Днешните системи генерират много сечданни. В много платформи всяко едно събитие, важно или не, се записва някъде. Обикновено дневниците се съхраняват локално. Това има смисъл, тъй като трупите са свързани с техния източник. Но когато се опитваме да отстраняваме проблеми и да откриваме тяхната основна причина, това често означава, че трябва да разгледаме множество регистрационни файлове на множество устройства. Не би ли било хубаво, ако всички дневници от всички устройства се съхраняват на едно място? Управлението на лога е това и много повече, както предстои да разберете. И днес разглеждаме най-добрите системи за управление на дневниците.
Ще започнем, като се опитаме да обясним какъв дневникуправление е. Както ще видите, това може да бъде много повече от просто централизиране на съхранението на журнали. След това ще говорим за протоколи за регистриране. Доста е важно, тъй като управлението на лога няма да съществува без тях. След това ще се опитаме да разграничим syslog сървърите от системите за управление на лога. За съжаление няма ясно разграничение между тях. Ще продължим с дискусия относно информацията за сигурността и системите за управление на събития, тъй като това е друг тип система, която често се бърка с управление на журнали, благодарение на малко неясната дефиниция на всяка от тях. И накрая, ще разгледаме осемте най-добри системи за управление на журнали, които бихме могли да намерим.
Управление на лога - какво е това
Преди да можем да говорим за управление на журнали, некавижте какво е лог. Просто дефиниран, логът е автоматично изготвената и подпечатана във времето документация за събития, свързани с определена система. Всеки път, когато се случва събитие в системата, се генерира дневник. Различните системи ще генерират регистрационни файлове за различни събития и много системи предоставят на администраторите някаква степен на контрол върху това, което генерира дневник и кое не.
Когато говорим за управление на журнали, ние смеотнасящи се до процесите и политиките, използвани за администриране и улесняване на генерирането, предаването, анализа, съхранението, архивирането и евентуалното изхвърляне на големи обеми данни от журнали. Управлението на лога предполага централизирана система, в която се събират дневници от множество източници.
Но управлението на лога не е само събиране на журнали. Мениджърската част е най-важна. Системите за управление на лога обикновено имат множество функции, като събирането на трупи е само една от тях.
След като дневниците бъдат получени от ръководството на журналасистема, те трябва да бъдат „преведени“ в общ формат. Различните системи форматират журнали по различен начин и включват различни данни в своите дневници. Някои започват дневник с дата и час, други започват с номер на събитие. Някои включват само идентификатор на регистрация, докато други включват пълно текстово описание на събитието. Една от целите на системите за управление на дневника е да се гарантира, че всички събрани записи в дневника се съхраняват в единен формат. Това ще улесни търсенето и съпоставянето на събитията много по-лесно.
Говорейки за търсене и дори корелация,това е друга важна функция на много системи за управление на журнали. Някои от тях разполагат с мощна търсачка, която позволява на администраторите да въведат нула точно за това, от което се нуждаят. Корелационните функции автоматично ще групират свързани събития, дори ако са от различни източници. Как и колко успешно се постига различна система за управление на журнали, което е основен диференциращ фактор.
Записване на протоколи
Управлението на лога би било много по-трудно, акоизобщо възможно, ако не беше за протоколи за вписване. Няколко от тях съществуват, които определят какви данни трябва да бъдат включени в дневниците, как трябва да бъдат форматирани и как трябва да се предават между системите.
Syslog е, може би, най-използваният протокол за регистрация. Изобретен в началото на осемдесетте години, той се е превърнал в фактически стандарт за Unix-подобни системи. Едно от най-големите предимства на протокола syslog е как той разделя софтуера, който генерира регистрационни файлове, системата, която ги съхранява, и софтуера, който ги отчита и анализира. Използването на протокола Syslog прави управлението на журнала много по-лесно. Много устройства, които не са Unix, като превключватели и други мрежово оборудване от много доставчици, използват вариант на протокола syslog.
Microsoft Windows, както вероятно се досещате, използваразлична система за дърводобив. Може да е свързано с факта, че операционните системи и приложения на Windows имат регистрационни файлове, които обикновено съдържат много повече информация, отколкото разрешава syslog. За щастие, функциите на Windows Event Collector осигуряват средно за системите за управление на журнали, които могат да използват за получаване на събития от хостовете на Windows.
Без значение какъв протокол за регистрация се използва,важна част от управлението на лога е конфигурирането на устройства, които да изпращат своите дневници до системата за управление. Това е различно от други инструменти като мрежови системи за наблюдение, където инструментът извлича данни от хостовете.
