Blog

Avec ou sans agent ? Pourquoi vous devriez surveiller les logs (événements) avec une solution de surveillance des logs avec agent

solution de surveillance des logs avec agentLe débat qui consiste à savoir si la surveillance est « meilleure » avec ou sans agent a été abordé à plusieurs reprises au fil des années dans des magazines / articles en ligne, blogs, livres blancs et autres. Malheureusement, la plupart de ces articles sont souvent incomplets, inexacts, biaisés, ...
Pour rendre les choses un peu plus confuses, les fournisseurs indépendants de logiciels (FIL) utilisent différentes méthodes pour surveiller les serveurs et postes de travail. Certains utilisent des agents, d’autres non, et une petite partie d’entre eux offrent les deux méthodes. Mais au final, quelle est la meilleure méthode ?

Que surveillez-vous ?

D'abord, il est important de connaitre ce qui est surveillé pour déterminer la meilleure approche. Par exemple, la collecte des paramètres systèmes, comme les données de performance, crée généralement moins de difficultés à transmettre que de grandes quantités de données. De plus, la surveillance avec agent n’est pas possible pour les périphériques qui exécutent un système d'exploitation embarqué propriétaire (ex : commutateurs, imprimantes, ...) sur lequel vous ne pouvez pas installer d’agent.
Par conséquent, dans ce post, nous allons faire un focus sur la surveillance des journaux (événements) en mettant l'accent sur Microsoft Windows. L'équipe d'EventSentry ayant développé en C++ pendant plusieurs années à la fois des composants utilisant des agents et d’autres n’en utilisant pas, elle est en bonne position pour comparer objectivement les deux approches.

Les Mythes

Avantages solutions de surveillance réseau avec agentsLes logiciels de surveillance ne sont pas les seules solutions qui utilisent des agents, beaucoup d'autres logiciels d'entreprise (de sauvegarde, de déploiement, ...) utilisent des agents.
Voici quelques-uns des mythes sur ce qu’implique l’utilisation d’un agent :

  • Les agents peuvent utiliser trop de ressources sur les hôtes surveillés et ralentir les machines surveillées
  • Les agents peuvent devenir instables et affecter négativement l'OS de l’hôte
  • Le déploiement et la gestion des agents se révèlent fastidieux et chronophages
  • L’installation des agents peut nécessiter l'installation et le déploiement de dépendances dont les agents ont besoin (.NET, Java, ...)
  • L'installation de logiciels tiers diminuera la sécurité de l'hôte surveillé

La réalité

Il est compréhensible qu’un logiciel installé sur un serveur ou poste de travail sur un réseau puisse diminuer les performances de l’analyse, mais vous serez surpris d'apprendre que les agents excellent dans les domaines suivants :

1. Sécurité : Une meilleure sécurité puisque les agents envoient des données à un composant central, au lieu que le serveur surveillé soit configuré pour permettre la collecte à distance.

2. Fiabilité : Les agents peuvent stocker et mettre en cache temporairement les logs surveillés si la connectivité au serveur central est perdue, même si les logs locaux ne sont plus disponibles. Les agents peuvent également prendre des mesures correctives plus rapidement, car ils peuvent travailler en vase clos (hors ligne). Les appareils mobiles ne peuvent pas être surveillés avec des solutions sans agent, car ils ne peuvent pas être atteints par le composant central de surveillance.

3. Performance : Les agents peuvent appliquer des règles de filtrage locales et ne transmettre que des données pertinentes, augmentant ainsi le débit tout en réduisant l'utilisation du réseau.

4. Fonctionnalité : Ils offrent plus de possibilités car il n'y a pratiquement pas de limites quant aux types d'informations qui peuvent être recueillies par un agent, car il dispose d'un accès complet au système surveillé.

La solution de facilité

Le développement d'agents avec un mécanisme de déploiement facile à utiliser nécessite beaucoup de temps et de ressources. Vous ne serez pas surpris d'apprendre que de nombreux vendeurs préfèrent surveiller les hôtes sans agents. Pour compenser cet inconvénient, les FIL qui s’appuient uniquement sur une approche sans agent font de leur mieux pour :

  • Mettre l'accent sur le fait qu'ils n'utilisent pas d’agents
  • Vous persuader qu’il est préférable de réaliser la surveillance sans agent

L'ironie, lors de la promotion d’une solution sans agent, est que même si elles sont dites sans agent, ces solutions utilisent bel et bien un agent - la seule différence étant que l'agent est (habituellement) intégré dans Windows. Windows ne dessert pas comme par magie les clients distants demandant des données WMI - il traite ces demandes via le service WMI, qui, à toutes fins utiles, est un agent. Par exemple, l'accès aux journaux d'événements Windows via WMI traverse beaucoup plus de couches que l'accès direct aux journaux d'événements (voir l'architecture WMI de Microsoft).

Conclusion

Meerkat lookoutÀ l'exception des dispositifs réseaux sur lesquels il n’est pas possible d’installer d’agent, les solutions qui se basent sur des agents fourniront une expérience de surveillance plus approfondie 9 fois sur 10 - en supposant que l'agent réponde à toutes les exigences listées ci-dessus.

Certains fournisseurs de surveillance des journaux d’événements vont essayer de vous convaincre que la surveillance sans agent est meilleure et plus facile (plus facile pour qui ?) - mais ne tombez pas dans le piège. Nous avons peaufiné et amélioré l’agent EventSentry depuis plus de 10 ans. Par conséquent, EventSentry offre l'un des agents Windows les plus avancés et efficaces sur le marché pour la surveillance des journaux. Le développement d'un agent robuste, sûr et rapide est difficile, mais c’est l’approche la plus efficace.

Il y a des situations où le déploiement d'une solution de surveillance à grande échelle avec des agents n'est pas possible, par exemple lorsque vous êtes chargé de la surveillance d'un réseau tiers où l'installation d'un logiciel n'est pas possible. Bien que regrettable, une solution de surveillance sans agent peut répondre au besoin dans ce cas.

EventSentry utilise également SNMP (sans agent) pour recueillir des informations d’inventaire, des indicateurs de performance ainsi que d'autres données système à partir de périphériques non-Windows, y compris les hôtes Linux. Cette méthode de collecte ne souffre pas des limitations ci-dessus, mais, étant donné que les logs de périphériques non-Windows sont envoyées via le protocole Syslog, il s’agit là d’un compromis acceptable.

Ne faites pas de compromis en matière de surveillance des journaux (événements) de votre infrastructure Windows et sélectionnez une architecture qui peut s’adapter et qui offre sécurité et performance.