Skip to content
02-982-5445
info@sran.net

SRAN

Metalog

High Performance Log Management ระบบจัดเก็บและรวบรวมข้อมูลจราจรทางคอมพิวเตอร์ (Log files) เก็บและค้นหาได้ในเครื่องเดียว สามารถเชื่อมการทำงานร่วมกับ SIEM ได้ รองรับทั้ง Windows และระบบปฏิบัติการ Linux

คุณสมบัติ

Powerfull

High Performance รองรับ Log ขนาดใหญ่

จากหลาย Source ได้อย่างมีประสิทธิภาพ

Log Archive

สามารถจัดเก็บข้อมูล Log files ขนาดใหญ่ โดยมีเทคโนโลยีในการบีบอัดไฟล์ ใช้การ Compressed Files แบบ LZMA และ ZSTD เพื่อลดขนาดไฟล์ดังเดิมได้ ลดทรัพยากรการจัดเก็บพื้นที่ฮาร์ดดิส ข้อมูลมีการเข้ารหัสด้วยความมั่นคงปลอดภัยสูง เหมาะกับการจัดเก็บข้อมูลส่วนบุคคลในองค์กรที่เป็นข้อมูล Syslog และ Non-Syslog รองรับทั้งอุปกรณ์เครือข่าย และเครื่องแม่ข่ายที่เป็น Database และ Application ที่สำคัญขององค์กร

Log Collect

รวบรวมข้อมูลจากหลาย Source ได้แก่ Network Devices Log, Endpoint Log ที่ได้จาก Windows Agent และ Linux Agent รวมถึง Application Log ทั้งในรูปแบบ Syslog ตาม RFC5424, RFC3164 และรูปแบบที่ไม่ใช่ Syslog

Filter and Forward

มีความสามารถในการคัดกรอง ข้อความ เนื้อหา ฟิลด์ และเนื้อหาในไฟล์ Log เพื่อทำการส่งต่อให้กับ SIEM หรือส่งต่อไประบบ AI เพื่อวิเคราะห์ผลต่อไปได้

Full Text Search

สามารถทำการค้นหาข้อมูล Full Text Search Dynamic LINQ เป็น Expression Language และ Event Query Language

Fast Log Search​

Log Search ค้นหาข้อมูลจากเนื้อหาในไฟล์ Log ขนาดใหญ่ได้รวดเร็ว Dashboard มีการแสดงผลเป็นแบบเรียลไทม์ และสามารถทราบสถานการณ์ปัจจุบัน ค่าจำนวน Log แต่ละ Source ภาพรวมการใช้งาน ค่า EPS ที่มีการรับและส่งข้อมูล ปริมาณค่าการใช้งานแรม และซีพียู

Metalog จัดเก็บและค้นหาข้อมูลอย่างมีประสิทธิภาพ

Download Datasheet

Tech Specs

รองรับปริมาณข้อมูลขนาดใหญ่ได้ เริ่มปริมาณข้อมูลตั้งแต่ 10,000 – 1,000,000 events per second (EPS) โดยสามารถเก็บบันทึก และค้นหาข้อมูล โดยรวมรวมข้อมูลจากเครือข่ายและ Host ได้

การทำ Log Archive เพื่อเก็บข้อมูลย้อนหลัง โดยใช้การผสมเทคโนโลยี Adaptive Compression Algorithm การบีบอัดข้อมูลเพื่อให้การจัดเก็บเต็มไปด้วยประสิทธิภาพ

สามารถเปิดไฟล์ขนาดใหญ่ และค้นหาข้อความในไฟล์ขนาดใหญ่ภายในไม่กี่วินาที

มีความสามารถในการรับค่า Log files แบบ Advanced Mode โดยกำหนดค่า Initial Buffer Size, Minimum Buffer Size, Maximum Buffer Size ตั้งค่าขนาดของ Memory Buffer ขนาดของ Buffer จะปรับเปลี่ยนอัตโนมัติตามปริมาณ Traffic ของ Log ที่เข้าสู่อุปกรณ์ โดยจะเริ่มจากค่าเริ่มต้น (Initial Buffer Size) ก่อนจากนั้นขนาดของ Buffer จะเพิ่มขึ้นหรือลดลงแปลผันตรงกับขนาดของ Traffic แต่จะไม่มากกว่าค่าสูงสุด (Maximum Buffer Size) หรือน้อยกว่าขนาดต่ำสุด (Minimum Buffer Size)

สามารถทำการจัดการสิทธิ์การเข้าใช้งานระบบ Role-Based Access Control (RBAC) Device Setting, User Setting, Log Inspection และ Device Statistics กำหนดการทำ Log Archive ด้วย Storage Selection Algorithm โดยเชื่อมต่อกับอุปกรณ์ภายนอกได้ มีความสามารถในการกำหนดค่า Certificate SSL เพื่อเพิ่มความปลอดภัยในการส่งข้อมูลผ่านระบบ Cloud และ ใช้ส่ง Log ข้ามระบบเครือข่ายคอมพิวเตอร์

