Не так давно состоялся казалось бы минорный релиз Graylog 3.1, но при этом для бесплатной версии приехала самая полезная фича - Views.
Но обо всём по порядку.
Основных нововведений два — это полностью переработанная система оповещений "Alerts and Events" и расширенный поиск с кучей виджетов и агрегаций.
Те кто использовал алертинг в грейлоге раньше, те помнят что возможности его были очень ограниченные и скудные — можно было реагировать только на количество определенных сообщений или на основе содержимого какого-либо поля.
Теперь же появилась возможность использовать функционал разнообразнейшего агрегирования и фильтрации полей сообщений. Более того, появился отдельный дефолтный поток "All Events", который можно использовать для просмотра всех событий, что уже когда-то сработали.
Ну а самое главное — это конечно функционал построения корреляций, который к сожалению пока доступен только в платной версии graylog.
Корреляции позволяют выбирать несколько событий и строить уже сложные реально полезные оповещения. Например можно наблюдать за двумя различными событиями — брутфорсом паролей, и затем успешным входом по том уже самому логину. Или если какой-то сервис был выключен, но в течении заданного времени не пришло событие, указывающее на то что сервис был запущен снова.
Остается надеяться, что в следующих релизах возможности корреляции появится и в опенсорсной версии.
Второе глобальное обновление — это расширенный поиск и так называемые "Views".
Это то, что нужно смотреть и трогать самостоятельно. Теперь проведя какое-либо расследование, поиск ip-адреса, либо что угодно требующее нетривиальных параметров и добавление различных виджетов и графиков, все результаты можно сохранить и использовать в будущем. Так же сохраненными view можно делиться с другими пользователями.
Всё это еще на шаг приблизило Graylog к возможностям Kibana, что не может не радовать.
В будущем мы еще не однократно будем затрагивать возможности грейлога на практике.
Stay tuned.
Комментариев нет:
Отправить комментарий