С днешните системи, генериращи тона сечданни, не е изненада, че администраторите винаги търсят решения за управление на журнали. Дневниците по подразбиране често се съхраняват локално. Това има смисъл, тъй като улеснява свързването им с техния източник. Но когато се опитваме да отстраняваме проблеми и да откриваме тяхната основна причина, понякога се налага да разгледаме множество регистрационни файлове на множество устройства. Не би ли било хубаво, ако всички регистрационни файлове от всички устройства се съхраняват на едно централизирано място? Това е целта на управлението на лога. И ако вашата платформа за избор е Linux, има много възможности. Прочетете нататък, докато откриваме някои от най-доброто управление на журнала за Linux
Ще започнем с дефиниране на управлението на журнала. Ще видите, че това може да бъде доста повече от просто централизиране на съхранение на журнали. След това ще обсъдим различни технологии за сеч. Те са крайъгълният камък на управлението на лога и нямаше да съществува без тях. Продължавайки, ние ще разграничим системите за syslog от системите за управление на лога и ще разберем, че няма ясно разграничение между тях. След това ще направим пауза за кратко и ще обсъдим информацията за сигурността и системите за управление на събития. Те са друг тип система, която често се бърка с управлението на лога, благодарение на малко неясната дефиниция на всяка. И накрая, ще прегледаме най-доброто управление на журнала за Linux.
Какво е управление на лога?
Преди да можем да говорим за управление на журнали, некаопределете какво е лог. Просто дефиниран, логът е автоматично изготвената и подпечатана във времето документация за събитие, свързано с определена система. С други думи, всеки път, когато се случи събитие в системата, се генерира дневник. Системите и устройствата ще генерират регистрационни файлове за различни видове събития и много системи предоставят на администраторите някаква степен на контрол върху това, кое събитие генерира дневник и кое не.
Що се отнася до управлението на лога, той просто се отнася допроцесите и политиките, използвани за администриране и улесняване на генерирането, предаването, анализа, съхранението, архивирането и евентуалното изхвърляне на големи обеми данни от журнали. Въпреки че не е ясно посочено, управлението на лога предполага централизирана система, където се събират дневници от множество източници. Управлението на лога обаче не е само събиране на журнали. Именно управленската част е най-важната. И системите за управление на журнали често имат множество функции, като събирането на трупи е само една от тях.
След като дневниците бъдат получени от ръководството на журналасистема, те трябва да бъдат стандартизирани в общ формат, тъй като различните системи формат регистрират различно и включват различни данни. Някои започват дневник с дата и час, други започват с номер на събитие. Някои включват само идентификатор на събитие, докато други включват пълнотекстово описание на събитието. Една от целите на системите за управление на дневника е да се гарантира, че всички събрани записи в дневника се съхраняват в единен формат. Това ще доведе до корелация на събитията и евентуално търсене много по-лесно надолу по линията.
Дори корелацията и търсенето са две допълнителниосновни функции на няколко системи за управление на лога. Най-доброто от тях разполага с мощна търсачка, която позволява на администраторите да въведат нула точно за това, от което се нуждаят. Корелационните функции автоматично ще групират свързани събития, дори ако са от различни източници. Как и колко успешно се постига различна система за управление на журнали, което е основен диференциращ фактор.
СЪЩО ЧЕТЕТЕ: 15 най-добри мрежови инструменти за наблюдение (наш собствен преглед)
Технологии за сеч
Управлението на лога ще бъде много по-трудно,може би дори не е възможно, ако не беше протоколиране на протоколи. Няколко от тях съществуват. Те определят какви данни трябва да бъдат включени в регистрационните файлове, как трябва да бъдат форматирани и понякога как да се предават между системите.
Syslog е вероятно най-използваната сечпротокол, особено в света на Linux. Технологията е изобретена в началото на осемдесетте години и е станала фактически стандарт за всички системи, подобни на Unix. Едно от най-големите предимства на syslog технологията е как улеснява разделянето между системата или софтуера, който генерира регистрационни файлове, системата, която ги съхранява, и софтуера, който ги отчита и анализира. Използването на технологията Syslog улеснява управлението на журнала. И Syslog не е ексклузивен Unix. Много устройства, различни от Unix, като превключватели, рутери и всякакъв вид оборудване от много доставчици, използват вариант на протокола syslog.
