我正在查看整个 ELK 堆栈(Elasticsearch/Logstash/Kibana)中的聚合数据,并且我从我的 Windows 系统中获得了很多好的数据。它工作得很好,但是当我收到 Windows 安全事件时,我想将 Windows 事件 ID 与人类可读事件相关联。(例如事件 ID 4990 = 用户打开文件,4658 = 用户关闭文件)
我还希望有多个过滤器,有点像数据透视表,我可以在其中显示哪些文件遇到了哪些事件 ID,按用户和文件分组。我认为它可能如下所示:
你们中的任何人都知道如何做到这一点,或者知道我可以自己完成这项工作的资源吗?
这令人沮丧,因为我拥有所有数据,但似乎无法让它看起来像我想要的那样。
我已经看到很多关于如何格式化 IQN 的信息,但是关于如何构建它们的信息并不多。当谈到 iSCSI 时,我是一个新手,而且我可以让它工作,但我想知道我是否应该只是制作这些东西,或者是否有充分的理由遵循某种标准。
例如,这就是(维基百科http://en.wikipedia.org/wiki/ISCSI#Addressing)说您应该格式化 IQN 的方式。
Naming String defined by
Type Date Auth "example.com" naming authority
+--++-----+ +---------+ +-----------------------------+
| || | | | | |
iqn.1992-01.com.example:storage:diskarrays-sn-a8675309
iqn.1992-01.com.example
iqn.1992-01.com.example:storage.tape1.sys1.xyz
iqn.1992-01.com.example:storage.disk2.sys1.xyz[10]
我的问题特别是,为什么是日期?它可以是任何东西,它意味着什么吗?这里有执法吗?我是否会遇到输入“错误”日期会咬我的情况?
域示例是否出于某种原因而反转(如 dns 一样)?如果我有一个类似 starkindustries.pri 的域名,我的 iqn 会是这样的:
iqn.2006-05.pri.starkindustries:Linux:array0
这取决于DNS吗?(经验告诉我不是,但它可能会以微妙的方式失败)如果它依赖于 DNS,我是使用主机名,还是只使用我的域名?即 Jarvis.starkindustries.pri 或只是 starkindustries.pri ?
另外,如果我使用 IP 地址(有人建议您是否不使用 DNS,这会更令人困惑,因为它在没有 DNS 的情况下也可以工作)您是否像使用 dns 一样反转它?即10.1.2.0
iqn.2006-05.0.2.1.10:Linux:array0
此外,您使用主机地址(iSCSI 目标的?)还是网络地址。
是否有任何强制执行“由“example.com”命名机构定义的字符串”,即有没有理由我不能使用 blahblahblah 而不是有用的东西?我意识到一个有用的名称更具描述性,但这有什么技术原因吗?我也相信我是“命名权威”的巨大飞跃。
我想最重要的是,我正在为这些 IQN 编造一堆东西,而且它们似乎正在工作。我只想知道在实际生成 iqns 时,至少在哪里可以找到一些最佳实践。我只是在考虑,总有一天我不会是唯一一个负责存储的人,所以我需要传递一些标准,否则我要么搞砸,要么让别人搞砸需要一个新的 IQN 块。
在我正在考虑的部署中,我们有一个需要高度可用的生产 SQL 服务器。它将设置在 Server 2008R2 集群上。Hyper-V 已经设置好了。我担心在 VM 中运行 SQL 与根分区上的 SQL 集群相比,无法提供足够的高可用性解决方案。在 VM 中运行的 SQL 性能不是问题,我只是担心在硬故障转移的情况下,VM 会重新启动,导致停机时间比普通 SQL 集群的故障转移时间长。
我感兴趣的有几个方面。VM 停机时间与 SQL 集群的停机时间有什么不同吗?SQL 集群中的平均故障转移多长时间?SQL 集群是否有一些隐藏的优势,例如事务被发送到的共享队列,所以如果一个节点关闭,事务将在数据库恢复联机后应用到数据库?还是没有区别?
目前,Hyper-V 看起来相当不错,因为可以在不中断任何客户端访问的情况下运行计划中的故障转移。