Logger kullanımına örnek olarak düşük kaynak gerektiren yapıları kurarken veya search ve raporlama gibi performans gerektiren işlemleri gerçekleştirmeyi planlarken; üzerine log almayan ancak yapıda peer olarak tanımlı başka bir ya da birden fazla logger üzerinde çalışabiliriz. Diğer yandan yapıda hem anlık kesintilere hazırlıklı konumda olmayı, hem de performans gerektiren işlemleri üzerinde yük olmayan bir Logger üzerinde gerçekleştirmek istemek oldukça olağan bir durum. Böyle bir durumda neler yapabiliriz bir bakalım;
Senaryomuzda kaynak bakımından da kısıtlı olduğumuz parametresini de ekleyerek nasıl aksiyonlar alabileceğimize göz atabiliriz. İhtiyaçlar özetle şu şekilde;
Bu temel üç istek için önerimiz şu şekilde olabilir. Elimizde log trafiğini karşılayan bir Logger var. Bir de search aktivitelerin gerçekleştirmek üzere yapıya Search Head ilave edebilir, hatta bu Search Head’i ikinci bir görevle taçlandırabiliriz: “Failover Destination”.
Bir disaster Recovery senaryosu içinde üzerine event alan Logger’a ulaşılamaz ise failover destination tanımlanabilmektedir ve bu Failover Destination’ın Search Head olmaması gerektiğine dair herhangi bir kısıt bulunmaktadır. Özetle minimum kaynak kullanımı gerektiren bir yapıdaki search head olarak kullanılan Logger’ı aynı zamanda failover logger olarak tanımlamak mümkün olmaktadır. Bu sayede iki amaca hizmet eden bir sunucu sayesinde maliyeti düşürerek, hem log kaybını önleyebilmekte hem de zaten üzerinde log toplama yükü olan Logger’ı search aktivitelerinden feragat edebilmekteyiz. Aşama aşama işlemi nasıl gerçekleştireceğimize bakalım:
Loggerları peer tanımlarken iki yöntem bulunmaktadır. Peer login credentials kullanımı ile logger üzerinde local olarak tanımlı olan kullanıcı ve parolası kullanarak tanımlama yapılırken, peer authorization credentials kullanımı ile peer olarak eklenecek olan loggerın ip’si girilerek uniqe bir ID ve code oluşturulur. Micro Focus tarafından peer yapı eklenmesinde Authoritazion ID ve code oluşturulması önerilmektedir. İki ya da daha fazla Logger’o peer hale getirmek, loglara birden fazla yerden eşzamanlı olarak ulaşmayı mümkün kılmaktadır.
İki logger ya da sistem birbiriyle eşleştiğinde başlatıcı olan logger (bizim örneğimizde 10.x.x.50 ip’li logger buna Logger A diyelim), bu üretilen id ve kodu hedef loggera (10.x.x.63 ip’li logger buna da Logger B diyelim) göndererek kimlik doğrulaması tamamlanır.
Sol panelde bulunan Configuration>Peer Authorization sekmesine gidip ya da “Take me to” ile aratarak Peer Authorization sayfasına gidebiliriz. Add diyerek Logger A için Logger B nin Ip’sini girerek Logger B’yi tanımlayalım.
Üretilen ID ve kod ile hedef logger üzerinde (logger B) Configuration>Peer Nodes kısmından eklemede bulunalım.
Logger 5.3 versiyon ve üzeri loggerlar birbirleriyle peer yapıda bulunabilir. Bununla birlikte kurulan her logger versiyonu için Micro Focus tarafından yayınlanan Admin Guide ‘a danışılarak fark gerektiren noktalar kontrol edilmelidir.[1]
Peer olarak eklediğimiz loggerlarda search head üzerinden (logger B) diğer logger üzerinde de arama yapabilmemiz için local only ayarlamasının kapalı olması gerekmektedir. Aşağıdaki örnekte de görebildiğimiz gibi 10.x.x.50 Ip’li loggera (logger A) search head üzerinden erişebilmekteyiz.
Öncelikli olarak yapıda bulunan connectorlerimizde $ARCSIGHT_HOME/current/bin /runagentsetup.exe setup dosyasını administrator yetkisi ile çalıştırıyoruz.
Sonrasında Modify Connector seçeneği ile next diyerek ilerliyoruz. “Add, modify, or remove destinations” seçeneği ile ilerleyerek mevcutta destination olarak tanımlı olan ve üzerine log akışı bulunan logger’I (logger B) seçerek ilerliyoruz.
Sonrasında Add a failover destination’ı seçerek ilerleyerek mevcuttaki loggerın log alamama durumlarında üzerine log alacak loggerı (bizim seneryomuzda yapıda search head olarak bulunan logger’ı) tanımlıyoruz.
Search head logger ip adresini, port numarasını (varsayılan olarak 443), receiver adını girerek ilerliyoruz. Logger üzerinden sertifika aktarmasını sağladıktan sonra connector ve logger arasındaki bağlantıyı kurmuş oluyoruz.
Bir disaster senoryosu gerçekleştirebilmek için yapıda bulunan Logger A’nın servislerini durdurarak failover olarak tanımladığımız search head loggerın(logger B’nin) üzerine log almasını sağlayabiliriz.
Aşağıdaki search ekranında da görülebildiği üzere peer loggerlar üzerinde arama yapmadan yani local only arayarak search head logger üzerine log alabilmekteyiz.
Bu senaryo ile loglara erişerek search ve rapor gibi scheduled taskların devamlılığını sağlayabiliriz. Yani Search Head üzerinde tanımlı olan search/report aktiviteleri devam ederken, birincil Logger tekrar stabil çalışır duruma gelene kadar, connectorler logları üzerinde tutmak yerine Search Head’e göndermeye devam edebilir. Böylece connectorlerde karşılaşılan cache problemlerinin önüne geçilebilir. Bunun yanında bir Logger hem failover destination hem de Search Head görevlerini üstlenerek, sağlayabildimiz maximum kaynak-sunucu sayısı 2 bile olsa, 3 görevi paylaştırabilir, yapıyı en optimumda tutmaya devam edebiliriz.