Лог файловете присъстват на почти всеки компютърсистема или мрежово устройство. Те съдържат подробности за събитията, случващи се във всяка система. Те могат да се окажат безценни при отстраняване на проблеми. Те могат също да разкрият злонамерени дейности и следователно могат да се превърнат в полезно средство за осигуряване на сигурност. Но кой има време дори да разгледа лог файловете? Когато типичният администратор управлява десетки устройства, някои от тях регистрират няколко събития всяка секунда, няма начин някой да следи. Ето защо бяха измислени инструменти за наблюдение на дневника. Те консолидират всички дневници на събития на едно място и често предоставят инструменти и услуги за анализ, които ще преминават през регистрационните файлове и ще повдигат сигнали винаги, когато се наблюдава нещо необичайно. Налични са много различни инструменти за наблюдение на дневника и избирането на най-доброто може да се окаже предизвикателство. За да ви помогнем, съставихме този списък на някои от най-добрите инструменти за наблюдение на дневника.
Ще започнем нашата дискусия с проучванесистемни регистрационни файлове, какви са и как работят. След това ще говорим за наблюдението на дневниците. Както преди, ще разгледаме какво означава и как се прави. След това ще ви предоставим повече подробности относно анализа на дневника, тъй като това е функцията, която прави инструментите за наблюдение на дневника най-полезни. Както преди, ние ще опишем какво представлява и различните форми на анализ, които са на разположение. Накрая ще разгледаме някои от най-добрите инструменти за наблюдение на дневника, които бихме могли да намерим, и ще ви разкажем за техните основни характеристики.
Системни регистрационни файлове накратко
В едно изречение лог файл или системен дневник е aфайл, който записва събития, които се случват в операционна система или друг софтуер. Регистрирането е актът за водене на системен дневник. В най-простите случаи съобщенията просто се записват в един лог файл. Докато повечето системи използват предимно текстови файлове за регистриране на събития, някои съвременни системи използват някаква форма на база данни, за да ги регистрират.
Без значение как и къде се записват събития, някоисистемите ви позволяват да определите нивото на регистрация, което ви е необходимо. Това е особено вярно с мрежово оборудване, при което всяко събитие има ниво на тежест и параметрите на регистрация могат да бъдат зададени само за запис на събитие с определено ниво на тежест или по-високо. Други видове системи също осигуряват подобна функционалност.
За наблюдението на дневниците
Наблюдението на дневниците е процес от две части. Първата и най-важната част е събирането на регистрационни данни от различни системи. Това се осъществява по различни начини. Някои системи могат да бъдат конфигурирани да изпращат автоматично регистрационни файлове до централизиран сървър чрез протокола Syslog. Инструментите за наблюдение на дневника обикновено имат вграден syslog сървър за директно получаване на данни за събитията. Други системи, като Windows например, работят по различен начин. Съществуват различни средства за получаване на данни от дневници от тези системи, като например използване на инструмента за управление на Windows или използване на локални агенти, работещи на хостове на Windows. Без значение как е направено, всяка система за наблюдение на дневника включва необходимата функционалност за получаване и консолидиране на данните от дневника от множество източници.
Следващата стъпка - Анализ на лога
Втората задача на всеки полезен инструмент за наблюдение на дневникае анализът на лога. Тук инструментите се различават най-много. Някои ще предлагат много основен анализ, като задействане на сигнал, когато броят събития за единица време достигне даден праг. По-модерните инструменти ще изследват всяко събитие и ще търсят конкретни индикации за проблеми. Например, голям брой неуспешни влизания може да е знак за продължаващ опит за проникване. Бихме могли да прекараме страници, описващи различните форми на анализ на дневника, които са на разположение. Вместо това ви каним да разгледате различния преглед на продукта по-долу за подробности за това, което предлага всеки от тях.
