Skip Ribbon Commands
Skip to main content

অপারেশন ম্যানেজমেন্ট স্যুইট লগ অনুসন্ধানে ওয়্যার ডেটার ব্যবহার

 

অল্প সময় আগে আমরা OMS Portal এ আমরা 'ওয়্যার ডেটা' সলিউশনের প্রথম বিষয় শুরু করেছি – আপনি দেখে না থাকলে তা সলিউশন গ্যালারিতে দেখুন। আমরা সময় মতো তা the 'momteam' blog, but Stas has given us coverage anyways এ আনুষ্ঠানিক ভাবে জানিয়ে উঠতে পারিনি। তাই এই ডেটার কোয়্যারি করার পদ্ধতি এবং একটি সমাধান উন্নত করার বিভিন্ন দিকের বিষয়ে এই পোস্টে জানালাম।

ওয়্যার ডেটা বলতে আমরা কী বুঝি?

Windows Network Stack এবং পোল পরিসংখ্যানে হুক করতে সলিউশন SCOM এবং ডাইরেক্ট এজেন্ট উভয়ের জন্য একটি কাস্টম মডিউল ব্যবহার করে। তারপরে ডেটা OMS এ আপলোড করা হয় (প্রত্যেক এজেন্ট থেকে সরাসরি, এমনকি SCOM সংযোগ মোডে)।

তারপরে আপনি OMS লগ সার্চে সেরা এজেন্ট এবং সেরা প্রোটোকল বিষয়ে তথ্য দেখতে ডেটা ফিল্টার এবং গ্রুপ করতে পারবেন। কিছু নির্দিষ্ট কম্পিউটার একে অপরের সঙ্গে যোগাযোগ সাধন করার সময়ে (IP ঠিকানা/MAC ঠিকানা) আপনি কত সময় ধরে এবং কত পরিমাণ ডেটা পাঠানো হয়েছে তা দেখতে পারবেন – মূলত, আপনি নেটওয়ার্ক ট্র্যাফিক বিষয়ে মেটাডেটা দেখেন, অন্যান্য অধিকাংশ সলিউশনের মতোই সমস্ত বিষয় অনুসন্ধানই সরবারহ করে।

সলিউশনের তৈরি করা ডেটা থেকে নিজে নিজেই বুঝে নেওয়া সম্ভব হয়, আপনি OMS লগ সার্চ ব্যবহার করলে এবং TCP/IP এবং নেটওয়ার্ক কমিউনিকেশনের সঙ্গে অল্পবিস্তর পরিচিত হলে বিশেষ সুবিধা পাবেন। আমাদের প্রধান লক্ষ্য ছিল এই প্রক্রিয়াটিকে সহজ করে তোলা – পারফরমেন্স ধরতে আমরা নেটওয়ার্ক স্ট্যাকের খুব গভীরে যাই না। ডিফল্ট সেটিংয়ে প্রয়োজনীয় বিষয় রাখা হয় এবং তাতে সম্পূর্ণতা রাখা হয় না যা পারফরমেন্সে হস্তক্ষেপ করতে পারে। ওয়্যার ডেটা মডিউল কিছু নির্দিষ্ট কনফিগারেশন বিশিষ্টতা নির্দিষ্ট করে (এই পোস্টে পরের দিকে উল্লেখ করা হয়েছে) যা বিভিন্ন দিক থেকে উন্নত করা সম্ভব।

Type=WireData এবং Type=SecurityEvent : 'মিলিত ভাবে এক উন্নত' বিষয়

এখানে আমি এমন একটি ব্যবহারের বিভিন্ন দিক দেখাচ্ছি যা সচরাচর করা হয় না।

বর্তমানে এজেন্ট, প্রোটোকল ইত্যাদি ভাগে বিভক্ত ক্যানড ড্রিল ডাউন নিয়ে সময় ব্যয় না করে আসুন 'কমন কোয়্যারি' দিয়ে শুরু করা যাক কারণ আশা রাখি ক্যানড ড্রিল ডাউন আপনি নিজে থেকেই বুঝে নিতে পারবেন:

 style=margin: 5px; width: 553px; 

