أنظمة اليوم تولد الكثير من قطع الأشجارالبيانات. على العديد من الأنظمة الأساسية ، يتم تسجيل كل حدث ، مهم أو لا ، في مكان ما. عادة ، يتم تخزين السجلات محليا. هذا منطقي حيث أن السجلات مرتبطة بمصدرها. ولكن عند محاولة استكشاف المشكلات وإيجاد الأسباب الجذرية لها ، فإن هذا يعني غالبًا أنه يتعين علينا البحث في ملفات سجلات متعددة على العديد من الأجهزة. لن يكون من الرائع لو تم تخزين جميع السجلات من جميع الأجهزة في مكان واحد؟ إدارة السجل هي ذلك وأكثر من ذلك بكثير ، وأنت على وشك اكتشاف ذلك. واليوم ، نراجع أنظمة إدارة السجل الأعلى.
سنبدأ بمحاولة شرح السجلالإدارة هي. كما سترى ، يمكن أن يكون أكثر من مجرد تخزين مركزي للسجلات. بعد ذلك ، سنتحدث عن بروتوكولات التسجيل. إنها مهمة إلى حد ما لأن إدارة السجل لن تكون موجودة بدونها. سنحاول بعد ذلك التمييز بين خوادم syslog وأنظمة إدارة السجل. لسوء الحظ ، ليس هناك حدود واضحة بينهما. سنتابع بمناقشة حول معلومات الأمان وأنظمة إدارة الأحداث لأن هذا هو نوع آخر من النظام يتم خلطه غالبًا مع إدارة السجل ، وذلك بفضل التعريف غير الواضح إلى حد ما لكل نظام. وأخيرًا ، سنراجع أفضل ثمانية أنظمة لإدارة السجلات يمكن أن نجدها.
إدارة السجل - ما هو عليه
قبل أن نتحدث عن إدارة السجل ، دعونانرى ما هو السجل. يتم تعريف السجل ببساطة ، وهو الوثائق التي يتم إنتاجها تلقائيًا وختمها للأحداث ذات الصلة بنظام معين. كلما حدث حدث على نظام ما ، يتم إنشاء سجل. ستنشئ أنظمة مختلفة سجلات لأحداث مختلفة ، وتمنح العديد من الأنظمة المسؤولين درجة من التحكم في ما ينتج عنه سجل وما لا يفعل ذلك.
عندما نتحدث عن إدارة السجل ، فإننا نتحدثبالإشارة إلى العمليات والسياسات المستخدمة لإدارة وتسهيل توليد ونقل وتخزين وأرشفة والتخلص النهائي من كميات كبيرة من بيانات السجل. تدل إدارة السجلات على نظام مركزي حيث يتم جمع السجلات من مصادر متعددة.
لكن إدارة السجل ليست مجرد مجموعة سجلات. الجزء الإدارة هو الأكثر أهمية. عادةً ما يكون لأنظمة إدارة السجلات وظائف متعددة ، حيث يكون جمع السجلات مجرد واحدة منها.
بمجرد استلام السجلات من قبل إدارة السجلالنظام ، فإنها تحتاج إلى "ترجمتها" إلى تنسيق مشترك. تنسيق أنظمة مختلفة سجلات بشكل مختلف وتضمين بيانات مختلفة في سجلاتهم. يبدأ البعض بسجل بالتاريخ والوقت ، والبعض الآخر يبدأ برقم الحدث. يتضمن البعض معرف سجل فقط بينما يتضمن البعض وصفًا نصيًا كاملاً للحدث. أحد أغراض أنظمة إدارة السجل هو التأكد من تخزين جميع إدخالات السجل المجمعة بتنسيق موحد. هذا سيجعل البحث وربط الحدث أسهل بكثير.
