เทคนิคการจัดการระบบ Centralized Log Management แบบใหม่ร่วมกับระบบเดิม

บทสรุปองค์ความรู้
ปัจจุบันองค์กรขนาดใหญ่รวมถึงมหาวิทยาลัยบูรพา มีการจัดเก็บข้อมูลการจราจรทางคอมพิวเตอร์เพื่อให้สอดคล้องกับ พ.ร.บ. ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ แบบ Syslog Server เพื่อช่วยในการบริหารจัดการล็อกไฟล์ (Log files) ที่ส่งมาจาก อุปกรณ์เครือข่าย และเครื่องแม่ข่าย โดยใช้ซอฟต์แวร์ Rsyslog ในการจัดเก็บและจัดการล็อกไฟล์แบบรวมศูนย์ด้วย Command Line ยังไม่มีระบบจัดการแบบ GUI ทำให้การบริหารจัดการค่อนข้างยุ่งยาก การที่จะวิเคราะห์เหตุการณ์เมื่อเกิดปัญหาเกิดขึ้นกับองค์กร โดยการที่จะเข้าไปตรวจสอบข้อมูลล็อกไฟล์ต้องใช้เวลานานหรือข้อมูลไม่สัมพันธ์กันเนื่องจากแหล่งที่ส่งข้อมูลมาจัดเก็บมีหลายแหล่ง จึงได้เกิดแนวคิดนำระบบการจัดการระบบ Centralized Log Management แบบ GUI มาใช้เพื่อให้สามารถค้นหา ประมวลผล และแสดงผลข้อมูล ได้ง่ายและสะดวกมากขึ้น โดยในส่วนการจัดเก็บล็อกไฟล์ยังคงใช้การจัดเก็บแบบ Syslog Server แบบเดิมเนื่องด้วยเหตุผลด้าน Information Security (Confidentiality Integrity และ Availability)
ดังนั้นเพื่อให้บรรลุเหตุผลและวัตถุประสงค์ดังกล่าวข้างต้นจึงได้ดำเนินการค้นคว้าหาวิธีการและทำการทดสอบวิธีการที่ค้นคว้ามา นำมาพัฒนาใช้กับระบบ Central Log ที่มีอยู่เดิม โดยการติดตั้งซอฟต์แวร์ที่สามารถจัดเก็บ ค้นหา ประมวลผล และแสดงผลข้อมูล Central Log ได้ โดยขณะทำการทดสอบได้ทดลองใช้ซอฟต์แวร์ เช่น ซอฟต์แวร์ LogAnalyzer ร่วมกับ Rsyslog ชุดซอฟต์แวร์ ELK (Elasticsearch, Logstash, Kibana) ร่วมกับ Rsyslog และซอฟต์แวร์ Graylog Open Source ร่วมกับ Rsyslog จากการค้นคว้าแล้วทดสอบพบว่าซอฟต์แวร์ Graylog Open Source สามารถทำงานร่วมกับระบบ Central Log ที่มีอยู่เดิม (Rsyslog) ได้อย่างมีประสิทธิภาพดี โดยการปรับแต่งค่า Config ต่างๆของซอฟต์แวร์เดิมและซอฟต์แวร์ใหม่ โดยที่การปรับแต่งค่าซอฟต์แวร์ที่เกี่ยวข้องทำได้สะดวก ไม่ซับซ้อนเกินไป ในขณะที่ Graylog Open Source เป็นเครื่องมือโอเพนซอร์ซแพลตฟอร์มแบบบูรณาการสำหรับการรวบรวม จัดทำดัชนี และวิเคราะห์ข้อมูลบันทึก ประกอบด้วยส่วนติดต่อทางเว็บแบบ GUI ส่วนเซิร์ฟเวอร์ Graylog ส่วนโหนด Elasticsearch และส่วนฐานข้อมูล Mongo จากการทดสอบสามารถใช้งาน Graylog Open Source ร่วมกับ Rsyslog Server สำหรับใช้เป็น Centralized Log Management ตามสภาพแวดล้อมเดิมในฝั่งของ Host (Rsyslog Client) โดย Host ยังไม่ต้องแก้ไข Agent ในการส่ง Log มายัง Centralized Log Management ใหม่ Host สามารถส่ง Log มายัง Rsyslog Server แบบเดิมได้ ทำให้ระบบเครือข่ายและเครื่องแม่ข่ายที่มีจำนวนมาก และ Centralized Log Management แบบใหม่ร่วมกับระบบเดิม ยังคงทำงานต่อเนื่องได้อย่างมีประสิทธิภาพ