مع أنظمة اليوم توليد الكثير من قطع الأشجارالبيانات ، ليس من المستغرب أن يبحث المسؤولون دائمًا عن حلول لإدارة السجل. غالبًا ما يتم تخزين السجلات محليًا. هذا منطقي لأنه يجعل من السهل ربطهم بمصدرهم. ولكن عند محاولة استكشاف المشكلات وإيجاد الأسباب الجذرية لها ، يتعين علينا في بعض الأحيان إلقاء نظرة على ملفات السجل المتعددة على العديد من الأجهزة. لن يكون من الرائع لو تم تخزين جميع السجلات من جميع الأجهزة في مكان واحد مركزي؟ هذا هو الغرض من إدارة السجل. وإذا كان نظامك الأساسي هو Linux ، فهناك الكثير من الخيارات المتاحة. تابع القراءة ونحن نكتشف بعضًا من أفضل إدارة سجلات لنظام التشغيل Linux
سنبدأ بتحديد إدارة السجل. سترى أنه يمكن أن يكون أكثر قليلاً من مجرد تخزين السجل المركزي. بعد ذلك ، سنناقش تقنيات التسجيل المختلفة. إنها حجر الزاوية في إدارة السجل ولن يكون موجودًا بدونها. مستمر ، سنقوم بتمييز خوادم syslog عن أنظمة إدارة السجل ونعلم أنه لا يوجد حدود واضحة بينهما. بعد ذلك ، سنتوقف لفترة وجيزة ونناقش أنظمة المعلومات الأمنية وإدارة الأحداث. إنها نوع آخر من النظام يتم خلطه غالبًا مع إدارة السجل ، وذلك بفضل التعريف غير الواضح إلى حد ما لكل نظام. وأخيرًا ، سنراجع أفضل إدارة سجلات لنظام التشغيل Linux.
ما هي إدارة السجل؟
قبل أن نتحدث عن إدارة السجل ، دعوناتحديد ما هو السجل. يتم تعريف السجل ببساطة ، وهو الوثائق التي يتم إنتاجها تلقائيًا وختمها لحدث ذي صلة بنظام معين. بمعنى آخر ، كلما حدث حدث على نظام ما ، يتم إنشاء سجل. ستنشئ الأنظمة والأجهزة سجلات لأنواع مختلفة من الأحداث ، وتمنح العديد من الأنظمة المسؤولين درجة معينة من التحكم في الحدث الذي ينشئ سجلًا ولا يفعل ذلك.
أما بالنسبة لإدارة السجل ، فهو ببساطة يشير إلىالعمليات والسياسات المستخدمة لإدارة وتسهيل إنشاء ونقل كميات كبيرة من بيانات السجل ونقلها وتحليلها وتخزينها وأرشفتها. على الرغم من عدم ذكرها بوضوح ، فإن إدارة السجلات تتضمن نظامًا مركزيًا حيث يتم جمع السجلات من مصادر متعددة. إدارة السجل ليست مجرد جمع السجل ، على الرغم من. هذا هو الجزء الإداري الذي هو الأكثر أهمية. وغالبًا ما يكون لأنظمة إدارة السجلات وظائف متعددة ، فجمع السجلات هو مجرد واحدة منها.
بمجرد استلام السجلات من قبل إدارة السجلالنظام ، فإنها تحتاج إلى أن تكون موحدة في تنسيق مشترك لأن تنسيق أنظمة مختلفة تسجل بشكل مختلف وتشمل بيانات مختلفة. يبدأ البعض بسجل بالتاريخ والوقت ، والبعض الآخر يبدأ برقم الحدث. يتضمن البعض معرف الحدث فقط بينما يتضمن البعض الآخر وصفًا للنص الكامل للحدث. أحد أغراض أنظمة إدارة السجل هو التأكد من تخزين جميع إدخالات السجل المجمعة بتنسيق موحد. هذا الحدث سوف الارتباط والبحث في نهاية المطاف أسهل بكثير أسفل الخط.
