Dneska jsem se rozhodl, že bych se s vámi chtěl podělit o některé scénáře použití služby ATOM, případně platformy OMS a to za předpokladu, že jej trošku ohnete k obrazu svému. V tomto mini seriálu se nebudeme zabývat vlastní tvorbou, ale spíš zajímavými možnostmi využití dané služby/platformy v běžné praxi a budu moc rád, pokud se semnou podělíte o své zkušenosti s využitím platformy OMS, potažmo Log Analytics.
Dost často jsem se setkal s implementacemi různých monitoringů a log managementů nebo dokonce i SIEM nástrojů, které byly do prostředí nasazeny, ale už nikdo neřešil zda jsou data zpracovávána správně, zda systém funguje a zda do něho někdo skutečně nahlíží a vyhodnocuje stavy, které mohou nastat napříč všemi charakterově stejnými servery. Proto jsem se rozhodl napsat tento mini seriál, abychom se podívali, jak to lze vyřešit a nemusíte tím trávit hodiny zkoumání logů, příčin a důsledků.
Něco málo na začátek
O platformě OMS nebo spíš Log Analytics jsem už na mém blogu psal a nějak jsem můj seriál nedopracoval, ale jako základní orientace to určitě stačí. OMS jako platforma je poměrně robustním nástrojem poskytující nepřeberné možnosti s ohledem na integrace a zpracování logů ze všech možných systémů o čemž svědčí i nativní podpora různých systémů (Linux/Windows, Cloud/OnPremise) a je jen důležité si říci, co chci dělat, jak to budu zobrazovat a jaké aletry bych měl mít k dispozici. OMS je na začátku prázdné a bez jakékoliv konfigurace a proto se zaměřím na službu ATOM, která stojí na platformě OMS, ale vše máte na kliknutí připravené, nastavené a doručené na vaše servery včetně datových pump (kolektorů) z vašeho prostředí.
OMS prošlo velkou řadou inovací o čemž svědčí i letošní Ignite 2017, ale my se podíváme ještě na starší verzi, jelikož upgrade mi nepřijde zatím příliš vhodný pro nasazení do produkce, pač jsem s ním měl nemalé problémy s ohledem na funkčnost celého prostředí. Také nás budou čekat nemalé změny v platformě a to, že se pomalu ustupuje ze samostatného portálu OMS a přechází se pod Azure, kde najdete stejné funkcionality přímo pod službou Log Analytics.
Předmluva k ATOMu
Služba ATOM je postavena na jedné z nejvíce robustních platforem pro Log Management běžící v cloudovém prostředí Microsoft Azure. Tato platforma se vyznačuje tím, že je možno v jedné sekundě provést zpracování až 2000 zpráv o velikosti každé zprávy 30MB, což znamená maximální možné zpracování dat o celkovém objemu cca 60GB za 1s v rámci každého prostředí ATOM. Toto číslo je však maximálním limitem a není předpokládáno, že by došlo k jeho využití. Základní předpoklad využití je 500MB na každé zařízení a to každý den při retenci 31 dni, což znamená celkem 151GB za každý měsíc při provozu 10 serverů. Pokud by měl zákazník serverů 100, pak se jedná o 1,5TB dat měsíčně. Tato data jsou na dobu 31 dní umístěna na rychlých discích (můžeme si představit jako SSD nebo NVMe), aby bylo možno velmi rychle data vyhledávat a pokud si zákazník vyžádá uložení dat, je služba ATOM schopna dodat prostor až na 2 roky zpětně, což znamená uložení celkem 36TB dat, které se automaticky přemazávají.
ATOM team denně provede kontrolu cca 3 000 000 logů a z toho se jedná o 2 000 000 security logů a signálů u každého zákazníka. Díky vyhledávacímu jazyku jsou schopni velmi rychle najít signály a sestavit korelace, které následně transformují do alertů. Tyto aletry, pak vyhodnocují a nasazují globálně ke všem zákazníkům.
Případ užití
Určitě první oblastí je kontinuální sledování konfigurace prostředí, kdy zákazník získává Baseline pro Operační systémy od verze Windows Server 2008 a pro Internet Information Services, která běží na těchto operačních systémech. Díky ATOMu, již nemusí zákazník vědět, zda má vše nakonfigurováno bezpečně a nemusí kontrolovat kroky dodavatelů, kteří do jeho prostředí nasazují aplikace, jež často nedisponují ani základní dokumentací. ATOM provádí pravidelné inspekce prostředí a je tak schopen vyhodnotit, zda je prostředí nastaveno správně, zda se logují všechny potřebné události a dává zákazníkům doporučení prostřednictvím teamu ATOM, který tato doporučení posuzuje a zákazníkovi doručí pouze relevantní informace.
![clip_image002[7]](http://www.defense-ops.com/wp-content/uploads/2017/10/clip_image0027.jpg "clip_image002[7]")
![clip_image004[7]](http://www.defense-ops.com/wp-content/uploads/2017/10/clip_image0047.jpg "clip_image004[7]")
![clip_image006[7]](http://www.defense-ops.com/wp-content/uploads/2017/10/clip_image0067.jpg "clip_image006[7]")
![clip_image008[5]](http://www.defense-ops.com/wp-content/uploads/2017/10/clip_image0085.jpg "clip_image008[5]")
Pokud byste projevili zájem o to poznat službu ATOM více do hloubky dejte mi vědět na hejda@kpcs.cz nebo si rovnou vezměte free účet na https://atom.ms , který můžete na 5 serverech používat neomezeně dlouho (neomezeně myslím než Microsoft upraví licenční politiku)
