Soubory protokolu jsou přítomny téměř na každém počítačisystému nebo síťového zařízení. Obsahují podrobnosti o událostech, které se dějí v každém systému. Při řešení různých problémů se mohou ukázat jako neocenitelné. Mohou také odhalit škodlivé činnosti, a proto se mohou stát užitečným prostředkem k zajištění bezpečnosti. Ale kdo má čas se dokonce podívat na soubory protokolu? Vzhledem k tomu, že typický správce spravuje desítky zařízení, z nichž některé zaznamenávají několik událostí každou sekundu, neexistuje způsob, jak by je někdo mohl sledovat. Proto byly vynalezeny nástroje pro monitorování protokolu. Sjednocují všechny protokoly událostí na jednom místě a často poskytují analytické nástroje a služby, které procházejí protokoly a upozorňují, kdykoli je pozorováno něco neobvyklého. K dispozici je mnoho různých nástrojů pro monitorování protokolu a výběr toho nejlepšího může být výzvou. Abychom vám pomohli, sestavili jsme tento seznam některých nejlepších nástrojů pro monitorování protokolu.
Začneme naší diskusí prozkoumánímsystémové protokoly, co jsou a jak fungují. Dále si povíme o monitorovacích protokolech. Stejně jako dříve se podíváme na to, co to znamená a jak se to dělá. Poté vám poskytneme další podrobnosti o analýze protokolu, protože to je funkce, díky které jsou nástroje pro monitorování protokolu nejužitečnější. Stejně jako dříve, popíšeme, co to je a různé formy analýzy, které jsou k dispozici. Nakonec se podíváme na některé z nejlepších nástrojů pro monitorování protokolu, které jsme mohli najít, a řekneme vám o jejich hlavních funkcích.
Systémové protokoly v kostce
V jedné větě je soubor protokolu nebo systémový protokol asoubor, který zaznamenává události, ke kterým dochází v operačním systému nebo jiném softwaru. Protokolování je úkon vedení systémového protokolu. V nejjednodušších případech jsou zprávy jednoduše zapsány do jediného souboru protokolu. Zatímco většina systémů primárně používá pro protokolování událostí textové soubory, některé moderní systémy k jejich zaznamenávání používají určitou formu databáze.
Bez ohledu na to, jak a kde jsou události zaznamenány, některésystémy umožňují definovat požadovanou úroveň protokolování. To platí zejména pro síťové vybavení, kde každá událost má úroveň závažnosti a parametry protokolování lze nastavit tak, aby zaznamenávaly pouze událost určité úrovně závažnosti nebo vyšší. Podobné typy funkcí poskytují i jiné typy systémů.
O monitorovacích protokolech
Monitorovací protokoly jsou dvoudílný proces. První - a nejdůležitější - část je shromažďování dat z různých systémů. To se provádí různými způsoby. Některé systémy lze nakonfigurovat tak, aby protokoly automaticky odesílaly na centralizovaný server pomocí protokolu Syslog. Nástroje monitorování protokolu mají obvykle zabudovaný server syslog pro přímé přijímání dat událostí. Jiné systémy, například Windows, fungují odlišně. Existují různé způsoby získávání dat protokolu z těchto systémů, například pomocí Windows Management Instrumentation nebo pomocí místních agentů běžících na hostitelích Windows. Bez ohledu na to, jak se to dělá, každý monitorovací systém protokolu obsahuje požadovanou funkčnost pro příjem a konsolidaci dat z více zdrojů.
Další krok - analýza protokolu
Druhý úkol jakéhokoli užitečného nástroje pro monitorování protokoluje analýza protokolu. Zde se nástroje liší nejvíce. Některé nabízejí pouze základní analýzu, jako je spuštění výstrahy, když počet událostí na jednotku času dosáhne daného prahu. Pokročilější nástroje prozkoumají každou událost a hledají konkrétní náznaky problémů. Například velký počet neúspěšných přihlášení může být známkou pokračujícího pokusu o narušení. Mohli bychom strávit stránky popisující různé formy analýzy protokolů, které jsou k dispozici. Místo toho vás zveme, abyste se podívali na různé recenze produktů níže, kde najdete podrobnosti o tom, co každý z nich nabízí.
