Escute seus sistemas

No mundo da TI existe uma forma de comunicação que poucas empresas exploram.

Muitos sistemas geram logs, registros de eventos que ocorrem nos sistemas. Os logs são uma forma de comunicação dos sistemas. Cabe a nós procurar ouvir e entender o que eles estão nos dizendo.

Por exemplo:
Quando eu ligo meu desktop são gerados vários logs;
Quando eu me autentico no desktop outros logs são gerados.

Segue algumas linhas de logs gerados quando eu ligo meu desktop, com alguns comentários:

# Informações referentes a versão do meu sistema operacional
Linux version 2.6.30.10-105.2.23.fc11.i686.PAE (mockbuild@xb-01.phx2.fedoraproject.org) (gcc version 4.4.1 20090725 (Red Hat 4.4.1-2) (GCC) ) #1 SMP Thu Feb 11 07:05:37 UTC 2010

# CPUs suportadas pelo meu kernel
KERNEL supported cpus:
  Intel GenuineIntel
  AMD AuthenticAMD
  NSC Geode by NSC
  Cyrix CyrixInstead
  Centaur CentaurHauls
  Transmeta GenuineTMx86
  Transmeta TransmetaCPU


# Algumas informações sobre a CPU
CPU0: Intel Pentium(R) Dual-Core  CPU      E5200  @ 2.50GHz stepping 0a
checking TSC synchronization [CPU#0 -> CPU#1]: passed.
Brought up 2 CPUs
Total of 2 processors activated (9972.28 BogoMIPS).
sizeof(vma)=88 bytes
sizeof(page)=32 bytes
sizeof(inode)=348 bytes
sizeof(dentry)=132 bytes
sizeof(ext3inode)=504 bytes
sizeof(buffer_head)=56 bytes
sizeof(skbuff)=180 bytes
sizeof(task_struct)=3220 bytes
CPU0 attaching sched-domain:
 domain 0: span 0-1 level MC
  groups: 0 1
CPU1 attaching sched-domain:
 domain 0: span 0-1 level MC
  groups: 1 0

#Informações sobre PCI
PCI: Found Intel Corporation 945G/GZ/P/PL Express Memory Controller Hub with MMCONFIG support.
PCI: MCFG configuration 0: base e0000000 segment 0 buses 0 - 255
PCI: Not using MMCONFIG.
PCI: PCI BIOS revision 3.00 entry at 0xf0031, last bus=3
PCI: Using configuration type 1 for base access
Esse arquivo é grande, detalhado e é gerado toda vez que ligo a máquina.

# Quando eu me autentico no sistema como root (administrador) ele registra a linha abaixo
Aug 17 11:36:38 zeroone su: pam_unix(su-l:session): session opened for user root by rodrigo.gatao(uid=20016)


# Quando eu encerro a seção ele registra a linha abaixo
Aug 17 11:36:43 zeroone su: pam_unix(su-l:session): session closed for user root

Além disso, toda vez que eu instalo um sofware, inicio um programa, adiciono um usuário, o sistema operacional gera um registro.

A mesma coisa acontece com muitos sistemas. Eles usam os logs para informar o que eles andam fazendo, o que não estão conseguindo fazer, o que andam fazendo com eles, quem fez, que horas fez, etc.

Além dos registros padrão, pode ser possível solicitar que o sistema gere outros logs, de acordo com a necessidade do ambiente.

Grande parte do nosso trabalho aqui na Triforsec, na área de suporte e gestão de servidores,  é feito com base nas informações contidas nos logs.

Se um cliente não consegue se autenticar, a gente monitora os logs do sistema operacional referentes a autenticação;

Se um cliente diz que não está conseguindo acessar a Internet, a gente monitora os logs da camada de rede para saber se o indivíduo está chegando no servidor de Internet ou está sendo barrado antes de chegar nele;

Se um cliente diz que o servidor está lento, agente verifica o status dos recursos do servidor (Memória RAM, CPU, Interface de rede...);

Se um arquivo "desaparece", a gente verifica os logs lá do sistema de arquivos para saber quem foi o engraçadinho que apagou, renomeou ou removeu o bendito arquivo.



Nesse ponto do texto com certeza você já sabe que é importante ouvir o que os sistemas têm a dizer.

O outro lado da moeda:

Não é simples ouvir e correlacionar tudo o que  vários sistemas operacionais, serviços e aplicativos têm a dizer. Quando falo em sistemas operacionais, estou falando dos sistemas dos servidores, switches, roteadores, centrais telefônicas e etc.

Existem alguns servidores de logs que são usados para centralizar e correlacionar todos os logs da empresa.

Ser o último a saber no mundo real não é legal. Siga esse raciocínio e evite ser o último a saber também no mundo virtual.


Se conselho fosse bom ....... Use filtro solar e escute seus sistemas.

Tô no Twitter: http://twitter.com/rodbramos

t+
saúde e paz