Най-добрите инструменти за мониторинг на дневника
Както посочихме по-рано, има много различниналични инструменти с различна степен на функционалност. Не всеки се нуждае от инструмент с богат анализ и функции за висока сигурност, затова включихме комбинация от инструменти, които предоставят различни набори от функции. Някои са по-прости инструменти, докато други са по-сложни. От вас зависи да определите кой инструмент предлага най-доброто съответствие за вашите нужди. За щастие, всички инструменти в нашия списък разполагат с безплатна пробна версия, така че нищо не ви пречи да опитате няколко, нещо, което силно препоръчваме.
1. SolarWinds Log & Event Manager (Безплатен пробен период)
SolarWinds е често срещано име в мониторингасвят. Компанията съществува повече от 20 години и нейният водещ продукт, наречен Network Performance Monitor, е признат от мнозина като един от най-добрите налични инструменти за мониторинг на SNMP. И сякаш това не е достатъчно, SolarWinds е известен и с многобройните си безплатни инструменти. Това са по-малки инструменти, всеки от които адресира конкретна нужда от мрежови администратори. Разширеният калкулатор на подмрежата и сървърът на SolarWinds TFTP са два отлични примера за тези безплатни инструменти.
Колкото до Журнал и мениджър на SolarWinds (LEM), точно това подсказва името му. Инструментът е толкова богат на функции, че мнозина го смятат за пълноценен инструмент за информация за сигурност и управление на събития. Когато става въпрос за мониторинг и управление на регистрационни файлове, това е вероятно един от най-интересните инструменти за управление на журнали, които можете да намерите. Той има много полезни функции за управление и корелация на лога, както и впечатляващ механизъм за отчитане.
- БЕЗПЛАТЕН ПРОБЕН ПЕРИОД: SolarWinds Log & Event Manager
- Линк за изтегляне: https://www.solarwinds.com/log-event-manager-software/registration
Най- SolarWinds Log & Event Manager може да помогне за подобряване на сигурността и спазването отпо-бързо откриване на подозрителна активност и идентифициране на заплахи с откриване на подозрителна активност. Можете също така да използвате инструмента за провеждане на разследвания на събития за сигурност и криминалистика за смекчаване и спазване. Тази функция е причината мнозина да смятат продукта за SIEM инструмент. В допълнение, този инструмент помага за готовност за спазване на нормативната уредба. Можете да го използвате, за да демонстрирате съответствие, благодарение на доказаното от одита отчитане за HIPAA, PCI DSS, SOX, DISA STIG и други.
Най- SolarWinds Log & Event ManagerФункциите за реакция на събитията не оставят нищо да бъдежелания. Подробната система за реагиране в реално време ще реагира активно на всяка заплаха. Това, че се основава на поведение, а не анализ на подписи, означава, че дори сте защитени от неизвестни или бъдещи заплахи. Но таблото за управление на инструмента е може би най-доброто му предимство. С опростен дизайн няма да имате проблеми бързо да идентифицирате аномалиите.
Цени за SolarWinds Log & Event Manager се основава на броя на наблюдаваните възли. Налични са различни нива на лицензи от 30 до 2500 възли, започвайки от $ 4 665. И ако искате да изпробвате продукта преди покупка, за изтегляне е достъпна безплатна напълно функционална 30-дневна пробна версия.
2. SolarWinds Log Manager за Orion (Безплатен пробен период)
Следващ в нашия списък е друг продукт от SolarWinds, наречен the Log Manager за Orion, Орион, в случай че не сте запознатиПродуктите на SolarWinds, бяха топ платформата на компанията преди няколко години. Все още е основната архитектура, върху която са изградени много от най-добрите продукти на SolarWinds. Ако използвате някой от мониторите за мрежова ефективност, анализатора на трафика на NetFlow, мениджъра на конфигурацията на мрежата, мениджъра на виртуализацията, монитора на сървъри и приложения или монитора на ресурсите за съхранение, използвате Orion.