Nejlepší nástroje pro monitorování protokolu
Jak jsme již naznačili, existuje mnoho různýchnástroje dostupné s různým stupněm funkčnosti. Ne každý potřebuje nástroj s rozsáhlou analýzou a vysoce zabezpečenými funkcemi, proto jsme zahrnuli kombinaci nástrojů, které poskytují různé sady funkcí. Některé jsou jednodušší nástroje, zatímco jiné jsou složitější. Je na vás, abyste určili, který nástroj vám nejlépe vyhovuje vašim potřebám. Naštěstí všechny nástroje v našem seznamu mají k dispozici bezplatnou zkušební verzi, takže vám nic nebrání vyzkoušet několik, což bychom velmi doporučujeme.
1. Správce protokolů a událostí SolarWinds (Zkušební verze zdarma)
SolarWinds je běžný název v monitorovánísvět. Společnost existuje již více než 20 let a její vlajkový produkt, nazvaný Monitor výkonu sítě, je mnohými považován za jeden z nejlepších dostupných monitorovacích nástrojů SNMP. A jako by to nestačilo, SolarWinds je také známý svými četnými bezplatnými nástroji. Jedná se o menší nástroje, z nichž každý řeší specifickou potřebu správců sítě. Kalkulačka Advanced Subnet Calculator a server SolarWinds TFTP jsou dva vynikající příklady těchto bezplatných nástrojů.
jako pro Správce protokolů a událostí SolarWinds (LEM), je to přesně to, co jeho název napovídá. Tento nástroj je tak bohatý na funkce, že ho mnozí považují za plnohodnotný nástroj pro správu informací o bezpečnosti a událostí. Pokud jde o monitorování a správu protokolů, je to pravděpodobně jeden z nejzajímavějších nástrojů pro správu protokolů, které můžete najít. Má velmi užitečné funkce správy a korelace protokolů a také působivý nástroj pro podávání zpráv.
- ZKUŠEBNÍ VERZE ZDARMA: Správce protokolů a událostí SolarWinds
- Odkaz ke stažení: https://www.solarwinds.com/log-event-manager-software/registration
The Správce protokolů a událostí SolarWinds může pomoci zlepšit zabezpečení a dodržování předpisůdetekce podezřelé aktivity a rychlejší identifikace hrozeb s detekcí podezřelé aktivity v čase. Tento nástroj můžete také použít k provádění vyšetřování bezpečnostních událostí a forenzních opatření ke zmírnění a dodržování předpisů. To je důvod, proč mnozí považují produkt za nástroj SIEM. Tento nástroj navíc pomáhá s připraveností na dodržování předpisů. Můžete jej použít k prokázání shody, a to díky prověřenému výkaznictví pro HIPAA, PCI DSS, SOX, DISA STIG a další.
The Správce protokolů a událostí SolarWindsFunkce reakce na události nenechávají nic společnéhožádoucí. Podrobný systém reakce v reálném čase bude aktivně reagovat na každou hrozbu. Být založený spíše na chování než na analýze podpisů znamená, že jste dokonce chráněni před neznámými nebo budoucími hrozbami. Ale hlavní deska nástroje je možná jeho nejlepší výhodou. Díky jednoduchému designu nebudete mít žádné potíže s rychlým určováním anomálií.
Ceny za Správce protokolů a událostí SolarWinds je založeno na počtu sledovaných uzlů. K dispozici jsou různé úrovně licencí od 30 do 2500 uzlů od 4 665 $. A pokud si chcete produkt vyzkoušet před zakoupením, můžete si stáhnout zdarma plně funkční 30denní zkušební verzi.
