Dnešní systémy generují hodně protokolovánídata. Na mnoha platformách je každá událost, důležitá nebo ne, někde zaznamenána. Protokoly se obvykle ukládají lokálně. To dává smysl, protože protokoly jsou spojeny s jejich zdrojem. Ale při pokusu o řešení problémů a nalezení jejich hlavní příčiny to často znamená, že se musíme podívat na více souborů protokolu na mnoha zařízeních. Nebylo by hezké, kdyby byly všechny protokoly ze všech zařízení uloženy na jednom místě? Správa protokolu je taková a ještě mnohem více, jak se chystáte zjistit. A dnes přezkoumáváme nejlepší systémy správy protokolů.
Začneme tím, že se pokusíme vysvětlit, jaký protokolřízení je. Jak uvidíte, může to být mnohem víc než jen centralizace úložiště protokolů. Dále si povíme o protokolovacích protokolech. Je to docela důležité, protože správa protokolů by bez nich pravděpodobně neexistovala. Poté se pokusíme odlišit servery syslog od systémů správy protokolů. Bohužel mezi nimi neexistuje jasné vymezení. Budeme pokračovat diskusí o bezpečnostních informacích a systémech správy událostí, protože se jedná o další typ systému, který je často zaměňován se správou protokolů, a to díky poněkud nejasné definici každého z nich. Nakonec se podíváme na osm osmi systémů správy protokolů, které jsme našli.
Správa protokolu - co to je
Než budeme moci mluvit o správě protokolů, pojďmepodívejte se, co je to protokol. Jednoduše definované, protokol je automaticky vytvářená a časově označená dokumentace událostí souvisejících s konkrétním systémem. Kdykoli dojde k události v systému, vygeneruje se protokol. Různé systémy budou generovat protokoly pro různé události a mnoho systémů dává správcům určitý stupeň kontroly nad tím, co generuje protokol a co ne.
Když mluvíme o správě protokolů, mluvímeodkazující na procesy a zásady používané ke správě a usnadnění generování, přenosu, analýzy, ukládání, archivace a případné likvidace velkého objemu dat protokolu. Správa protokolů znamená centralizovaný systém, ve kterém se shromažďují protokoly z více zdrojů.
Správa protokolů však není jen kolekce protokolů. Nejdůležitější je řídící část. Systémy správy protokolů mají obvykle více funkcí, přičemž sběr protokolů je pouze jednou z nich.
Jakmile jsou protokoly přijaty správou protokolůsystému, musí být „přeloženy“ do společného formátu. Různé systémy formátují protokoly odlišně a do svých protokolů zahrnují různá data. Někteří začínají s datem a časem, jiní s číslem události. Některé obsahují pouze ID protokolu, zatímco jiné obsahují úplný textový popis události. Jedním z účelů systémů správy protokolu je zajistit, aby všechny shromážděné položky protokolu byly uloženy v jednotném formátu. Díky tomu bude vyhledávání a korelace událostí mnohem jednodušší.
Když mluvíme o hledání a dokonce korelaci,to je další důležitá funkce mnoha systémů správy protokolů. Některé z nich jsou vybaveny výkonným vyhledávačem, který umožňuje správcům zarazit přesně to, co potřebují. Korelační funkce automaticky seskupí související události, i když jsou z různých zdrojů. Jak - a jak úspěšně - to dosahuje jiný systém správy protokolů, což je hlavní odlišující faktor.
Protokolování protokolů
Správa protokolů by byla mnohem obtížnější, pokudvůbec, pokud to nebylo pro protokolování protokolů. Existuje několik z nich, které definují, jaká data mají být zahrnuta do protokolů, jak by měla být formátována a jak by měla být přenášena mezi systémy.
Syslog je pravděpodobně nejpoužívanější protokolovací protokol. Vynalezen na začátku 80. let se stal de facto standardem pro unixové systémy. Jedním z největších přínosů protokolu syslog je to, jak odděluje software, který generuje protokoly, systém, který je ukládá, a software, který je hlásí a analyzuje. Použití protokolu Syslog usnadňuje správu protokolů. Mnoho zařízení jiných než Unix, jako jsou přepínače směrovače a další síťová zařízení od mnoha dodavatelů, používají variantu protokolu syslog.
Microsoft Windows, jak jste možná uhodli, používájiný systém protokolování. Může to souviset s tím, že operační systémy a aplikace Windows mají protokoly, které obvykle obsahují mnohem více informací, než povoluje syslog. Naštěstí funkce Windows Event Collector poskytují prostředky pro systémy správy protokolů, které lze použít k přijímání událostí od hostitelů Windows.
Bez ohledu na to, jaký protokol protokolování se používá,důležitou součástí správy protokolů je konfigurace zařízení pro odesílání jejich protokolů do systému správy. To se liší od jiných nástrojů, jako jsou systémy monitorování sítě, kde nástroj načítá data z hostitelů.