Лог сървъри срещу Управление на лога
Тъй като е достъпна за всички подобни на Unixсистема от доста време, Syslog, ако често се използва като лог сървър с един компютър, получаващ syslog данни от няколко други. Въпреки че това централизирано съхранение на журнали има определени предимства, това не е управление на лога.
За да заслужите името на системата за управление на лога, aпродуктът трябва да включва поне някои от по-модерните функции. Според Уикипедия управлението на дневниците се състои от следните функции: събиране на дневници, централизирано обобщаване на журнали, дългосрочно съхранение и задържане на журнали, въртене на дневника, анализ на журнала, търсене на журнали и отчитане. Лог сървърите често предлагат само събирането и съхранението на дневника и рядко повече от това. Всяка от системите за управление на дневника в нашия списък е най-малко някои от по-модерните функции.
Какво ще кажете за SIEM Systems?
Друга популярна технология, която често есвързана с регистрационни файлове и объркана със системите за управление на журнали е Информация за сигурност и управление на събития или SIEM. Това е доста различно от управлението на лога, въпреки че е тясно свързано. Всъщност някои продукти, рекламирани като системи за управление на журнали, всъщност са системи SIEM, докато някои основни SIEM системи са нищо повече от системи за управление на журнали.
Основната причина за това объркване е този дневникуправление - или поне лог анализът - е важен компонент на SIEM системите. Всъщност SIEM системите обикновено поемат управлението на журнала на следващото ниво, като добавят известна интелигентност към процеса. Тези системи извършват анализ на журнала с крайна цел да идентифицират проблеми със сигурността. Например, те ще търсят признаци на неуспешни влизания, които биха посочили неоторизиран опит за проникване. Тези системи автоматично ще сканират записи в дневника, търсейки нещо необичайно.
SIEM системите имат повече общо с ИТ сигурносттаотколкото управление на ИТ и въпреки че някои от тях включват широки функции за управление на журнали, много от тях могат да използват и външни системи за управление на журнали и не е необичайно да виждате и двете системи да работят едно до друго.
Най-добрият софтуер за управление на лога
Сега, когато имаме общо разбиране за каквоуправление на лога е и какво не е, нека да разгледаме какво е налично. Търсихме пазара за едни от най-добрите системи за управление на журнали. Първоначалната ни констатация е, че има много от тях и много от тях са много добри. Но разполагаме само с толкова много пространство, така че сме на път да разгледаме осемте най-интересни, които бихме могли да намерим.
1. SolarWinds Papertrail
SolarWinds е често срещано име в областта наинструменти за мрежово администриране. Това е близо 20 години и ни донесе един от най-добрите инструменти за мониторинг на честотната лента и един от най-добрите анализатори и колектори NetFlow. Компанията е добре известна и с това, че публикува няколко безплатни инструмента, които адресират някои специфични нужди на мрежовите администратори, като калкулатор на подмрежата или syslog сървър.
Преди няколко години SolarWinds придоби Papertrail, популярна система за управление на журнали. Той обединява лог файлове от голямо разнообразие от популярни продукти като Apache или MySQL, както и приложения Ruby on Rails, различни облачни хостинг услуги и други стандартни файлове за текстови дневници. Papertrail След това потребителите могат да използват уеб базиран интерфейс за търсене или инструментите на командния ред, за да търсят през тези файлове, за да помогнат за диагностициране на грешки и проблеми с производителността. Papertrail също така се интегрира с други продукти на SolarWinds като Librato и Geckoboard за графични резултати.
Papertrail е облачен базиран софтуер като услуга (SaaS)предлагане от SolarWinds. Той е лесен за изпълнение, използване и разбиране. И ще ви даде незабавна видимост във всички системи за минути. Инструментът има много ефективна търсачка, която може да търси както съхранени, така и поточни журнали. И е мълниеносно.
Papertrail се предлага по няколко плана, включително безплатенплан. Той обаче е малко ограничен и позволява само 100 MB журнали всеки месец. Това обаче ще ви позволи 16 GB дневници през първия месец, което е еквивалентно на предоставянето на безплатна 30-дневна пробна версия. Платените планове започват от $ 7 / месец за 1GB / месец дневници, 1 година архив и 1 седмица индекс. Шумовото филтриране позволява на инструмента да запазва данни, като не запазва безполезни дневници.