حتى الارتباط والبحث هما إضافيةوظائف رئيسية لعدة أنظمة إدارة السجل. الأفضل منها يتميز بمحرك بحث قوي يسمح للمسؤولين بالتركيز بدقة على ما يحتاجون إليه. سوف تجمع وظائف الارتباط تلقائيًا الأحداث ذات الصلة ، حتى لو كانت من مصادر مختلفة. كيف - وكيف بنجاح - نظام إدارة سجل مختلف إنجاز هذا عامل تمايز رئيسي.
اقرأ أيضا: 15 أفضل أدوات مراقبة الشبكة (مراجعتنا الخاصة)
تقنيات التسجيل
سيكون إدارة السجل أكثر صعوبة بكثير ،ربما ليس من الممكن ، إذا لم يكن لبروتوكولات التسجيل. يوجد القليل منهم. وهي تحدد البيانات المراد تضمينها في السجلات ، وكيف ينبغي تنسيق ذلك ، وأحيانًا ، كيف يتم نقلها بين الأنظمة.
Syslog يمكن القول أن تسجيل الأكثر استخداماالبروتوكول ، وخاصة في عالم لينكس. تم اختراع هذه التقنية في أوائل الثمانينيات وأصبحت المعيار الفعلي لجميع الأنظمة المشابهة لنظام يونكس. واحدة من أعظم أصول تقنية syslog هي الطريقة التي تسهل بها الفصل بين النظام أو البرنامج الذي يولد السجلات ، والنظام الذي يخزنها ، والبرامج التي تبلغ عنها وتحللها. إن استخدام تقنية Syslog يجعل إدارة السجل أسهل بكثير. و Syslog ليس حكراً على يونكس. تستخدم العديد من الأجهزة غير التابعة لـ Unix مثل المحولات وأجهزة التوجيه وجميع أنواع المعدات من العديد من البائعين متغيرًا من بروتوكول syslog.
هناك تقنيات تسجيل أخرى. يستخدم Microsoft Windows ، على سبيل المثال ، نظام تسجيل مختلف. قد يكون الأمر متعلقًا بحقيقة أن أنظمة تشغيل Windows وتطبيقاته لها سجلات تحتوي عادةً على معلومات أكثر تفصيلاً مما تسمح به تقنية Syslog. لحسن الحظ ، توفر وظائف Windows Event Collector وسيلة لإدارة السجلات التي يمكن أن تستخدمها الأنظمة المختلفة لتلقي الأحداث من مضيفي Windows. هذا المنشور يدور حول إدارة سجل Linux ، لذا دعونا لا نضيع الكثير من الوقت على نظام Windows.
بغض النظر عن ما يتم استخدام تقنية تسجيل الدخول ،جزء مهم من إدارة السجل هو تكوين الأجهزة لإرسال سجلاتهم إلى نظام الإدارة. يمكن للأنواع الأخرى من الأدوات مثل أنظمة مراقبة الشبكة جلب البيانات من الأنظمة التي تراقبها ولكن مع إدارة السجل ، يجب "إخبار" كل جهاز من مكان إرسال سجلاته. ومع ذلك ، فهي مهمة بسيطة نسبيا والتي غالبا ما يتم إنجازها عن طريق إصدار أمر بسيط.
قراءة متعمقة: أفضل برنامج لرسم الخرائط وشبكة الطوبولوجيا
خوادم السجل أو إدارة السجل؟
منذ أن كانت متاحة على كل يونيكس مثلالنظام - بما في ذلك نظام Linux - لفترة طويلة ، غالبًا ما يستخدم Syslog كخادم سجل به جهاز كمبيوتر واحد يتلقى بيانات Syslog من عدة أجهزة أخرى. في حين أن هذا التخزين المركزي للسجلات له مزايا محددة ، فإنه لا يكفي أن يسمى إدارة السجل.