Protokolové servery Správa protokolů Vs
Od té doby je k dispozici na každém Unixusystém na nějakou dobu, Syslog, pokud je často používán jako log server, kdy jeden počítač přijímá data syslog od několika dalších. I když má toto centralizované ukládání protokolů určité výhody, není to správa protokolů.
Chcete-li si zasloužit název systému správy protokolu,produkt musí obsahovat alespoň některé pokročilejší funkce. Podle Wikipedie zahrnuje správa protokolu následující funkce: sběr protokolu, centralizovaná agregace protokolu, dlouhodobé ukládání a uchovávání protokolu, rotace protokolu, analýza protokolu, vyhledávání v protokolu a podávání zpráv. Protokolové servery často nabízejí sběr a ukládání protokolů a jen zřídka víc než to. Každý ze systémů správy protokolů v našem top seznamu nabízí alespoň některé pokročilejší funkce.
A co systémy SIEM?
Další populární technologie, která je častoasociovaný s protokoly a zaměňovaný se systémy správy protokolů je Security Information and Event Management nebo SIEM. To je zcela odlišné od správy protokolů, i když s tím úzce souvisí. Ve skutečnosti jsou některé produkty inzerované jako systémy správy protokolů skutečně systémy SIEM, zatímco některé základní systémy SIEM nejsou ničím jiným než systémy správy protokolů.
Hlavním důvodem tohoto zmatku je ten protokolspráva - nebo alespoň analýza protokolu - je důležitou součástí systémů SIEM. Ve skutečnosti systémy SIEM obvykle posunují správu protokolů na další úroveň přidáním určité inteligence do procesu. Tyto systémy provádějí analýzu protokolů s konečným cílem identifikovat bezpečnostní problémy. Budou například hledat příznaky neúspěšných přihlášení, které by naznačovaly neoprávněný pokus o narušení. Tyto systémy budou automaticky vyhledávat položky protokolu a hledat něco neobvyklého.
Systémy SIEM mají více společného s bezpečností ITnež správa IT a některé obsahují rozsáhlé funkce správy protokolů, mnoho z nich však také může použít externí systémy správy protokolů a není neobvyklé, že oba systémy běží vedle sebe.
Nejlepší software pro správu protokolů
Teď, když máme společné cospráva protokolu je a co není, pojďme se podívat, co je k dispozici. Prohledali jsme na trhu některé z nejlepších systémů správy protokolů. Naše počáteční zjištění je, že je jich mnoho a mnoho z nich velmi dobré. Máme ale jen tolik prostoru, takže se chystáme přezkoumat osm nejzajímavějších, které jsme mohli najít.
1. Papertrail SolarWinds
SolarWinds je obecný název v polinástroje pro správu sítě. Bylo to již téměř 20 let a přineslo nám jeden z nejlepších nástrojů pro monitorování šířky pásma a jeden z nejlepších analyzátorů a sběratelů NetFlow. Společnost je také známá vydáváním několika bezplatných nástrojů, které řeší některé specifické potřeby správců sítě, jako je kalkulačka podsítě nebo server syslog.
Před několika lety získala společnost SolarWinds Papírová stopa, oblíbený systém správy protokolů. Shromažďuje soubory protokolu z celé řady oblíbených produktů, jako jsou Apache nebo MySQL, stejně jako aplikace Ruby on Rails, různé cloudové hostovací služby a další standardní textové soubory protokolu. Papírová stopa uživatelé pak mohou pomocí webového vyhledávacího rozhraní nebo nástrojů příkazového řádku prohledávat tyto soubory, aby pomohli diagnostikovat chyby a problémy s výkonem. Papírová stopa také se integruje s dalšími produkty SolarWinds, jako jsou Librato a Geckoboard, pro výsledky grafů.
Papírová stopa je cloudový software jako služba (SaaS)nabídka od SolarWinds. Implementace, použití a porozumění je snadné. A to vám poskytne okamžitou viditelnost ve všech systémech během několika minut. Tento nástroj má velmi efektivní vyhledávací stroj, který dokáže prohledávat uložené i streamované protokoly. A je to bleskurychlé.
Papírová stopa je k dispozici v rámci několika plánů včetně bezplatnéhoplán. Je to však poněkud omezené a každý měsíc umožňuje pouze 100 MB protokolů. V prvním měsíci však povolí 16 GB protokolů, což je ekvivalentní bezplatnému 30dennímu zkušebnímu období. Placené plány začínají na 7 $ / měsíc pro 1GB / měsíc logů, 1 rok archivu a 1 týden indexu. Filtrování hluku umožňuje nástroji zachovat data tím, že neuloží zbytečné protokoly.
