montée en charge pour la gestion d'un réseau. Depuis un an je n'ai perdu aucun message sur un réseau d'une dizaine de machines, et je suis sur qu'on peut monter beaucoup plus puisque le goulot d'étranglement se situe à l'écriture de lignes dans PostgreSQL. Et 5 à 6000 lignes/sec ne me semblent pas être difficiles à atteindre.
Ok, merci pour vos réponses. Je m'attendais à ce genre de solution. Il ne me reste plus qu'à les implémenter.