لتستحق اسم نظام إدارة السجل ،يجب أن يتضمن المنتج على الأقل بعض الوظائف الأكثر تقدمًا. وفقًا لـ Wikipedia ، "تتألف إدارة السجل من الوظائف التالية: جمع السجلات ، تجميع السجل المركزي ، تخزين السجل طويل الأجل والاحتفاظ به ، تدوير السجل ، تحليل السجل ، البحث في السجل ، وإعداد التقارير". نجاح باهر! هذه وظيفة كثيرة. خوادم السجل ، من ناحية أخرى ، غالبًا ما تقدم فقط مجموعة السجلات وتخزينها ونادراً ما تكون أكثر من ذلك.
كلمة (أو اثنتان) حول SIEM
التكنولوجيا الشعبية الأخرى المرتبطةمع السجلات وغالبًا ما يتم الخلط بينها وبين أنظمة إدارة السجل هي معلومات الأمان وإدارة الأحداث أو SIEM. هذا يختلف عن إدارة السجل ولكنه مرتبط بشكل وثيق. الخط رفيع للغاية فيما بينها حتى أن بعض المنتجات المعلن عنها لأن أنظمة إدارة السجل هي في الواقع أنظمة SIEM في حين أن بعض أنظمة SIEM الأساسية ليست أكثر من أنظمة متقدمة لإدارة السجلات.
الارتباك ينبع من حقيقة أن السجلالإدارة - أو ، على الأقل ، تحليل السجل - هو عنصر مهم في أنظمة SIEM. ما يميز أنظمة SIEM هو أنها تؤدي تحليل السجل مع الهدف النهائي المتمثل في تحديد مشكلات الأمان. سيبحثون ، على سبيل المثال ، عن علامات على عمليات تسجيل الدخول غير الناجحة التي قد تكون علامة رواية لمحاولة اقتحام غير مصرح بها. تفحص هذه الأنظمة إدخالات السجل بحثًا عن أي شيء خارج عن المألوف. على الرغم من أن بعض أنظمة SIEM تتضمن ميزات شاملة لإدارة السجلات ، إلا أن بعضها يستخدم نظامًا لإدارة السجلات الخارجية وليس من غير المألوف رؤية كلا النظامين يعملان جنبًا إلى جنب.
القراءة ذات الصلة: أفضل ماسحات IP لأجهزة Mac
أفضل إدارة سجل لنظام التشغيل Linux
نأمل ، لدينا الآن فهم مشترك لما هي إدارة السجل وما هو عليه. لذلك ، دعونا نلقي نظرة على ما هو متاح لنظام التشغيل Linux. ولكن أولاً ، دعونا نوضح شيئًا ما. عند الإشارة إلى إدارة سجلات Linux ، فإن ما نعنيه هو أنظمة إدارة السجلات التي يمكنها استيعاب سجلات Linux والتي سيتم تشغيلها على نظام Linux أو في السحابة. ستعمل بعض اختياراتنا - خاصة الأنظمة المستندة إلى مجموعة النظراء - مع سجلات من منصات أخرى.
1. SolarWinds Papertrail (خطة مجانية متوفرة)
سولارويندز أصبح اسم العائلة بين الشبكةالإداريين. إنها تقدم بعضًا من أفضل الأدوات على مدار 20 عامًا تقريبًا ، مما يوفر لنا أدوات مراقبة النطاق الترددي العظيمة وأحد أفضل أدوات تحليل NetFlow وجامعيها. تشتهر الشركة أيضًا بنشر العديد من الأدوات المجانية التي تلبي بعض الاحتياجات المحددة لمسؤولي الشبكات مثل حاسبة الشبكة الفرعية أو خادم سجل النظام.