نتحدث عن البحث وحتى العلاقة ،هذه وظيفة مهمة أخرى للعديد من أنظمة إدارة السجل. يمتاز بعضها بمحرك بحث قوي يسمح للمسؤولين بالتركيز على ما يحتاجون إليه. سوف تجمع وظائف الارتباط تلقائيًا الأحداث ذات الصلة ، حتى لو كانت من مصادر مختلفة. كيف - وكيف بنجاح - نظام إدارة سجل مختلف إنجاز هذا عامل تمايز رئيسي.
تسجيل البروتوكولات
سيكون إدارة السجل أكثر صعوبة بكثير ، إذاعلى الإطلاق ممكن ، إذا لم يكن لبروتوكولات التسجيل. يوجد عدد قليل منها يحدد البيانات المراد تضمينها في السجلات ، وكيف ينبغي تنسيقها وكيف ينبغي إرسالها بين الأنظمة.
Syslog يمكن القول أنه بروتوكول التسجيل الأكثر استخدامًا. اخترع في أوائل الثمانينات ، أصبح المعيار الفعلي للأنظمة المشابهة لنظام يونكس. واحدة من أعظم أصول بروتوكول syslog هو كيف يفصل بين البرنامج الذي يولد السجلات ، والنظام الذي يخزنها ، والبرنامج الذي يقدم تقارير عنها ويحللها. باستخدام بروتوكول Syslog يجعل إدارة السجل أسهل بكثير. تستخدم العديد من الأجهزة غير التابعة لـ Unix ، مثل أجهزة التوجيه والمحولات وأجهزة الشبكات الأخرى من العديد من البائعين ، متغيرًا من بروتوكول syslog.
Microsoft Windows ، كما قد تكون خمنت ، يستخدمنظام تسجيل مختلف. قد يكون الأمر متعلقًا بحقيقة أن أنظمة تشغيل Windows وتطبيقاته لها سجلات تحتوي عادةً على معلومات أكثر بكثير من تصريح syslog. لحسن الحظ ، توفر وظائف Windows Event Collector وسيلة لأنظمة إدارة السجلات التي يمكن استخدامها لتلقي الأحداث من مضيفي Windows.
بغض النظر عن ما يستخدم بروتوكول التسجيل ،جزء مهم من إدارة السجل هو تكوين الأجهزة لإرسال سجلاتهم إلى نظام الإدارة. هذا يختلف عن الأدوات الأخرى مثل أنظمة مراقبة الشبكة ، حيث تجلب الأداة البيانات من المضيفين.
خوادم السجل مقابل إدارة السجلات
منذ أن كانت متاحة على كل يونيكس مثلنظام لفترة طويلة ، Syslog إذا كان يستخدم في كثير من الأحيان كخادم سجل مع جهاز كمبيوتر واحد يتلقى بيانات syslog من العديد من الآخرين. بينما يحتوي التخزين المركزي للسجلات على ميزات محددة ، فإنه ليس إدارة السجل.
لتستحق اسم نظام إدارة السجل ،يجب أن يتضمن المنتج على الأقل بعض الوظائف الأكثر تقدمًا. وفقًا لـ Wikipedia ، تتألف إدارة السجل من الوظائف التالية: جمع السجلات ، وتجميع السجلات المركزية ، وتخزين السجلات طويلة الأجل والاحتفاظ بها ، وتناوب السجل ، وتحليل السجل ، والبحث عن السجل ، وإعداد التقارير. غالبًا ما تقدم خوادم السجل مجموعة السجلات وتخزينها ونادراً ما تقدم أكثر من ذلك. يوفر كل نظام من أنظمة إدارة السجل في قائمتنا العليا على الأقل بعض الوظائف الأكثر تقدمًا.
ماذا عن أنظمة SIEM؟
التكنولوجيا الشعبية الأخرى التي غالبا ما تكونالمقترنة بالسجلات والخلط في أنظمة إدارة السجل هي معلومات الأمان وإدارة الأحداث أو SIEM. هذا يختلف تمامًا عن إدارة السجل رغم ارتباطه الوثيق. في الواقع ، فإن بعض المنتجات المعلن عنها لأنظمة إدارة السجل هي في الواقع أنظمة SIEM بينما بعض أنظمة SIEM الأساسية ليست أكثر من أنظمة إدارة السجل.