2. Správce protokolů a událostí SolarWinds (ZKUŠEBNÍ VERZE ZDARMA)
Naše další položka je další produkt společnosti SolarWinds nazvaný SolarWinds Správce protokolů a událostí. Na rozdíl od našeho předchozího záznamu je to amístně nainstalovaný produkt. A je to také mnohem víc než jen systém správy protokolů. Mnoho pokročilých funkcí tohoto produktu jej zařadilo do řady SIEM. Má například korelaci ventilace v reálném čase a sanaci v reálném čase.
Zde je přehled Správce protokolů a událostí SolarWindsHlavní funkce. Eliminuje hrozby rychle pomocí okamžité detekce podezřelé aktivity a automatických reakcí. Může také provádět vyšetřování bezpečnostních událostí a forenzní šetření za účelem zmírnění a dodržování předpisů. A pokud jde o shodu, produkt vám to umožní demonstrovat, mimo jiné díky auditům prověřeným reportům pro HIPAA, PCI DSS a SOX. Tento nástroj má také monitorování integrity souborů a monitorování zařízení USB, což jsou dvě funkce, které jsou nad rámec toho, co běžně vidíme v systémech správy protokolů.
Ceny za Správce protokolů a událostí SolarWinds začněte u 4 585 $ až pro 30 sledovaných uzlů. Licence lze zakoupit až pro 2500 uzlů, díky čemuž je produkt vysoce škálovatelný. A pokud si chcete ověřit, že je produkt pro vás ten pravý, je k dispozici bezplatná 30denní zkušební verze s plným výkonem.
3. ipswitch Log Management Suite
The Sada pro správu protokolů je nástroj od Ipswitch, stejné společnosti, kterápřinesl nám WhatsUp Gold, nesmírně populární nástroj pro monitorování sítě. Jedná se o automatizovaný nástroj, který shromažďuje, ukládá, archivuje a ukládá systémové protokoly, události systému Windows a protokoly W3C / IIC. Jeho nepřetržité sledování protokolu vás navíc upozorní na podezřelou aktivitu.
Často auditované události, například přístupová právaa mohou být dodržována oprávnění souborů, složek a objektů, generování výstrah podle potřeby a používané k vytváření sestav shody pro shodu HIPAA, SOX, FISMA, PCI, MiFID nebo Basel II. Tento nástroj vám také může pomoci převést vaše nezpracovaná logovací data na smysluplná data pro manažery nebo týmy IT bezpečnosti díky automatizovanému filtrování, korelaci, vykazování a převodu funkcí.
Informace o cenách pro internet Sada pro správu protokolů není snadno k dispozici od Ipswitch. Produkt lze zakoupit buď přímo od vydavatele, nebo prostřednictvím prodejní sítě Ipswitch. K dispozici je také bezplatná zkušební verze.
4. SpravovatEngine EventLog Analyzer
ManageEngine, další běžné jméno u správce sítě, vytváří vynikající systém správy protokolů nazvaný SpravovatEngine EventLog Analyzer. Produkt bude shromažďovat, spravovat, analyzovat, korelovat a prohledávat data protokolu z více než 700 zdrojů pomocí kombinací nebo agentem a agentem založeného sběru protokolů a importem protokolu.
Rychlost je jedním z SpravovatEngine EventLog AnalyzerSíla. Může zpracovávat logovací data rychlostí 25 000 log / s a detekovat útoky v reálném čase. Může také provádět rychlou forenzní analýzu ke snížení dopadu narušení. Auditní funkce systému se rozšiřují na protokoly obvodových obvodů zařízení, aktivity uživatelů, změny účtu serveru, přístupy uživatelů a další, což vám pomůže splnit potřeby auditu zabezpečení.
The SpravovatEngine EventLog Analyzer je k dispozici v bezplatné edici se sníženou funkcíkterý podporuje pouze 5 zdrojů protokolu nebo v prémiové edici, která začíná na 595 USD a liší se podle počtu zařízení a aplikací. K dispozici je také bezplatná plně funkční 30denní zkušební verze.
5. Nagios Log Server
Nagios je nejlépe známý pro svůj vynikající software pro monitorování sítě, ale jeho Log Server je možná stejně zajímavý. Aptly volal Server protokolu Nagios, nabízí centralizovanou správu protokolu, monitorování a analýzu. Server protokolu Nagios zjednodušuje proces vyhledávání vašich dat protokolu. Umožňuje také nastavit upozornění tak, aby byla upozorňována na potenciální hrozby. Kromě toho má software vysokou dostupnost a vestavěnou ochranu před selháním. Jeho snadné průvodce nastavením zdroje vám pomůže rychle nakonfigurovat servery tak, aby odesílaly veškerá data protokolu a začaly sledovat protokoly během několika minut. .