- БЕЗПЛАТЕН ПРОБЕН ПЕРИОД: SolarWinds Log Manager за Orion
- Линк за изтегляне: https://www.solarwinds.com/log-manager-for-orion-software/registration
Най- SolarWinds Log Manager за Orion добавя възможности за управление на журнала към който и да е отОрион-базирани инструменти за наблюдение и управление. В обобщение, продуктът разполага с мощно и интуитивно агрегиране на дневника, маркиране, филтриране и сигнализиране. Интеграцията му с продуктите на платформата Orion предлага единна представа за мониторинг на ИТ инфраструктурата и свързаните с нея журнали. Продуктът е създаден в сътрудничество с мрежови и системни инженери, за да гарантира, че техните проблеми - и как да се решат - бяха разбрани.
Въпреки интеграцията си с платформата Orion, The Log Manager може да се инсталира сам и не изисквавсеки друг инструмент Orion, който ще бъде инсталиран. Ценообразуването започва от $ 1 495 и е налична безплатна пробна версия за 30 дни, ако искате да изпробвате продукта и да видите как той отговаря на вашите нужди.
3. PaperTrail (Безплатен план на разположение)
Следва още един продукт от SolarWinds, наречен Papertrail, Този е много различен от предишниядве, тъй като това е облачна база, предлагана софтуер като услуга (SaaS). Мощният инструмент вече се радваше на известна популярност, когато SolarWinds го придоби, преди няколко години. Той обединява лог файлове от множество продукти като Apache или MySQL, както и приложения Ruby on Rails, няколко облачни хостинг услуги и други стандартни файлове за текстови журнали.
- Регистрирайте се тук: https://papertrailapp.com/plans
За да помогнете за диагностицирането на грешки и проблеми с производителността, можете да използвате Papertrail много ефективна и мълниеносна търсачкакоито могат да търсят както съхранени, така и поточни журнали. Продуктът се интегрира с няколко други SolarWinds продукти като Librato и Geckoboard за графични резултати. Papertrail също така е лесен за изпълнение, използване и разбиране. Той ще ви осигури незабавна видимост във всички системи за минути.
Papertrail се предлага по няколко плана, включително безплатенплан. Тя е малко ограничена и позволява само 50 MB дневници всеки месец. Това обаче ще ви позволи 16 GB дневници през първия месец, което е еквивалентно на безплатна и неограничена 30-дневна пробна версия. Платените планове започват от $ 7 / месец за 1GB / месец дневници, 1 година архив и 1 седмица индекс. Планът за 75 долара на месец с 8 GB трупи е най-популярен. Шумовото филтриране позволява на инструмента да запазва данни, като не запазва безполезни дневници.
4. PRTG Network Monitor
Най- PRTG Network Monitor от Paessler AG е интегриран, всичко в едносистема за наблюдение, която може да се използва за наблюдение на почти всичко, благодарение на интелигентната си сензорна архитектура. Една от най-добрите характеристики на този продукт е фирмен клас със сигурност неговата скорост на настройка. Според Paessler, the PRTG Network Monitor може да се настрои само за няколко минути. Въпреки че може да не е толкова бърз за всички, той все още е един от най-лесните и бързи инструменти за мониторинг, който се създава благодарение на процеса на автоматично откриване.
Най- PRTG Network Monitor е богат на функции продукт. В основата си това е инструмент за мрежов мониторинг, който използва SNMP за анкетиране на устройства и показване на използваните от тях интерфейси на хронологични графики. Въпреки това, чрез използването на допълнителни сензори, PRTG може да наблюдава почти всичко. Сензорите донякъде са подобни на добавките, само че са включени в продукта. И има налични сензори за различни сървъри, услуги и приложения. Като цяло, продуктът включва над 200 сензора.
За наблюдение и управление на дневника са на разположение два различни сензора. Най- Журнал на приложния програмен интерфейс на Windows сензорът улавя всички журнални съобщения, които Windowsгенерира. Този сензор следи скоростта на лог съобщенията, а не тяхното съдържание и той ще генерира аларма, ако скоростта на съобщенията в дневника на събитията достигне критичен праг.