السبب الرئيسي لهذا الارتباك هو هذا السجلإدارة - أو على الأقل ، تحليل السجل - هو عنصر مهم في أنظمة SIEM. في الواقع ، عادة ما تنقل أنظمة SIEM إدارة السجل إلى المستوى التالي عن طريق إضافة بعض الذكاء إلى العملية. تؤدي هذه الأنظمة تحليل السجل بهدف نهائي هو تحديد مشكلات الأمان. سيبحثون ، على سبيل المثال ، عن علامات على عمليات تسجيل الدخول غير الناجحة التي تشير إلى محاولة اقتحام غير مصرح بها. تقوم هذه الأنظمة بمسح إدخالات السجل تلقائيًا بحثًا عن أي شيء غير عادي.
ترتبط أنظمة SIEM بأمن تكنولوجيا المعلوماتمن إدارة تكنولوجيا المعلومات ، وفي حين أن البعض يتضمن ميزات إدارة سجلات شاملة ، يمكن للعديد منهم أيضًا استخدام أنظمة إدارة سجلات خارجية وليس من غير المألوف رؤية كلا النظامين يعملان جنبًا إلى جنب.
أفضل برامج إدارة السجلات
الآن أن لدينا فهم مشترك لماإدارة السجل هي وما هي ليست كذلك ، دعونا نلقي نظرة على ما هو متاح. لقد بحثنا في السوق عن بعض من أفضل أنظمة إدارة السجل. استنتاجنا الأولي هو أن هناك الكثير منهم وكثير منهم جيد جدا. ولكن ليس لدينا سوى مساحة كبيرة لذلك نحن على وشك مراجعة الثمانية الأكثر إثارة للاهتمام التي يمكن أن نجدها.
1. SolarWinds Papertrail
SolarWinds هو اسم شائع في مجالأدوات إدارة الشبكة. لقد كانت موجودة منذ ما يقرب من 20 عامًا وقد أتت بنا إلى واحدة من أفضل أدوات مراقبة النطاق الترددي وواحدة من أفضل أدوات تحليل NetFlow وجامعيها. تشتهر الشركة أيضًا بنشر العديد من الأدوات المجانية التي تلبي بعض الاحتياجات المحددة لمسؤولي الشبكات مثل حاسبة الشبكة الفرعية أو خادم سجل النظام.
قبل بضع سنوات ، حصلت SolarWinds أسطوانة الورق، نظام إدارة السجل الشعبي. يقوم بتجميع ملفات السجل من مجموعة واسعة من المنتجات الشائعة مثل Apache أو MySQL وكذلك تطبيقات Ruby on Rails وخدمات الاستضافة السحابية المختلفة وملفات السجل النصي القياسية الأخرى. أسطوانة الورق يمكن للمستخدمين بعد ذلك استخدام واجهة البحث المستندة إلى الويب أو أدوات سطر الأوامر للبحث في هذه الملفات للمساعدة في تشخيص الأخطاء ومشاكل الأداء. أسطوانة الورق يتكامل أيضًا مع منتجات SolarWinds الأخرى مثل Librato و Geckoboard لنتائج الرسوم البيانية.
أسطوانة الورق عبارة عن سحابة قائمة على البرمجيات كخدمة (SaaS)تقدم من SolarWinds. إنه سهل التنفيذ والاستخدام والفهم. وسوف يمنحك رؤية فورية عبر جميع الأنظمة في دقائق. تحتوي الأداة على محرك بحث فعال للغاية يمكنه البحث في كل من السجلات المخزنة والبث. ومن البرق بسرعة.