2. SolarWinds Log & Event Manager (БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)
Следващият ни запис е друг продукт от SolarWinds, наречен the SolarWinds Log & Event Manager, Противно на предишното ни вписване, това е aлокално инсталиран продукт. И освен това е много повече от просто система за управление на журнали. Много от модерните функции на този продукт го поставят в гамата SIEM. Има корелация в реално време, например, и корекция в реално време.
Ето преглед на SolarWinds Log & Event ManagerОсновните характеристики. Елиминира бързо заплахите, като използва моментално откриване на подозрителна активност и автоматизирани реакции. Той може също така да извършва разследване на събития за сигурност и криминалистика за смекчаване и спазване. И като говорим за съответствие, продуктът ще ви позволи да го демонстрирате, благодарение на доказаното от одита отчитане за HIPAA, PCI DSS и SOX. Този инструмент също има мониторинг на целостта на файловете и наблюдение на USB устройството, две функции, които са много над това, което обикновено виждаме в системите за управление на журнали.
Цени за SolarWinds Log & Event Manager започнете от $ 4,585 за до 30 наблюдавани възли. Лицензи за до 2500 възли могат да бъдат закупени, което прави продукта силно мащабируем. И ако искате да проверите практически дали продуктът е подходящ за вас, е налична безплатна, пълнофункционална 30-дневна пробна версия.
3. ipswitch Log Suite Suite
Най- Log Suite Suite е инструмент от Ipswitch, същата компания, коятони донесе WhatsUp Gold, изключително популярен инструмент за мониторинг на мрежата. Това е автоматизиран инструмент, който събира, съхранява, архивира и запазва системни дневници, събития на Windows и W3C / IIC. Освен това непрекъснатото му наблюдение на лога ще ви предупреди за всякаква подозрителна дейност.
Често одитирани събития като права за достъпи привилегии за файлове, папки и обекти могат да се следват, генерирайки предупреждения при необходимост и да се използват за изграждане на отчети за съответствие за съответствие HIPAA, SOX, FISMA, PCI, MiFID или Basel II. Инструментът може също така да ви помогне да преобразувате вашите сурови данни от дневници в значими данни за мениджъри или ИТ екипи за сигурност, благодарение на автоматизираните функции за филтриране, съпоставяне, отчитане и конвертиране.
Информация за цените на Log Suite Suite не е лесно достъпна от Ipswitch. Продуктът може да бъде закупен директно от издателя или чрез дистрибуторската мрежа на Ipswitch. Предлага се и безплатна пробна версия.
4. ManageEngine EventLog Analyzer
ManageEngine, друго често срещано име с мрежов администратор, прави отлична система за управление на дневника, наречена the ManageEngine EventLog Analyzer, Продуктът ще събира, управлява, анализира, корелира и претърсва данните от дневника на над 700 източника, като използва комбинация от събиране на журнали, базирана на агент и агент, както и внос на журнала.
Скоростта е една от ManageEngine EventLog AnalyzerСила. Той може да обработва данни в лога с впечатляващите 25 000 лога / секунда и да открива атаки в реално време. Той може също така да извърши бърз криминалистичен анализ, за да намали въздействието на нарушение. Възможностите за одит на системата се простират до дневниците на мрежовите устройства по периметъра, потребителските дейности, промените в акаунта на сървъра, достъпа на потребители и други, като ви помагат да посрещнете нуждите от одит на сигурността.
Най- ManageEngine EventLog Analyzer се предлага в намалено от функционалните издания безплатно изданиекойто поддържа само 5 източника на регистрация или в премиум издание, което започва от $ 595 и варира в зависимост от броя на устройствата и приложенията. Предлага се и безплатна, пълнофункционална 30-дневна пробна версия.
5. Nagios Log Server
Nagios е най-известен с отличния си софтуер за мониторинг на мрежата, но неговият Log Server вероятно е също толкова интересен. Умело се обади на Nagios Log Server, предлага централизирано управление, наблюдение и анализ на лога. Най- Nagios Log Server опростява процеса на търсене на вашите регистрационни данни. Освен това ви позволява да задавате сигнали, които да бъдат известявани за потенциални заплахи Освен това софтуерът има висока наличност и вградена грешка. Включените в него лесни съветници за лесно източник ще ви помогнат бързо да конфигурирате сървърите за изпращане на всички журнални данни и да започнете да наблюдавате вашите регистрации за минути ,
Най- Nagios Log Server ви позволява лесно да корелирате събития в дневника във всичкисървъри само с няколко кликвания. И ви позволява да преглеждате данните в дневника в реално време, като ви дава възможност да анализирате и решавате проблеми, докато възникнат. Продуктът се отличава с впечатляваща мащабируемост и ще продължи да отговаря на вашите нужди с развитието на вашата организация. Допълнителен Nagios Log Server екземпляри могат да бъдат добавени към мониторинг клъстер, което ви позволява бързо да добавите повече мощност, скорост, съхранение и надеждност.