Другият интересен сензор - Syslog приемник сензор, приема, следи и запазва syslogсъобщения от всяко устройство. Все пак няма да се събират само трупи от различни източници. Неговата функционалност за наблюдение ще задейства аларми, когато възникнат тревожни условия, като увеличаване на скоростта на приемане на журнала.
Най- PRTG Network Monitor се предлага в две версии. Безплатната версия е пълнофункционална, но ще ограничи способността ви за наблюдение до 100 сензора. Когато използвате SNMP, всеки наблюдаван параметър се счита за един сензор. Например, ако наблюдавате два интерфейса на рутер, той ще се счита за два сензора. Всеки екземпляр от конкретен сензор за наблюдение също се счита за един. Ако имате нужда от повече от 100 сензора, ще трябва да закупите лиценз, който започва от $ 1 600 за 500 сензора. Налична е безплатна, неограничена от сензора и пълнофункционална пробна версия за 30 дни.
5. ManageEngine EventLog Analyzer
ManageEngine е друг известен производител на инструменти за мрежово администриране сред ИТ специалистите. Компанията предлага система за управление на лога, наречена ManageEngine EventLog Analyzer, Продуктът събира, управлява, анализира, корелира и търси чрез данните от дневника на над 700 източника, използвайки комбинация или събиране на дневници, базирани на агент и агент, както и импортиране на журнали.
Най- ManageEngine EventLog AnalyzerКапацитетът е впечатляващ Той може да обработва данни в дневника със скорост до 25 000 лога / секунда и да открива атаки в реално време. Инструментът също така може бързо да извърши криминалистичен анализ, като по този начин намали потенциалното въздействие на нарушение. Възможностите за одит на системата се простират до дневниците на мрежовите устройства по периметъра, потребителските дейности, промените в акаунта на сървъра, достъпа на потребители и други, като ви помагат да посрещнете нуждите от одит на сигурността.
Корелация на журнала на събитията в реално време на инструментамигновено открива опити за атака и проследява потенциални заплахи за сигурността чрез съпоставяне на данните от дневника с над 30 предварително зададени правила за откриване на груби атаки, блокиране на акаунти, кражба на данни, атаки на уеб сървър и много други. Той също така разполага с персонализиран анализатор на дневници, който може да извлича полета от всеки читаем от човешки формат журнал. Продуктът наистина предоставя една конзола за преглед на всички ваши данни от дневника за сигурност.
Най- ManageEngine EventLog Analyzer се предлага в намалено от функционалните издания безплатно изданиекойто поддържа само 5 източника на регистрация или в премиум издание, което започва от $ 595 и варира в зависимост от броя на устройствата и приложенията. Предлага се и безплатна, пълнофункционална 30-дневна пробна версия.
6. Graylog
Graylog е безплатна, с отворен код платформа за управление на журналис много интересни функции. Инструментът може да анализира и обогати дневници и данни за събития от почти всеки източник на данни. Неговите тръбопроводи за обработка позволяват известна гъвкавост в маршрутизирането, черния списък, модифицирането и обогатяването на съобщенията в реално време. Инструментът ще търси чрез терабайти от лог данни, за да открие и анализира важна информация. Неговият мощен и по-скоро уникален синтаксис за търсене ви позволява да намерите точно това, което търсите.
с Graylog, имате възможност да създадете персонализиранитабла за управление, които ви позволяват да визуализирате конкретни показатели и да наблюдавате тенденциите от едно централно място. Можете да използвате полеви статистики, бързи стойности и диаграми от страницата с резултати от търсенето, за да разгледате по-задълбочен анализ на вашите данни. В допълнение, продуктът предлага възможност за задействане на действия или издаване на известия при събития като например неуспешни опити за влизане, изключения или влошаване на производителността.