- خطة مجانية: SolarWinds Papertrail
- رابط التحميل الرسمي: https://papertrailapp.com/plans
قبل مدة ليست ببعيدة، سولارويندز مكتسب أسطوانة الورق، نظام إدارة السجل الشعبي. يقوم بتجميع ملفات السجل من مجموعة واسعة من المنتجات الشائعة مثل Apache أو MySQL وكذلك تطبيقات Ruby on Rails ، وخدمات الاستضافة السحابية المختلفة وغيرها من ملفات السجل القياسية وملفات التسجيل النصية القياسية. أسطوانة الورق يمكن للمستخدمين بعد ذلك استخدام واجهة البحث على شبكة الإنترنتأو أدوات سطر الأوامر للبحث من خلال هذه الملفات للمساعدة في تشخيص المشكلات المختلفة. يدمج Papertrail أيضًا مع منتجات SolarWinds الأخرى مثل Librato و Geckoboard لنتائج الرسوم البيانية.
أسطوانة الورق عبارة عن سحابة قائمة على البرمجيات كخدمة (SaaS)تقدم من SolarWinds. كونها قائمة على السحابة يعني أنها ستعمل بشكل جيد في بيئة تعمل بنظام Linux بالكامل. النظام الأساسي سهل التنفيذ والاستخدام والفهم ، وسيمنحك رؤية فورية عبر جميع الأنظمة في غضون دقائق. علاوة على ذلك ، يحتوي المنتج على محرك بحث فعال للغاية يمكنه البحث في كل من السجلات المخزنة والبث المباشر. ومن البرق بسرعة.
أسطوانة الورق متاح في ظل العديد من الخطط بما في ذلك مجاناخطة. إنه محدود إلى حد ما ، ويسمح فقط بسجلات 100 ميغابايت كل شهر. ومع ذلك ، ستسمح بسجلات بسعة 16 جيجابايت في الشهر الأول وهو ما يعادل منحك نسخة تجريبية مجانية مدتها 30 يومًا. تبدأ الخطط المدفوعة عند 7 دولارات شهريًا لسجلات 1 جيجا بايت في الشهر وسنة واحدة من الأرشيف و 1 أسبوع من الفهرس. تسمح تصفية الضوضاء للأداة بالحفاظ على البيانات من خلال عدم حفظ سجلات عديمة الفائدة.
2. Loggly
Loggly هي خدمة أخرى قائمة على السحابة. بشكل أساسي أداة دمج السجلات ، كما توفر وظيفة تحليل السجل. كفضيلة كونها قائمة على السحابة ، لا يتطلب هذا النظام أي تثبيت وهو جاهز لاستخدام اللحظة التي تشترك فيها. بالطبع ، ستحتاج أنظمةك وأجهزتك إلى تكوينها لتحميل ملفات السجل القياسية الخاصة بها بشكل دوري إلى الخادم عبر الإنترنت.
- تجربة مجانية: خطط Loggly
- الرابط الرسمي: https://www.loggly.com
Loggly ثم يحول بيانات السجل المستلمة إلىالتنسيق القياسي ، وبالتالي السماح للمحلل بمعالجة السجلات من مصادر مختلفة وتمكين تتبع الأحداث وارتباطها عبر جميع الأنظمة ، بغض النظر عن نظام التشغيل أو تقنية التسجيل. لا تقتصر مصادر بيانات السجل على الخوادم المحلية الخاصة بك. النظام ، بالطبع ، قادر على معالجة السجلات التي يتم إنشاؤها بواسطة الخوادم عبر الإنترنت ، مثل Amazon AWS ويمكن أن يشمل الرسائل التي تم إنشاؤها بواسطة تطبيقات محددة مثل Docker و Logstash ، على سبيل المثال لا الحصر.