 

Type=WireData | measure Sum(TotalBytes) by ProcessName

এখানে আমি এক বিশেষ দিক থেকে ডেটায় চোখ রাখতে পারি: কোন প্রক্রিয়ায় বা কোন প্রক্রিয়া থেকে নেটওয়ার্ক কমিউনিকেশন পাঠানো হয়েছে তা আমরা প্রায় সময়েই বলে দিতে পারব:

(স্ক্রীনশটে আমি 'কোথায়' যোগ করেছি কারণ আমার কাছে অনেক সংখ্যক রয়েছে…)


 style=margin: 5px; width: 553px; 

 

এখানে আমি দেখতে পাচ্ছি যে 'DancingPigs.exe' নামের এক সন্দেহজনক প্রক্রিয়া থেকে কিছু ট্র্যাফিক পাঠানো হয়েছে।

আমি উপরের ফলাফলে ক্লিক করলে পরবর্তী কোয়্যারিতে পৌঁছে যাব যা আমাকে ওই ট্র্যাফিক তথ্য দেখায়:


 style=margin: 5px; width: 553px; 

 

আমি দেখতে পাচ্ছি যে ওইগুলি বিভিন্ন প্রোটোকল বরাবর (HTTPS, SMB ইত্যাদি) একগুচ্ছ 'আউটবাউন্ড' কমিউনিকেশন। মনে হচ্ছে কোনো ব্যবহারকারী এমন কিছু সম্পাদনা করেছেন যাতে তিনি ক্লিক করেননি।

আমার এই ওয়ার্কস্পেসে যেহেতু 'নিরাপত্তা এবং অডিট' সলিউশনও আছে, আমি (একটি উপ-অনুসন্ধানের মাধ্যমে – পড়ুন my previous post here if you haven't) ওই নিরাপত্তা ইভেন্টগুলির অনুসন্ধান করতে পারি যার ProcessName ফিল্ড মান (উভয় প্রকারের ফিল্ডে একই ফর্ম্যাটের মান আছে) ওয়্যার ডেটা লগের অনুরূপ:

Type=SecurityEvent ProcessName IN {Type:WireData "DancingPigs.exe" | distinct ProcessName}


 style=margin: 5px; width: 553px; 

 

এবং আমি একবার এই তথ্য পেলে, ওই প্রক্রিয়া শুরু করা অ্যাকাউন্টগুলিতে আমি নজর রাখতে পারি, আবার নিরাপত্তা লগ দেখতে পারি:

Type=SecurityEvent ProcessName IN {Type:WireData "DancingPigs.exe" | distinct ProcessName} | measure count() by Account


 style=margin: 5px; width: 553px; 

 

আশা রাখব এই ধরনের ডেটার দিক থেকে বিষয়টি বেশ কিছু ব্যবহারিক দিক তুলে ধরতে পেরেছে।

ডেটা কীভাবে সংগ্রহ করা হয়? আমি সংগ্রহে হস্তক্ষেপ করতে পারি?

আগেও উল্লেখ করা হয়েছে যে সলিউশনটি Windows Network Stack এ হুক করতে এবং তা থেকে পরিসংখ্যান নিয়ে আসতে SCOM এবং ডাইরেক্ট এজেন্ট – উভয়ের জন্য একটি কাস্টম মডিউল ব্যবহার করে।

আমাদের প্রধান লক্ষ্য ছিল এই প্রক্রিয়াটিকে হালকা রাখা এবং এজেন্টকে প্রভাবিত না করা – তাই আমরা মেশিনের পারফরমেন্সের উপর নজর দিতে নেটওয়ার্ক স্ট্যাকের খুব গভীরে যাই না। ডিফল্ট সেটিংয়ে আমরা সমস্ত বিষয় রাখি না এবং প্রয়োজনীয় জিনিসগুলিই রাখি অন্যদিকে সবকিছু রাখলে তা পারফরমেন্সে হস্তক্ষেপ করে। ওয়্যার ডেটা মডিউল নিম্নলিখিত কনফিগারেশন বিশিষ্টতা নির্দিষ্ট করে থাকে:

