Aplicação centralizada para a gestão e fusão de logs

Dias, Ana Carolina Silvério

http://hdl.handle.net/10400.8/5391

Use this identifier to reference this record.

Name:	Description:	Size:	Format:
Projeto MCIF - Aplicação centralizada para a gestão e fusão de logs.pdf		3.49 MB	Adobe PDF	Download

Send Feedback

Authors

Dias, Ana Carolina Silvério

Advisor(s)

Antunes, Mário João Gonçalves

Abstract(s)

De uma forma geral, os sistemas computacionais modernos, sejam eles de apoio e gestão da infraestrutura ou aplicacionais, produzem informação relevante sobre a sua atividade operacional, que é mantida em ficheiros específicos designados por registos ou ficheiros de log. Estes ficheiros são normalmente produzidos em formato de texto e têm uma formatação especifica para cada aplicação, guardando apenas a informação relevante da sua atividade. Por exemplo, o ficheiro de log que regista a atividade do sistema Linux, mantido pelo serviço rsyslogd, que guarda informação referente ao estado atual ou histórico dos diversos serviços que são realizados no servidor. Um desafio constante que é colocado aos administradores de sistemas, no âmbito das suas funções, consiste em analisar cuidadosamente estes ficheiros, de forma a identificarem potenciais problemas decorrentes da atividade do sistema operativo e/ou dos servidores aplicacionais. Um bom exemplo de utilização deste tipo de registo, ocorre ao nível de segurança através de tentativas de acesso não permitido a servidores. Devido à quantidade de informação gerada, esta análise é dificultada pelo volume de informação detalhada que os ficheiros de log guardam e pela necessidade constante de análise da informação disponibilizada. Neste caso não há mecanismos nativos que permitam a fusão da informação constante dos vários logs, através da sua agregação e sumarização num ficheiro de log agregador, ou “meta-log”. Tal facto permitiria que o administrador de sistemas se focasse apenas na informação relevante, que consta do “meta-log”. Outra dificuldade importante consiste na necessidade de automatizar o tratamento dos logs. Só assim será possível lidar, em tempo útil e com objetividade, com a quantidade de informação que é gerada continuamente. Há várias aplicações que auxiliam a administração de sistemas nestas tarefas, embora nem sempre estejam ao alcance do administrador de sistemas. Algumas aplicações são comerciais e não são flexíveis ao ponto de processar qualquer tipo de log. Há ainda aplicações que estão acessíveis em open source, mas são difíceis de configurar e, por vezes, apresentam falta de suporte profissional, e não possibilitam a flexibilidade necessária na automatização e sumarização das mensagens de log. Por exemplo, a aplicação Nagios é uma solução de monitorização open source, que necessita de algumas configurações para obtermos informação centralizada sobre a infraestrutura, enquanto que a solução comercial System Center Operation Manager (SCOM) requere um esforço menor de configuração na monitorização da infraestrutura, redes e aplicações. Neste projeto desenvolveu-se uma solução de fusão de logs alimentada pelos sistemas operativos e aplicações. Desta forma pretende-se contribuir para a melhoria no tratamento automático dos ficheiros de log. A solução proposta é composta por cinco blocos principais, designadamente o pré-processamento dos ficheiros de log; o processamento de ficheiros de log de acordo com um template pré-definido; a produção de um meta-log com a informação mais importante que foi selecionada durante a fase de pré-processamento; a correlação das entradas do ficheiro resultante com as entradas dos ficheiros de log originais e, por último, a visualização do “meta-log” resultante e dos correspondentes registos originais. A aplicação foi desenvolvida em PERL, onde se realizaram testes de aceitação da solução e, comprovadas no presente projeto. A prova de conceito foi realizada com ficheiros de log provenientes do sistema operativo Windows e aplicações, tendo sido utilizados 430 logs com criticidade dos tipos “erro” e “informativo”. Com os resultados obtidos conclui-se que a solução proposta permite reduzir o número de campos analisados nos logs, assim como o tamanho do ficheiro utilizado para análise.