Цената за един екземпляр за Nagios Log Server е 3 995 долара и въпреки че изглежда не е налична безплатна пробна версия, безплатна онлайн демонстрация е, ако предпочитате да погледнете продукта от първа ръка.
6. Alert Logic Log Manager
Основният фокус на Alert Logic е сигурността и спазването. И тъй като управлението на лога е тясно свързано и с двете, не е изненада, че компанията предлага това Alert Logic Log Manager, Този облачен инструмент предлага автоматизирани иунифицирано управление на лога във всички ваши среди. Той ще събира, обобщава и търси данни от дневника от облака, сървъра, приложението, сигурността и мрежовите активи.
Най- Alert Logic Log Manager включва наблюдение и анализ на дневника, както ипреглед на лога, който се извършва на живо от човешки анализатори. Експертите на Alert Logic ще ви сигнализират за възможна активност от 365 дни в годината. Услугата също ще помогне за изпълнение на изискванията за преглед на дневника на SOC 2, HIPAA и SOX и ще разтовари тежестта от преглед на регистрационни файлове и проследяване на събития, за да се спазят PCI / DSS 10.6, 10.6.1, 10.6.3
Информация за цените на Alert Logic Log Manager не е лесно достъпна от мрежата и ще трябва да се свържете с продажбите на Alert Logic, за да получите официална оферта. Безплатна пробна версия също не е налична, но безплатна демонстрация може да се организира, като се свържете с Alert Logic.
7. LogDNA
Основана през 2015 г., LogDNA е новото дете на блока. Компанията твърди, че „LogDNA е най-бързият, интуитивен ирентабилна система за управление на лога “. Всичко започва с инсталацията, която отнема само няколко минути, преди да можете да започнете да наблюдавате вашите регистрационни файлове. Без значение как се генерират и предават регистрационни файлове, стотици персонализирани схеми за интегриране са достъпни за централизиране на регистрационни файлове в един прозорец.
LogDNA може да бъде базирана на облак или самостоятелно хоствано, в зависимост отвашето предпочитание. Той е много мащабируем и може да обработва стотици хиляди журнали в секунда и десетки терабайти на клиент на ден при пълна сигурност с анализ на дневника в реално време. Компанията и нейните продукти са съвместими със SOC2, PCI и HIPAA, както и със сертификат за защита на личните данни.
С простия си модел за ценообразуване с плащане на GB, койтопремахва договори и фиксирани пакети данни, компанията има една от най-ниските общи разходи за собственост. Предлагат се няколко абонаментни планове с увеличаващи се функции. Планът на най-ниското ниво е безплатен, а платените планове варират от 1,50 $ / GB / месец до $ 3 / GB / месец в зависимост от продължителността на задържане и броя на потребителите. Налична е и безплатна, пълнофункционална пробна версия от 14 дни.
8. Grayylog
Последно в нашия списък е продукт, наречен Graylog, Продуктът предлага много интересни функции. Инструментът ще анализира и обогати регистрационни файлове и данни за събития от всеки източник на данни. Неговите тръбопроводи за обработка позволяват известна гъвкавост в маршрутизирането, черния списък, модифицирането и обогатяването на съобщенията в реално време. Graylog ще търси чрез терабайти от лог данни, за да открие и анализира важна информация. Мощният синтаксис за търсене ви позволява да намерите точно това, което търсите.
с Graylog, можете да създадете табла за управление, за да визуализирате показателии наблюдавайте тенденциите в едно централно място. Можете да използвате полеви статистики, бързи стойности и диаграми от страницата с резултати от търсенето, за да се потопите за по-задълбочен анализ на вашите данни. Системата също има възможност да задейства действия или да издава известия за събития като например неуспешни опити за влизане, изключения или влошаване на производителността.
Graylog се предлага или като безплатен и с отворен код,версия с ограничена функция, която също има ограничена поддръжка или като корпоративна версия с разширени функции и неограничена поддръжка. Пробен лиценз може да се получи и като се свържете Graylog продажби.
Коментари