The Server protokolu Nagios umožňuje snadno korelovat události protokolu ve všechservery několika kliknutími. A to vám umožní prohlížet data protokolu v reálném čase, což vám dává možnost analyzovat a řešit problémy, když se objeví. Produkt se vyznačuje působivou škálovatelností a bude i nadále vyhovovat vašim potřebám s růstem vaší organizace. Další Server protokolu Nagios instance mohou být přidány do monitorovacího klastru, což vám umožní rychle přidat více energie, rychlosti, úložiště a spolehlivosti.
Jednostupňová cena za internet Server protokolu Nagios činí 3 995 $ a přesto se zdá, že bezplatná zkušební verze není k dispozici, bezplatné online demo je, pokud byste se raději měli podívat na produkt z první ruky.
6. Alert Logic Log Manager
Hlavním zaměřením společnosti Alert Logic je bezpečnost a dodržování předpisů. A protože správa protokolů úzce souvisí s oběma, není divu, že společnost nabízí Správce logických záznamů výstrah. Tento cloudový nástroj nabízí automatické asjednocená správa protokolů ve všech vašich prostředích. Bude shromažďovat, agregovat a prohledávat data protokolu z cloudu, serveru, aplikací, zabezpečení a síťových prostředků.
The Správce logických záznamů výstrah zahrnuje monitorování a analýzu protokolu a takékontrola protokolu, která je prováděna živě lidskými analyzátory. Experti společnosti Alert Logic vás upozorní na možnou hrozbu 365 dní v roce. Služba také pomůže splnit požadavky na revizi protokolů SOC 2, HIPAA a SOX a zbavit zátěž při kontrole protokolů a sledování událostí, aby vyhovovaly PCI / DSS 10.6, 10.6.1, 10.6.3
Informace o cenách pro internet Správce logických záznamů výstrah není snadno dostupný z webu a pro získání formální nabídky budete muset kontaktovat prodej Alert Logic. Bezplatná zkušební verze také není k dispozici, ale bezplatné demo lze uspořádat kontaktováním Alert Logic.
7. LogDNA
Společnost byla založena v roce 2015, LogDNA je nové dítě v bloku. Společnost tvrdí, že „LogDNA je nejrychlejší, nejintuitivnější anákladově efektivní systém správy protokolů “. Všechno to začíná instalací, která trvá jen pár minut, než můžete začít sledovat protokoly. Bez ohledu na to, jak jsou protokoly generovány a přenášeny, jsou k dispozici stovky vlastních integračních schémat pro centralizaci protokolů do jednoho panelu.
LogDNA může být založeno na cloudu nebo samostatněvaše preference. Je vysoce škálovatelný a dokáže zpracovat stovky tisíc protokolů za sekundu a desítky terabajtů na zákazníka, za den v celkové bezpečnosti s analýzou protokolu v reálném čase. Společnost a její produkty jsou certifikovány podle SOC2, PCI a HIPAA a certifikátu Privacy Shield.
Díky svému jednoduchému modelu placení za GB, kterýeliminuje smlouvy a pevné datové skupiny, společnost má jednu z nejnižších celkových nákladů na vlastnictví. K dispozici je několik plánů předplatného s rostoucími funkcemi. Plán na spodní úrovni je zdarma a placené plány se liší od 1,50 $ / GB / měsíc do 3 $ / GB / měsíc v závislosti na době uchovávání a počtu uživatelů. K dispozici je také bezplatná plnohodnotná 14denní zkušební verze.
8. Graylog
Poslední na našem seznamu je produkt s názvem Graylog. Produkt nabízí mnoho zajímavých funkcí. Nástroj analyzuje a obohacuje protokoly a data událostí z jakéhokoli zdroje dat. Jeho zpracovávací potrubí umožňují určitou flexibilitu ve směrování, blacklistu, úpravě a obohacení zpráv v reálném čase. Graylog bude prohledávat terabajty dat protokolu, aby zjistil a analyzoval důležité informace. Výkonná syntaxe vyhledávání vám umožní najít přesně to, co hledáte.
S Graylog, můžete vytvořit dashboardy pro vizualizaci metrika pozorovat trendy na jednom centrálním místě. Pomocí statistik polí, rychlých hodnot a grafů na stránce s výsledky vyhledávání se můžete ponořit do hlubší analýzy svých dat. Systém má také možnost spouštět akce nebo vydávat oznámení o událostech, jako jsou neúspěšné pokusy o přihlášení, výjimky nebo zhoršení výkonu.
Graylog je k dispozici jako bezplatný a otevřený zdroj,verze s omezenými funkcemi, která má také omezenou podporu nebo jako podniková verze s rozšířenými funkcemi a neomezenou podporou. Zkušební licenci lze také získat kontaktováním Graylog odbyt.
Komentáře