Graylog се предлага или като безплатен и с отворен кодограничена версия, която също има ограничена поддръжка. Има и корпоративна версия с разширени функции и неограничена поддръжка. Той също е безплатен за до 5GB дневници на ден. В зависимост от това колко голяма и натоварена е вашата мрежа. Може да е достатъчно за вашата нужда. Цените на лиценза и поддръжката могат да бъдат получени като се свържете Graylog продажби.
7. WhatsUp Log Management Suite
Най- WhatsUp Log Management Suite е отличен инструмент от Ipswitch. Ipswitch, има ли нужда да ви напомня, е компанията зад WhatsUp Gold, супер популярният инструмент за мониторинг на мрежата. Този е автоматизиран инструмент, който събира, съхранява, архивира и запазва системни дневници, събития на Windows и W3C / IIC. Независимо от това, че не само агрегира регистрационни файлове и събития, непрекъснатото му наблюдение и анализ на лога ще ви предупреди за всякакви необичайни дейности.
Най- WhatsUp Log Management Suite ще следват често одитирани събития катоправа за достъп и привилегии за файлове, папки и обекти и генерирайте сигнали при необходимост. Той също така използва събрани събития за изграждане на доклади за съответствие за HIPAA, SOX, FISMA, PCI, MiFID или Basel II. Този софтуер може също да помогне за преобразуването на вашите сурови данни от дневници в смислена информация за мениджъри или ИТ екипи за сигурност, като използва мощните му автоматизирани функции за филтриране, съпоставяне, отчитане и конвертиране.
Най- WhatsUp Log Management Suite всъщност е набор от приложения, които включват следните инструменти:
- Архиватор на събития: Този инструмент автоматизира събирането, изчистването и консолидирането на журнали.
- Аларма за събитие: Инструмент за наблюдение на лог файлове и получаване на известие в реално време за ключови събития.
- Event Analyst: Анализи и отчети за данните и тенденциите в дневника; автоматично разпространява отчети на ръководството, служителите по сигурността, одиторите и други заинтересовани страни.
- Събития Ровър: Унифицирана конзола за задълбочена криминалистика на всички сървъри и работни станции за повишаване на ефективността и спестяване на време.
Информация за цените на Log Suite Suite не е лесно достъпна от Ipswitch. Продуктът може да бъде закупен директно от издателя или чрез дистрибуторската мрежа на Ipswitch. Безплатна пробна версия също е налична.
8. LogDNA
Казва се, че LogDNA е „най-бързата, интуитивна и рентабилна система за управление на журнали". Това е вярно. Още от самото начало инсталацията на продукта отнема само няколко минути, преди да започнете да събирате и наблюдавате регистрационни файлове. Без значение как се генерират и предават регистрационни файлове, стотици персонализирани схеми за интегриране са налични в продукта, за да ви помогнат да централизирате регистрационните файлове на едно място.
LogDNA е достъпна или в облачна основа, или всамостоятелно хоствана версия, в зависимост от вашите предпочитания. Това е силно мащабируем продукт, който може да обработва стотици хиляди журнали в секунда и десетки терабайти на ден, като същевременно предлага максимална сигурност, както и анализ на дневника в реално време. Както компанията, така и нейните продукти са съвместими със SOC2, PCI и HIPAA, както и със сертификат за защита на личните данни.
Простият модел за ценообразуване на плащане на GB на LogDNAелиминира договори и фиксирано разпределение на данни, което прави една от най-ниските общи разходи за собственост на всяко платено решение за мониторинг и управление на журнала. Предлагат се няколко абонаментни планове с увеличаващи се функции. Планът на най-ниското ниво е безплатен, а цените за платените планове варират от $ 1,50 / GB / месец до $ 3 / GB / месец в зависимост от продължителността на задържане и броя на потребителите. Предлага се и безплатна, пълнофункционална и неограничена 14-дневна пробна версия.
Коментари