ال Loggly الخدمة متوفرة في ثلاث خطط مختلفة ،مع زيادة حدود معالجة البيانات وأوقات الاستبقاء. أنت بحاجة إلى اختيار المكان المناسب لمنحك مساحة كافية لبيانات السجل. تسمى خطة مستوى الدخول Loggly قليل الدسم. فهو حر في استخدامها. بموجب هذه الخطة ، يمكنك تحميل 200 ميجابايت من بيانات السجل يوميًا وسيحتفظ النظام بكل سجل لمدة سبعة أيام. التالي هو الخطة القياسية التي تمنحك بدل تحميل يبلغ 1 غيغابايت في اليوم والاحتفاظ بسجلات لمدة 30 يومًا. تتيح لك الخطط المدفوعة أيضًا استخدام حسابات مستخدمين متعددة. مع الحزمة القياسية ، يمكنك الحصول على ثلاثة حسابات مستخدمين. الطبقة العليا تسمى Loggly مشروع - مغامرة. لا يوجد حد لعدد حسابات المستخدمين التي يمكنك إعدادها وتختلف الأسعار حسب مقدار سعة التحميل وفترة الاحتفاظ التي تحتاجها. يمكن أن يكون الدفع لكل الخطط المدفوعة شهريًا أو سنويًا وتتوفر نسخة تجريبية مجانية مدتها 14 يومًا على الخطة القياسية.
3. Splunk
Splunk هو معروف - داخل إدارة النظاممجتمع — نظام إدارة سجل شامل لنظامي التشغيل Linux و Mac OS و Windows. أكثر من مجرد نظام أساسي لإدارة السجلات ، يرى البعض أنه نظام متكامل لمنع الاختراق. المنتج متوفر في ثلاثة إصدارات. في الأعلى هو مؤسسة سبانك وهو أكثر من نظام لإدارة الشبكة وليس مجرد أداة لإدارة السجل. تبدأ الأسعار من 173 دولارًا شهريًا وتحصل على وظائف كثيرة.
هناك أيضا نسخة مجانية من Splunk وهو في الأساس نفس الأداة دون بعضوظائفها الأكثر تقدما. في الجوهر ، يقتصر تسجيل تحليل الملف. يمكنك تغذية أي من ملفات سجلاتك القياسية أو إرسالها مباشرة من خلال ملف إلى المحلل. النسخة المجانية لديها بعض القيود. يمكن أن يكون ، على سبيل المثال ، حساب مستخدم واحد فقط ويقتصر إنتاجية البيانات على 500 ميغابايت من السجلات يوميًا. تم تضمين وظيفة فرز البيانات وتصفيتها في Splunk ، مما يسهل جهود استكشاف الأخطاء وإصلاحها. يمكنك استخدام هذه الميزات لتقسيم سجلات السجل حسب التاريخ وكتابة كل مجموعة إلى ملفات جديدة. في الواقع ، هذه الوظيفة مرنة للغاية.
4. خادم سجل Nagios
Nagios يشتهر ببرنامجه الممتاز لمراقبة الشبكة ولكن سجل الخادم الخاص به مثير للاهتمام. يسمى المنتج ببساطة خادم سجل Nagios ويوفر إدارة السجل المركزي ،الرصد والتحليل. هذه الأداة يمكن أن تبسط إلى حد كبير عملية البحث عن بيانات السجل الخاص بك. كما أنه يتيح لك ضبط التنبيهات ليتم إخطارك بالتهديدات المحتملة. علاوة على ذلك ، يتمتع البرنامج بتوفر عالٍ وبنية مضمنة فيه. علاوة على ذلك ، ستساعدك معالجات الإعداد سهلة المصدر على تكوين الخوادم بسرعة لإرسال جميع بيانات السجل والبدء في مراقبة سجلاتك في دقائق.
ال خادم سجل Nagios يسمح لربط سهل لأحداث السجلعبر جميع الخوادم بنقرات قليلة. سيتيح لك النظام عرض بيانات السجل في الوقت الفعلي ، مما يتيح لك القدرة على تحليل المشكلات وحلها فور حدوثها. يتميز المنتج بقابلية التوسع الرائعة وسيستمر في تلبية احتياجاتك مع نمو مؤسستك. إضافي خادم سجل Nagios يمكن إضافة المثيلات إلى مجموعة مراقبة ، مما يتيح لك إضافة المزيد من الطاقة والسرعة والتخزين والموثوقية بسرعة.