Има и други технологии за сеч. Microsoft Windows, например, използва различна система за регистрация. Може да е свързано с факта, че операционните системи и приложения на Windows имат регистрационни файлове, които обикновено съдържат по-подробна информация, отколкото позволява технологията Syslog. За щастие функциите на Windows Event Collector осигуряват средно средство за управление на журнала, което различни системи могат да използват за получаване на събития от хостовете на Windows. Тази публикация е за управление на лог за Linux, така че нека не губим много време в Windows.
Без значение каква технология за дърводобив се използва,важна част от управлението на лога е конфигурирането на устройства, които да изпращат своите дневници до системата за управление. Други видове инструменти, като мрежови системи за мониторинг, могат да извличат данни от системите, които наблюдават, но с управлението на лога, всяко устройство трябва да бъде „казано“ къде да изпраща своите регистрационни файлове. Това обаче е сравнително проста задача, която често се изпълнява чрез издаване на проста команда.
ДОПЪЛНИТЕЛНА ИНФОРМАЦИЯ: Най-добър софтуер за картографиране и топология на мрежовата диаграма
Лог сървъри или управление на лога?
Тъй като е достъпна за всички подобни на Unixсистема - включително Linux - от доста време Syslog често се използва като лог сървър с един компютър, който получава Syslog данни от няколко други. Въпреки че това централизирано съхранение на журнали има определени предимства, не е достатъчно да се нарече управление на лога.
За да заслужите името на системата за управление на лога, aпродуктът трябва да включва поне някои от по-модерните функции. Според Уикипедия „управлението на лога се състои от следните функции: събиране на дневници, централизирано обобщаване на журнали, дългосрочно съхранение и задържане на журнали, въртене на дневника, анализ на журнала, търсене на журнали и отчитане“. Еха! Това е много функционалност. От друга страна, лог сървърите често предлагат само събиране и съхранение на журнали и рядко повече от това.
Една дума (или две) за SIEM
Друга популярна технология, която е свързанас регистрационни файлове и често се бърка със системите за управление на журнали е Информация за сигурност и управление на събития или SIEM. Това е различно от управлението на лога, но то е тясно свързано. Линията е толкова тънка между тях, че някои продукти, рекламирани като системи за управление на журнали, всъщност са системи SIEM, докато някои основни системи SIEM не са нищо повече от усъвършенствани системи за управление на журнали.
Объркването произтича от факта, че логътуправление - или най-малкото анализ на лога - е важен компонент на SIEM системите. Това, което отличава SIEM системите е, че те извършват анализ на журнала с крайна цел да идентифицират проблеми със сигурността. Например, те ще търсят признаци на неуспешни влизания, които биха могли да бъдат показател за неоторизиран опит за проникване. Тези системи непрекъснато сканират записи в дневника, търсейки нещо необичайно. Докато някои SIEM системи включват обширни функции за управление на дневниците, някои използват външна система за управление на журнала и не е рядкост да се виждат и двете системи да работят едно до друго.
СВЪРЗАНО ЧЕТЕНЕ: Най-добрите IP скенери за Mac
Най-доброто управление на лога за Linux
Да се надяваме, че сега имаме общо разбиране закакво е управление на лога и какво не е. Така че, нека да разгледаме какво е достъпно за Linux. Но първо, нека изясним нещо. Когато говорим за управление на лог за Linux, имаме предвид системи за управление на журнали, които могат да побират регистрационни файлове на Linux и които ще работят или на Linux платформата, или в облака. Някои от нашите селекции, особено облачни базирани системи, също ще работят с регистрационни файлове от други платформи.
1. SolarWinds Papertrail (БЕЗПЛАТЕН ПЛАН НАЛИЧЕН)
SolarWinds се е превърнало в име на домакинство сред мрежатаадминистратори. Той прави някои от най-добрите инструменти за почти 20 години, като ни предоставя страхотни инструменти за мониторинг на честотната лента и един от най-добрите анализатори и колектори NetFlow. Компанията е добре известна и с това, че публикува няколко безплатни инструмента, които адресират някои специфични нужди на мрежовите администратори, като калкулатор на подмрежата или syslog сървър.