কনফিগারেশন বিশিষ্টতা বিবরণডিফল্ট মানন্যূনতম মানসর্বাধিক মান
IntervalSecondsএজেন্ট থেকে ক্লাউড স্টোরেজে ওয়্যার ডেটার আপলোড বিরতি। 60 সেকেন্ড 1 সেকেন্ড 3600
SessionPerUploadআপলোড করার সর্বাধিক সংখ্যক সেশন। সংগ্রহ করা সেশনগুলি SessionPerUpload বিশিষ্টতার নির্দিষ্ট করা মানের থেকে বেশি হলে ওই সেশনগুলি পরবর্তী আপলোড বিরতিতে আপলোড হয়। 1000 1 সেকেন্ড 262144 (অর্থাৎ 256K)
ExpireIntervalSecondsএটি সেশন শেষ হওয়ার উপরে নজর রাখে। ExpireIntervalSeconds এর বেশি মানে সেশনের মেয়াদ শেষ হলে ওই সেশনগুলি বাতিল করা হবে এবং ক্লাউডে আপলোড হবে না। 1800 86400
MaxSessionBuffersবার্তাগুলি ক্যাপচার করতে WireData ডেটা সোর্স/MP দ্বারা তৈরি করা ETW সেশনের জন্য সর্বাধিক সংখ্যক সেশনের বাফার গণনা। 32 1 255
SessionBufferSizeKBETW সেশন বাফারের আকার। 4096 1 32768
TruncationLengthByteট্রাঙ্কেশন দৈর্ঘ্য সূচিত করে। 0 মান কোনো ট্রাঙ্কেশন নেই তা বোঝায়। মান যত বেশি হবে তা ইথারনেট প্যাকেট থেকে তত বেশি বাইট ট্রাঙ্কেট হওয়াকে সূচিত করে। 128 0 2048
MaxCachedSessionsসর্বাধিক সংখ্যক ক্যাশে সেশন 16384 100 1048576
LatencySamplingIntervalSecondsল্যাটেন্সি হিসাবের জন্য সেকেন্ডে নমুনা বিরতি 300 1 86400
LatencySamplingTimeoutSecondsল্যাটেন্সি স্যাম্পলিংয়ের জন্য সময় শেষ হয়ে যাওয়ার বিরতি 2 1 1024
LatencySamplingCountল্যাটেন্সি গণনার জন্য স্যাম্পলিং কাউন্ট সূচিত করে 4 1 10

 

অর্থাৎ, আপনার SCOM থাকলে, ওভাররাইড হয়ে উন্নত করা সম্ভব (নিজের ঝুঁকিতে করুন – এই সীমাগুলিতে হস্তক্ষেপ করার বিষয়ে তার প্রভাব মূল্যায়ন করতে আপনার নিজস্ব পারফরমেন্স পরিমাপ করুন, বিশেষ করে প্রচুর ট্র্যাফিক সমেত ব্যস্ত সার্ভারে।


 style=margin: 5px; width: 553px; 

 

 

 

 

দলের তরফ থেকে, আমরা আশা রাখি যে এই সলিউশনটি আপনার ভালো লাগবে এবং কাজে আসবে। OMS এ নেটওয়ার্ক ট্র্যাফিক দৃশ্যমানতার বিশ্বে এটাকে আমাদের প্রথম পদক্ষেপ বলা যেতে পারে।  

দয়া করে মতামত এবং বৈশিষ্ট্যের অনুরোধ (বা বাগ রিপোর্ট) পাঠাতে ভুলবেন না on the UserVoice feedback forum

Security, microsoft, query, queries, ACS, Audit, opsmgr, System Center Operations Manager 2012, OpsMgr2012, Override, Operations Manager, System Center Advisor, mscadvisor, Advisor, search, opinsights, Operational Insights, Azure, OMS,Operations Management Suite


 

Read More on...

--> 

This site uses Unicode and Open Type fonts for Indic Languages. Powered by Microsoft SharePoint 2013.
©2016 Microsoft Corporation. All rights reserved.