Da un paio di mesi sto “giocando” con Splunk, un ottimo software per la gestione dei log in ambienti enterprice. E’ fatto veramente bene! Oltre ad essere uno dei pochi software realmente multi piattaforma (il demone può essere installato su qualsiasi sistema operativo), il client ha una interfaccia grafica veloce e, anche essa, multi piattaforma; basta indirizzare il flusso dei dati di syslog al server splunk e lui automaticamente risolve il nome di dominio catalogando l’apparato con il nome associato nel dns; le informazioni vengono raccolte e indicizzate all’interno del database Splunk.

Le ricerche e la correlazione dei log possono avvenire con delle interrogazioni già pronte in base ai plug-in dei vendor pre-installati (c’è quasi tutto, Cisco, F5, Fortinet ecc… e quello che non c’è te lo puoi creare da solo generando nuovi parser) o mediante delle interrogazioni, con sintassi molto simile al sql, da scrivere nella from dedicata. Correlare log per contesti di incidenti informatici non è mai stato così facile… quasi meglio del grep!!!

Bello… e anche divertente da usare :-)

Update: purtroppo manca tutta la parte di dialogo con il mondo Z di IBM e delle utility per la retention ed utilizzo di log esportati su file server.