- БЕЗПЛАТЕН ПЛАН: SolarWinds Papertrail
- Официална връзка за изтегляне: https://papertrailapp.com/plans
Не толкова отдавна, SolarWinds придобит Papertrail, популярна система за управление на журнали. Той обединява лог файлове от голямо разнообразие от популярни продукти като Apache или MySQL, както и приложения Ruby on Rails, различни облачни хостинг услуги и други стандартни файлове за системен и текстови дневник. Papertrail След това потребителите могат да използват уеб базиран интерфейс за търсенеили инструменти за команден ред за търсене през тези файлове, за да помогнете за диагностицирането на различни проблеми. Papertrail също се интегрира с други продукти на SolarWinds като Librato и Geckoboard за графични резултати.
Papertrail е облачен базиран софтуер като услуга (SaaS)предлагане от SolarWinds. Това, че е базирана на облаци, означава, че ще работи добре в среда с изцяло Linux. Платформата е лесна за внедряване, използване и разбиране и ще ви даде незабавна видимост във всички системи за минути. Освен това, продуктът има много ефективна търсачка, която може да търси както съхранени, така и поточни журнали. И е мълниеносно.
Papertrail се предлага по няколко плана, включително безплатенплан. Той обаче е малко ограничен и позволява само 100 MB журнали всеки месец. Това обаче ще ви позволи 16 GB дневници през първия месец, което е еквивалентно на предоставянето на безплатна 30-дневна пробна версия. Платените планове започват от $ 7 / месец за 1GB / месец дневници, 1 година архив и 1 седмица индекс. Шумовото филтриране позволява на инструмента да запазва данни, като не запазва безполезни дневници.
2. Loggly
Loggly е друга онлайн услуга, базирана в облак. Предимно консолидатор на лога, той също така предлага функционалност за анализ на лога. Като основание да бъде базирана в облак, тази система не изисква инсталация и е готова да използва минутата, в която се абонирате. Разбира се, вашите системи и устройства ще трябва да бъдат конфигурирани, за да качват периодично своите стандартни лог файлове на онлайн сървъра.
- БЕЗПЛАТЕН ПРОБЕН ПЕРИОД: Логи планове
- Официална връзка: https://www.loggly.com
Loggly след това преобразува получените данни от дневника в aстандартен формат, като по този начин позволява на анализатора да обработва записи от различни източници и дава възможност за проследяване и корелация на събитията във всички системи, независимо от тяхната операционна система или технологията на регистрация. Източниците на данните от дневника не се ограничават до локалните ви сървъри. Системата, разбира се, може да обработва регистрационни файлове, генерирани от онлайн сървъри, като например AWS на Amazon и може да включва съобщения, създадени от конкретни приложения като Docker и Logstash, само за да назовем няколко.
Най- Loggly услугата се предлага по три различни плана,с увеличаване на ограниченията за обработка на данни и времена на задържане. Трябва да изберете правилния, който да ви даде достатъчно място за вашите данни в дневника. Планът за начално ниво се нарича Loggly Lite. Той е безплатен за използване. Съгласно този план можете да качвате 200 MB журнални данни на ден и системата ще запази всеки запис за седем дни. Следва стандартния план, който ви дава надбавка за качване от 1 GB на ден и запазва записи за 30 дни. Платените планове също ви позволяват да използвате множество потребителски акаунти. С пакета Standard можете да имате три потребителски акаунта. Извиква се горният слой Loggly Enterprise. Тя няма ограничение за броя на потребителските акаунти, които можете да настроите, а цените варират в зависимост от размера на капацитета за качване и периода на задържане, който се нуждаете. Плащането за всички платени планове може да бъде ежемесечно или ежегодно, а безплатен 14-дневен пробен период е на разположение в стандартния план.
3. Splunk
Splunk е добре известен - в рамките на системната администрацияобщност - цялостна система за управление на журнали за Linux, Mac OS и Windows. Повече от обикновена система за управление на журнали, някои считат това за пълноценна система за предотвратяване на проникване. Продуктът се предлага в три версии. На върха е Splunk Enterprise която е по-скоро система за управление на мрежата, а не просто инструмент за управление на журнали. Цените започват от $ 173 на месец и получавате много функционалност.
Има и безплатна версия на Splunk което по същество е един и същ инструмент без някои отнай-модерните му функционалности. По същество тя е ограничена до анализ на файлове в журнала. Можете да подавате във всеки от вашите стандартни файлове за регистрация или да го изпращате на живо чрез данни в анализатора. Безплатната версия има няколко ограничения. Например, тя може да има само един потребителски акаунт и пропускането на данни е ограничено до 500 MB дневници на ден. Функцията за сортиране и филтриране на данни е вградена в Splunk, което улеснява вашите усилия за отстраняване на проблеми. Можете да използвате тези функции за разделяне на записи в дневника по дата и записване на всяка група в нови файлове. Всъщност тази функционалност е много гъвкава.