أسطوانة الورق متاح في ظل العديد من الخطط بما في ذلك مجاناخطة. إنه محدود إلى حد ما ، ويسمح فقط بسجلات 100 ميغابايت كل شهر. ومع ذلك ، ستسمح بسجلات بسعة 16 جيجابايت في الشهر الأول وهو ما يعادل منحك نسخة تجريبية مجانية مدتها 30 يومًا. تبدأ الخطط المدفوعة عند 7 دولارات شهريًا لسجلات 1 جيجا بايت في الشهر وسنة واحدة من الأرشيف و 1 أسبوع من الفهرس. تسمح تصفية الضوضاء للأداة بالحفاظ على البيانات من خلال عدم حفظ سجلات عديمة الفائدة.
2. SolarWinds سجل & مدير الأحداث (تجربة مجانية)
دخولنا القادم هو منتج آخر من SolarWinds يسمى سولارويندز سجل & مدير الأحداث. خلافا لدخولنا السابق ، وهذا هوالمنتج المثبت محليا. كما أنه أكثر بكثير من مجرد نظام لإدارة السجلات. وضعت العديد من الميزات المتقدمة لهذا المنتج في نطاق SIEM. لديه في الوقت الحقيقي تنفيس الارتباط والعلاج في الوقت الحقيقي ، على سبيل المثال.
إليك نظرة عامة على SolarWinds سجل & مدير الأحداثالميزات الرئيسية. إنه يزيل التهديدات بسرعة باستخدام الاكتشاف الفوري للنشاط المشبوه والاستجابات الآلية. يمكن أيضًا إجراء التحقيق في الأحداث الأمنية والطب الشرعي للتخفيف والامتثال. والحديث عن الامتثال ، سيسمح لك المنتج بإثبات ذلك ، وذلك بفضل تقاريره التي أثبتت جدواها في المراجعة لكل من HIPAA و PCI DSS و SOX وغيرها. تحتوي هذه الأداة أيضًا على مراقبة سلامة الملفات ومراقبة جهاز USB ، وهما ميزتان تفوقان بكثير ما نراه في أنظمة إدارة السجل.
أسعار ل SolarWinds سجل & مدير الأحداث تبدأ من 4585 $ لمدة تصل إلى 30 عقدة مراقبة. يمكن شراء تراخيص تصل إلى 2500 عقد مما يجعل المنتج قابلاً للتطوير بدرجة كبيرة. وإذا كنت ترغب في التحقق من التدريب العملي على أن المنتج مناسب لك ، تتوفر تجربة مجانية لمدة 30 يومًا كاملة المواصفات.
3. ipswitch جناح إدارة السجل
ال جناح إدارة السجل هي أداة من Ipswitch ، نفس الشركة التيجلبت لنا WhatsUp Gold ، وهي أداة مراقبة شبكة شائعة للغاية. هذه أداة تلقائية تجمع وتخزين الأرشيفات وتحفظ سجلات النظام وأحداث Windows وسجلات W3C / IIC. علاوة على ذلك ، ستنبهك المراقبة المستمرة للسجل إلى أي نشاط مشبوه.
أحداث مدققة بشكل متكرر مثل حقوق الوصولويمكن اتباع امتيازات الملفات والمجلدات والكائنات ، وإنشاء تنبيهات حسب الحاجة واستخدامها لإنشاء تقارير التوافق الخاصة بتوافق HIPAA أو SOX أو FISMA أو PCI أو MiFID أو Basel II. يمكن أن تساعدك الأداة أيضًا في تحويل بيانات السجل الخام إلى بيانات ذات معنى للمديرين أو فرق أمان تكنولوجيا المعلومات ، وذلك بفضل ميزات التصفية التلقائية والربط والإبلاغ وتحويل الميزات.
معلومات التسعير لل جناح إدارة السجل ليست متاحة بسهولة من Ipswitch. يمكن شراء المنتج مباشرة من الناشر أو من خلال شبكة موزع Ipswitch. نسخة تجريبية مجانية متاحة أيضا.
4. ManageEngine EventLog محلل
ManageEngine ، اسم شائع آخر مع مسؤول الشبكة ، يجعل نظام إدارة سجل ممتاز يسمى إدارة محلل سجل الأحداث. سيقوم المنتج بجمع بيانات السجل وإدارتها وتحليلها وربطها والبحث فيها من خلال أكثر من 700 مصدر باستخدام مجموعة أو مجموعة سجلات بدون وكيل ومستندة إلى وكيل بالإضافة إلى استيراد السجل.