Linux Audit Logs, Log Files, RFC5424, RFC3126, Non-Syslog, Windows Event logs

  • เป็นอุปกรณ์ Appliance หรืออุปกรณ์คอมพิวเตอร์ที่ได้มาตรฐาน สามารถเก็บรวบรวมเหตุการณ์ (Logs of Events) ที่เกิดขึ้นในอุปกรณ์เป็น Appliance หรือ Non-Appliance เช่น Firewall, Network Devices ต่างๆ, ระบบปฏิบัติการ, ระบบ Appliance, ระบบเครือข่าย และระบบฐานข้อมูล เป็นต้น โดยสามารถแสดงผลอยู่ภายใต้แบบ (format) เดียวกันได้ไม่จำกัดจำนวนอุปกรณ์ต่อระบบ
  • สามารถรวบรวมข้อมูลจากหลาย Source ได้แก่ Network Devices Log, Endpoint Log ที่ได้จาก Windows Agent และ Linux Agent รวมถึง Application Log ทั้งในรูปแบบ Syslog ตาม RFC5424, RFC3164 และรูปแบบที่ไม่ใช่ Syslog ได้
  • สามารถจัดเก็บข้อมูลชนิด Raw Data โดยแยกจัดเก็บตามชื่ออุปกรณ์ วันที่ และชั่วโมงได้
  • สามารถทำการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ในลักษณะของ Centralized และ Forwarder Mode ได้ สามารถส่งต่อ Log Forward โดยการสร้าง Filter ตามเงื่อนไขที่ต้องการ เช่น ชื่อ Host, ชนิดของเหตุการณ์ระดับความสำคัญ หรือ Message Keyword โดยส่งต่อไปยัง Syslog Server อื่น หรืออุปกรณ์ประเภท SIEM ผ่าน Syslog Protocol ได้ โดยที่ไม่เปลี่ยนแปลงข้อมูลต้นทาง
  • รองรับการส่งข้อมูลและรับข้อมูลผ่าน Network Protocol UDP และ TCP และสามารถใช้ TLS/SSL Certificate ที่สื่อสารกับอุปกรณ์ต้นทางแบบ Secure Protocol ได้
  • มีการแสดงผลแบบ Real-Time ที่สามารถเห็นเครื่อง Source Log ที่ส่งค่า Log จากต้นทาง ทั้งปริมาณข้อมูลจำนวน EPS, Throughput, ปริมาณ Log ที่ทำการ Forward และปริมาณข้อมูลที่ฝั่งรับ Log Destination ที่รับ Log ปลายทาง
  • มีระบบการเข้ารหัสข้อมูลเพื่อใช้ยืนยันความถูกต้องของข้อมูลที่จัดเก็บตามมาตรฐาน SHA-256
  • สามารถดาวโหลด Log Archive โดยการเลือกช่วงเวลาที่ต้องการได้ พร้อมทั้ง Log ที่ส่งออกไปสามารถกำหนดการเข้ารหัสข้อมูลได้ ไม่ว่าเป็น Zip แบบมีรหัสผ่าน และเข้ารหัส Log แบบ AES
  • สามารถจัดเก็บ Log file ในรูปแบบ Syslog ของอุปกรณ์ เช่น Router, Switch, Firewall, VPN, Server ได้
  • สามารถบริหารจัดการอุปกรณ์ผ่านมาตรฐาน HTTPS, Command Line Interface และ SSH ได้
  • สามารถจัดเก็บฐานข้อมูลในรูปแบบ NOSQL เพื่อความรวดเร็วในการจัดเก็บและค้นหาได้
  • สามารถทำการค้นหาข้อมูล Full Text Search Dynamic LINQ เป็น Expression Language และ Event Query Language ได้
  • มีเทคโนโลยีการ Index ข้อมูล Log File เพื่อประสิทธิภาพในการค้นหา โดยรองรับทั้งแบบ Full Text Search และแบบกำหนด Field ในการค้นหา โดยสามารถระบุเงื่อนไขในการค้นหาได้ เช่น AND, OR, Wildcard Expression, Regular Expression และกำหนดช่วงเวลาหรือขอบเขตในการค้นหาได้
  • สามารถจัดเก็บ Log file ได้ถูกต้อง ตามพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ โดยมีซอฟต์แวร์ SRAN Module Logger ที่ผ่านมาตรฐานของศูนย์อิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ NECTEC มศอ. 4003.1-2560 (NECTEC STANDARD NTS 4003.1-2560) และหนังสือรับรอง MiT (Made in Thailand) จาก สภาอุตสาหกรรม (ซอฟต์แวร์เก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์)
  • สามารถจัดเก็บข้อมูล Log files ขนาดใหญ่ โดยมีเทคโนโลยีในการบีบอัดไฟล์ ใช้การ Compressed Files แบบ LZMA และ ZSTD เพื่อลดขนาดไฟล์ดังเดิมได้ (สามารถบีบอัดข้อมูลบนพื้นที่จัดเก็บได้ 15:1) ลดทรัพยากรการจัดเก็บพื้นที่ฮาร์ดดิส ข้อมูลมีการเข้ารหัสด้วยความมั่นคงปลอดภัยสูง เหมาะกับการจัดเก็บข้อมูลส่วนบุคคลในองค์กรที่เป็นข้อมูล Syslog และ Non-Syslog รองรับทั้งอุปกรณ์เครือข่าย และเครื่องแม่ข่ายที่เป็น Database และ Application ที่สำคัญขององค์กรได้
  • สามารถทำการสำรองข้อมูล (Data Backup) ไปยังอุปกรณ์จัดเก็บข้อมูลภายนอก เช่น Tape หรือ External Storage ได้
  • สามารถรับปริมาณข้อมูลจาก Log files ที่ส่งมาจาก Source ต่างๆจำนวนมากได้โดยวิธีการสร้าง Load Balancer ในการจัดคิวของข้อมูลแบบอัตโนมัติ