4. Nagios Log Server
Nagios е известен с отличния си софтуер за мониторинг на мрежата, но неговият Log Server е също толкова интересен. Продуктът се нарича просто Nagios Log Server и предлага централизирано управление на лога,мониторинг и анализ. Този инструмент може значително да опрости процеса на търсене на вашите регистрационни данни. Той също така ви позволява да зададете сигнали, за да бъдат известявани за потенциални заплахи Освен това софтуерът има висока наличност и вградена грешка в него. Освен това, неговите лесни съветници за настройка на източника ще ви помогнат бързо да конфигурирате сървърите за изпращане на всички данни от дневника и да започнете да наблюдавате вашите регистрации за минути.
Най- Nagios Log Server позволява лесното съотношение на събитията в дневникана всички сървъри само с няколко кликвания. Системата ще ви позволява да преглеждате данните в дневника в реално време, като ви дава възможност да анализирате и решавате проблеми, когато възникнат. Продуктът се отличава с впечатляваща мащабируемост и ще продължи да отговаря на вашите нужди с развитието на вашата организация. Допълнителен Nagios Log Server екземпляри могат да бъдат добавени към мониторинг клъстер, което ви позволява бързо да добавите повече мощност, скорост, съхранение и надеждност.
Цената за един екземпляр за Nagios Log Server е 3 995 долара и въпреки че изглежда не е налична безплатна пробна версия, безплатна демонстрация онлайн е, ако предпочитате да разгледате продукта от първа ръка.
5. Graylog
Следващ в нашия списък е продукт, наречен Graylog, Продуктът предлага много интересни функции. Инструментът ще анализира и обогати регистрационни файлове и данни за събития от всеки източник на данни. Неговите тръбопроводи за обработка позволяват известна гъвкавост в маршрутизирането, черния списък, модифицирането и обогатяването на съобщенията в реално време. Graylog ще търси чрез терабайти от лог данни, за да открие и анализира важна информация. Мощният синтаксис за търсене ви позволява да намерите точно това, което търсите.
с Graylog, можете да създадете табла за управление, за да визуализирате показателии наблюдавайте тенденциите в едно централно място. Можете да използвате полеви статистики, бързи стойности и диаграми от страницата с резултати от търсенето, за да се потопите за по-задълбочен анализ на вашите данни. Системата също има възможност да задейства действия или да издава известия за събития като неуспешни опити за влизане, изключения или влошаване на производителността.
Graylog е безплатна, с отворен код, базирана на файлове система, коятоможе да ви даде много повече функционалност от просто помощна програма за архивиране на журнали. Този анализатор на журнали има графичен потребителски интерфейс и може да работи на Ubuntu, Debian, CentOS и SUSE Linux. Можете също да го стартирате на виртуална машина в Microsoft Windows и можете да инсталирате системата Greylog на Amazon AWS.
6. ManageEngine EventLog Analyzer
ManageEngine, друго често срещано име сред мрежовия администратор, прави отлична система за управление на журнала, наречена ManageEngine EventLog Analyzer, Продуктът ще събира, управлява, анализира, корелира и търси чрез данните от дневника на над 700 източника, използвайки комбинация от събиране на журнали без агент и агент, както и импортиране на журнали.
Скоростта е една от ManageEngine EventLog AnalyzerСила. Той може да обработва данни в лога с впечатляващите 25 000 лога / секунда и да открива атаки в реално време. Той може също така да извърши бърз криминалистичен анализ, за да намали въздействието на нарушение. Възможностите за одит на системата се простират до дневниците на мрежовите устройства по периметъра, потребителските дейности, промените в акаунта на сървъра, достъпа на потребители и други, като ви помагат да посрещнете нуждите от одит на сигурността.
Най- ManageEngine EventLog Analyzer се предлага в намалено от функционалните издания безплатно изданиекойто поддържа само 5 източника на регистрация или в премиум издание, което започва от $ 595 и варира в зависимост от броя на устройствата и приложенията. Предлага се и безплатна, пълнофункционална 30-дневна пробна версия.
Коментари