السرعة هي واحدة من إدارة محلل سجل الأحداثقوة. يمكنه معالجة بيانات السجلات بسرعة 25000 في الثانية / للكشف عن الهجمات واكتشافها في الوقت الفعلي. كما يمكن إجراء تحليل شرعي سريع لتقليل تأثير الاختراق. تمتد إمكانيات التدقيق في النظام لتشمل سجلات أجهزة محيط الشبكة وأنشطة المستخدم وتغييرات حساب الخادم ووصول المستخدم ، وأكثر من ذلك ، مما يساعدك على تلبية احتياجات تدقيق الأمان.
ال إدارة محلل سجل الأحداث متاح في نسخة مجانية منخفضة الميزةالذي يدعم فقط 5 مصادر سجل أو في إصدار متميز يبدأ من 595 دولارًا ويتغير وفقًا لعدد الأجهزة والتطبيقات. يتوفر أيضًا إصدار تجريبي مجاني كامل المواصفات لمدة 30 يومًا.
5. Nagios خادم السجل
تشتهر Nagios ببرنامجها الممتاز لمراقبة الشبكة ، ولكن ربما يكون Log Server الخاص بها مثيرًا للاهتمام. دعا باقتدار خادم سجل Nagiosوهو يوفر إدارة سجلات مركزية ومراقبة وتحليل. ال خادم سجل Nagios يبسط عملية البحث عن بيانات السجل الخاص بك. كما أنه يتيح لك ضبط التنبيهات ليتم إخطارك بالتهديدات المحتملة علاوة على ذلك ، يتمتع البرنامج بتوفر عالٍ وبديهية. سوف تساعدك معالجات إعداد المصدر السهلة في تهيئة الخوادم بسرعة لإرسال جميع بيانات السجل والبدء في مراقبة سجلاتك في دقائق .
ال خادم سجل Nagios يتيح لك ربط أحداث السجل بسهولة عبر الكلالخوادم في عدد قليل من النقرات. ويتيح لك عرض بيانات السجل في الوقت الفعلي ، مما يتيح لك القدرة على تحليل المشكلات وحلها فور حدوثها. يتميز المنتج بقابلية التوسع الرائعة وسيستمر في تلبية احتياجاتك مع نمو مؤسستك إضافي خادم سجل Nagios يمكن إضافة المثيلات إلى مجموعة مراقبة ، مما يتيح لك إضافة المزيد من الطاقة والسرعة والتخزين والموثوقية بسرعة.
سعر مثيل واحد لـ خادم سجل Nagios هو 3 995 دولارًا وعلى الرغم من أن إصدارًا تجريبيًا مجانيًا لا يبدو متاحًا ، إلا أن عرضًا تجريبيًا مجانيًا على الإنترنت إذا كنت تفضل إلقاء نظرة مباشرة على المنتج.
6. تنبيه مدير سجل المنطق
التركيز الأساسي لـ Alert Logic هو الأمان والامتثال. ونظرًا لأن إدارة السجل ترتبط ارتباطًا وثيقًا بكليهما ، فليس من المستغرب أن تقدم الشركة تنبيه مدير سجل المنطق. توفر هذه الأداة المستندة إلى مجموعة النظراء آلية وإدارة سجل موحدة في جميع البيئات الخاصة بك. ستقوم بجمع بيانات السجل وتجميعها والبحث فيها من السحابة ، والخادم ، والتطبيق ، والأمن ، وأصول الشبكة.