سعر مثيل واحد لـ خادم سجل Nagios هو 3 995 دولارًا وعلى الرغم من أن إصدارًا تجريبيًا مجانيًا لا يبدو متاحًا ، إلا أنه يتوفر عرض توضيحي مجاني على الإنترنت ، إذا كنت تفضل إلقاء نظرة مباشرة على المنتج.
5. Graylog
التالي في قائمتنا هو منتج يسمى Graylog. يوفر المنتج العديد من الميزات المثيرة للاهتمام. ستقوم الأداة بتحليل وإثراء السجلات وبيانات الأحداث من أي مصدر بيانات. تسمح خطوط أنابيب المعالجة الخاصة بها ببعض المرونة في توجيه الرسائل وإدراجها في القائمة السوداء وتعديلها وإثرائها في الوقت الفعلي. Graylog سيبحث من خلال تيرابايت من بيانات السجل لاكتشاف المعلومات المهمة وتحليلها. يتيح لك بناء جملة البحث القوي العثور على ما تبحث عنه بالضبط.
مع Graylog، يمكنك إنشاء لوحات معلومات لتصور المقاييسومراقبة الاتجاهات في موقع مركزي واحد. يمكنك استخدام إحصائيات الحقول والقيم السريعة والمخططات البيانية من صفحة نتائج البحث للاستكشاف من أجل إجراء تحليل أعمق لبياناتك. لدى النظام أيضًا خيار تشغيل إجراءات أو إصدار إعلامات حول أحداث مثل محاولات تسجيل الدخول الفاشلة أو الاستثناءات أو تدهور الأداء.
Graylog هو حر ، مفتوح المصدر القائم على نظام الملفات التييمكن أن يوفر لك وظائف أكثر بكثير من مجرد أداة أرشفة السجل. يحتوي محلل السجل هذا على واجهة مستخدم رسومية ويمكن تشغيله على Ubuntu و Debian و CentOS و SUSE Linux. يمكنك أيضًا تشغيله على جهاز افتراضي على Microsoft Windows ويمكنك تثبيت نظام Graylog على Amazon AWS.
6. إدارة محلل سجل الأحداث
ManageEngine، اسم شائع آخر بين مسؤول الشبكة ، يجعل نظام إدارة سجل ممتاز يسمى إدارة محلل سجل الأحداث. سيقوم المنتج بجمع بيانات السجل وإدارتها وتحليلها وربطها والبحث فيها من خلال أكثر من 700 مصدر باستخدام مزيج من مجموعة السجلات التي لا تحتوي على وكيل أو الوكيل وكذلك استيراد السجل.
السرعة هي واحدة من إدارة محلل سجل الأحداثقوة. يمكنه معالجة بيانات السجل بسرعة 25000 في الثانية / للكشف عن الهجمات واكتشافها في الوقت الفعلي. كما يمكن إجراء تحليل شرعي سريع لتقليل تأثير الاختراق. تمتد إمكانيات التدقيق في النظام لتشمل سجلات أجهزة محيط الشبكة وأنشطة المستخدم وتغييرات حساب الخادم ووصول المستخدم ، وأكثر من ذلك ، مما يساعدك على تلبية احتياجات تدقيق الأمان.
ال إدارة محلل سجل الأحداث متاح في نسخة مجانية منخفضة الميزةالذي يدعم فقط 5 مصادر سجل أو في إصدار متميز يبدأ من 595 دولارًا ويتغير وفقًا لعدد الأجهزة والتطبيقات. يتوفر أيضًا إصدار تجريبي مجاني كامل المواصفات لمدة 30 يومًا.
تعليقات