SRAN CyberTech

สนใจโซลูชันด้านความปลอดภัย ติดต่อทีมผู้เชี่ยวชาญของเรา

48/6 ซอยแจ้งวัฒนะ 14 แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร 10210

02-982-5445
02-982-5454

info@sran.net

@sran

Change Log

  • โหนด “Elastic Indexer” สามารถส่งข้อมูลให้ Elasticsearch ได้
  • โหนด “Frequency Chart” สามารถแสดงผมเป็น Pie Chart ได้
  • ตั้งค่า Template เพื่อรวมโหนดต่างๆใน Pipeline มาเป็นหน้า Report
  • Export report เป็น PDF ได้โดยตรง (ไม่ต้องใช้ Browser Printing feature)
  • Export report เป็น Link เพื่อเข้ามาดู Report ได้จาก METALog โดยตรง 
  • ตั้งต่า Dashboard ของแต่ละ user ได้ โดยใช้ระบบเดียวกันกับข้อ 3
  • โหนด “Counter” ใช่นับจำนวน log ที่ไหลผ่าน
  • เพิ่มการแสดงผลขณะทำงานและใน report ของโหนด “Log Switch” “Source Switch” “Filer” “Managed Log Writer” และอื่นๆ 
  • อัพเดทหน้า Notification
  • แสดง Category ของแต่ผลบรรทัด ใน Quick Search
  • ปรับระบบการเก็บไฟล์ให้แก้ไขได้ในหน้า Storage สามารถเพิ่ม Remote Straoges ได้จาก UI โดยตรง และปรับขนาดที่ต้องการเป็น log ของแต่ละ Category ได้
  • ประวัติ Setting กด back หรือ forward ได้ เพื่อเลือก setting ที่เลือกก่อนหน้า
  • ระยย export สามารถ export .metalog ไฟล์ได้
  • ระบบ Import สามารถ import .metalog ไฟล์ได้ ถ้า import ไฟล์นี้ ข้อมูล category หรือเวลาต่างๆของ log จะอยู่ครบหมด
  • ระบบ export ไฟล์ในเครื่องออกไปเป็น archive ชนิดต่างๆ แยกตาม category และต้นทางได้
  • ระบบ import ไฟล์อื่นๆที่เป็น raw log หรือ archive ใน zip gzip ต่างๆ
  • แก้ bug Tcp sender transparent mode
  • ปรับระบบ license ให้ระบุข้อมูล Logical processor count และบีบอันขนาด UID ให้สั้นขึ้น