ال تنبيه مدير سجل المنطق ويشمل رصد السجل والتحليل وكذلكمراجعة السجل الذي يتم على الهواء مباشرة من قبل المحللين الإنسان. سيقوم خبراء Alert Logic بتنبيهك إلى نشاط تهديد محتمل 365 يومًا في السنة. سوف تساعد الخدمة أيضًا في تلبية متطلبات مراجعة السجل الخاصة بـ SOC 2 و HIPAA و SOX وإلغاء تحميل عبء مراجعة السجلات ومتابعة الأحداث ، للامتثال PCI / DSS 10.6 و 10.6.1 و 10.6.3
معلومات التسعير لل تنبيه مدير سجل المنطق لا يتوفر بسهولة من الويب وستحتاج إلى الاتصال بمبيعات Alert Logic للحصول على عرض أسعار رسمي. لا يتوفر إصدار تجريبي مجاني أيضًا ، ولكن يمكن ترتيب عرض توضيحي مجاني عن طريق الاتصال بـ Alert Logic.
7. LogDNA
تأسست في عام 2015 ، LogDNA هو الطفل الجديد على الكتلة. تدعي الشركة أن "LogDNA هو الأسرع والأكثر بديهية ونظام إدارة سجل فعال من حيث التكلفة ". يبدأ كل شيء مع التثبيت الذي يستغرق سوى بضع دقائق قبل أن تتمكن من البدء في مراقبة سجلاتك. بغض النظر عن كيفية إنشاء السجلات وإرسالها ، تتوفر مئات من مخططات التكامل المخصصة لمركزية السجلات في جزء واحد.
LogDNA يمكن أن يكون قائمًا على السحابة أو مستضافًا ذاتيًا ، حسبمفضلاتك. إنه قابل للتطوير بدرجة كبيرة ويمكنه التعامل مع مئات الآلاف من السجلات في الثانية وعشرات تيرابايت لكل عميل ، في اليوم في أمان تام مع تحليل سجل في الوقت الحقيقي. الشركة ومنتجاتها متوافقة مع SOC2 و PCI و HIPAA بالإضافة إلى شهادة الخصوصية Shield.
من خلال نموذج التسعير البسيط لكل جيجابايت الذييلغي العقود ودلائل البيانات الثابتة ، تمتلك الشركة واحدة من أقل تكلفة إجمالية للملكية. تتوفر العديد من خطط الاشتراك مع ميزات متزايدة. خطة المستوى الأدنى مجانية وخطط الدفع المدفوعة تتراوح من 1.50 دولار / جيجابايت / شهر إلى 3 دولارات / جيجابايت شهريًا حسب مدة الاحتفاظ وعدد المستخدمين. تتوفر أيضًا تجربة مجانية لمدة 14 يومًا كاملة المواصفات.
8. Graylog
الأخير في قائمتنا هو منتج يسمى Graylog. يوفر المنتج العديد من الميزات المثيرة للاهتمام. ستقوم الأداة بتحليل وإثراء السجلات وبيانات الأحداث من أي مصدر بيانات. تسمح خطوط أنابيب المعالجة الخاصة بها ببعض المرونة في توجيه الرسائل وإدراجها في القائمة السوداء وتعديلها وإثرائها في الوقت الفعلي. Graylog سيبحث من خلال تيرابايت من بيانات السجل لاكتشاف المعلومات المهمة وتحليلها. يتيح لك بناء جملة البحث القوي العثور على ما تبحث عنه بالضبط.
مع Graylog، يمكنك إنشاء لوحات معلومات لتصور المقاييسومراقبة الاتجاهات في موقع مركزي واحد. يمكنك استخدام إحصائيات الحقول والقيم السريعة والمخططات البيانية من صفحة نتائج البحث للاستكشاف من أجل إجراء تحليل أعمق لبياناتك. لدى النظام أيضًا خيار تشغيل إجراءات أو إصدار إعلامات حول أحداث مثل محاولات تسجيل الدخول الفاشلة أو الاستثناءات أو تدهور الأداء.
Graylog متاح إما كمصدر مجاني ومفتوح ،إصدار محدود الميزات يحتوي أيضًا على دعم محدود أو كإصدار مؤسسة مع ميزات موسعة ودعم غير محدود. يمكن أيضًا الحصول على ترخيص تجريبي عن طريق الاتصال Graylog مبيعات.
تعليقات