Changes

  1. แก้ bug metadata ของไฟล์ .metalog ถูกเขียนไม่ครบ ทำให้ข้อมูลเกียวกับเวลาและขนาดของ log หาย เวลาเอาไป import (น่าจะเป็นมาตั้งแต่เวอร์ชั่น 2.0; Log ที่เขียนในเวอร์ชั่น 2.0-2.6 จะมีปัญหานี้)
  2. แก้ไขระบบ import
    1. เพิ่มระบบเพื่อมาช่วยแก้ปัญหาในข้อ 1  ถ้าหาเวลาไม่เจอให้ใช้ “เวลาสรัาง” ของไฟล์แทน เพื่อช่วยให้เวลา import ไฟล์ที่มีปัญหาเวลาจะยังอยู่
    2. เวลาค้นหาไฟล์เพื่อนำไป import จะไม่เจอ file ที่เป็นของ METALog อยู่แล้ว เพื่อป้องกันการ import ซ้ำ
    3. แก้ bug อื่นๆ
  3. เพิ่มระบบตรวจสอบไฟล์ database ของเวอร์ชั่นเก่า ถ้าไฟล์ไม่ตรงกับเวอร์ชั่นใหม่ ไฟล์นั่นจะถูกเปลี่ยนชื่อแล้วสร้างไฟล์ใหม่อัตโนมัติ (เดิมทีจะทำให้โปรแกรมปิดตัวเอง)
  4. เพื่มระบบแก้ไข Description ในแต่ละ Node เพื่มคำอธิบายได้

 

Breaking Changes

  1. Log ใน archive จะหายถ้า update มาจากเวอร์ชั่นก่อน ต้อง import กลับมาเท่านั้น

 

Service bulletin

  1. Feature ในข้อ 2.1 จะไม่สามารถแก้ปัญหาได้ 100% จะมีปัญหาต่อมาคือจะทำให่เวลาไม่ตรง แล้วส่งผลกับตอนเปิดไฟล์ ทำให้บางทีถ้ากด “View Logs” แล้วจะไม่เจอ log ต้องกด “View File” => “View Log” ถึงจะเจอ  ถ้าไม่อยากเจอปัญหาในข้อ 2.1.1 เลยให้เลือก “Use current time instead of metadata time” ใน importer node ตอน import จะทำให้ไม่ใช้เวลาของไฟล์ในการ import เลย แต่ว่าเวลาที่ได้จะเป็นเวลาตอนนั้นแทน (ข้อมูลเวลาของ log ก่อน import จะหายไป หลัง import แล้วใน archive log จะขึ้นเวลาตอนที่ import แทน)

1. Notification ของเหตุการที่เกิดกับ METALog เอง

เช่น error หรือ warning อะไรต่างๆที่ปกติจะขึ้นมาที่มุมขวาบนของแต่ละ Node  notification จะส่งไปที่ email ที่เลือกไว้ถ้าตรงกับ severity ที่ต้องการ

2. Notification ที่เกิดจากเนื้อ log

ใช้ pipeline ในการทำ  โดยจะมี node เพิ่มมาตามนี้ เอา node พวกนี้มาเชื่อมกันเพื่อให้เป็นระบบ notification เช่น เอา Idle Trigger เชื่อมกับ Email Sender เพื่อให้ส่ง email เมื่อ log ไม่เข้ามาเป็นเวลาตามกำหนด ถ้าเข้าใจการทำงานของแต่ละ node แล้วก็สามารถเอาไปพลิกแพลงได้ตามสดวก เช่น  Filter + Auto Trigger เพื่อ notify เมื่อใน log มีข้อควาบบางอย่าง หรือว่า Auto Trigger + Log Sender เพื่อแก้ log ก่อน forward ต่อ

  1. Email Sender Node: ส่งข้อความที่มาถึงไป email address สามารถส่งไป 3 แบบ
    • SMTP
    • Mailgun
    • Sendgrid
  2. Trigger Node:  มี 3 แบบ ทำหน้าที่ส่งข้อความออกไปด้านขวาของ Node เมือเกิดอะไรบางอย่างขึ้น
    • Idle Trigger จะส่งก็ต่อเมื่อไม่มี log เข้ามาถึง node เป็นเวลาที่กำหนด
    • Throughput Trigger จะส่งก็ต่อเมื่อ Log มีปริมาตร มากกว่าหรือน้อยกว่าที่กำหนด เป็นเวลาที่กำหนด
    • Auto Trigger จะส่งทุกครั้งที่มี log เข้ามาถึง node

Trigger Type: ประเภทการตรวจจับ

  1. Individual ตรวจจับที่ละ source แยกกัน เช่น ถ้ามี 2 sources เชื่อมเข้ามาที่ Idle Trigger node มันจะ trigger ก็ต่อเมื่อ source ใด source หนึ่งไม่ได้ส่ง log เข้ามาเป็นเลาตามที่กำหนด
  2. Combined ตรวจจับรวมกันทั้งหมด เช่น ถ้ามี 2 sources เชื่อมเข้ามาที่ Idle Trigger node มันจะ trigger ก็ต่อเมื่อทั้ง 2 sources ไม่ได้ส่ง log เข้ามาเป็นเลาตามที่กำหนด


Rate Limit: จะส่งข้อความไปด้วยขวาไม่เกิน 1 ข้อความ ต่อเวลาที่กำหนด
Edit Message:  ข้อความที่ trigger node จะส่งออกไป กดป่ม Edit Message เพื่อแก้ไขได้