2. Správce protokolů SolarWinds pro Orion (Zkušební verze zdarma)
Další na našem seznamu je další produkt společnosti SolarWinds nazvaný Log Manager pro Orion. Orion, pro případ, že s ním nejsi obeznámenProdukty SolarWinds byly před několika lety hlavní platformou společnosti. Je to stále základní architektura, na které je postaveno mnoho nejlepších produktů SolarWinds. Pokud používáte některý z Network Performance Monitor, NetFlow Traffic Analyzer, Network Configuration Manager, Virtualization Manager, Server a Application Monitor nebo Storage Resource Monitor, používáte Orion.
- ZKUŠEBNÍ VERZE ZDARMA: Správce protokolů SolarWinds pro Orion
- Odkaz ke stažení: https://www.solarwinds.com/log-manager-for-orion-software/registration
The Správce protokolů SolarWinds pro Orion přidává funkce správy protokolů do kterékoli z WindowsNástroje pro monitorování a správu založené na Orionu. Souhrnně lze říci, že produkt obsahuje výkonnou a intuitivní agregaci protokolů, značkování, filtrování a upozornění. Jeho integrace s produkty platformy Orion nabízí jednotný pohled na monitorování IT infrastruktury a související protokoly. Produkt byl vytvořen ve spolupráci se síťovými a systémovými inženýry, aby bylo zajištěno, že jejich problémům - a jak je řešit - rozuměli.
Navzdory integraci s platformou Orion Správce protokolů lze nainstalovat samostatně a nevyžadujejakýkoli jiný nainstalovaný nástroj Orion. Ceny začínají na 1 495 USD a je k dispozici bezplatná 30denní zkušební verze, pokud chcete produktu vyzkoušet a zjistit, jak vyhovuje vašim potřebám.
3. Papírová stopa (Plán zdarma k dispozici)
Další je další produkt nazvaný SolarWinds Papírová stopa. Tento je velmi odlišný od předchozíhodva, protože se jedná o cloudovou nabídku, Software jako služba (SaaS). Výkonný nástroj si užil nějakou popularitu, když jej SolarWinds získal, před několika lety. Shromažďuje protokolové soubory z mnoha produktů, jako jsou Apache nebo MySQL, stejně jako aplikace Ruby on Rails, několik služeb hostování v cloudu a další standardní soubory textového protokolu.
- Zaregistrujte se zde: https://papertrailapp.com/plans
Chcete-li diagnostikovat chyby a problémy s výkonem, můžete použít Papírová stopa velmi efektivní a bleskově rychlý vyhledávačkteré mohou prohledávat uložené i streamované protokoly. Produkt se integruje s několika dalšími produkty SolarWinds, jako jsou Librato a Geckoboard, pro výsledky grafů. Papírová stopa je také snadné implementovat, používat a pochopit. Poskytne vám okamžitou viditelnost ve všech systémech během několika minut.
Papírová stopa je k dispozici v rámci několika plánů včetně bezplatnéhoplán. Je to poněkud omezené a každý měsíc umožňuje pouze 50 MB protokolů. V prvním měsíci však povolí 16 GB protokolů, což je ekvivalentní bezplatnému a neomezenému 30dennímu zkušebnímu období. Placené plány začínají na 7 $ / měsíc pro 1GB / měsíc logů, 1 rok archivu a 1 týden indexu. Nejpopulárnější je plán $ 75 / měsíc s 8 GB logů. Filtrování hluku umožňuje nástroji zachovat data tím, že neuloží zbytečné protokoly.
4. Monitor sítě PRTG
The Monitor sítě PRTG od Paessler AG je integrovaný all-in-onemonitorovací systém, který lze díky chytré architektuře založené na senzorech monitorovat téměř cokoli. Jednou z nejlepších vlastností tohoto produktu je podnikový produkt, který je určitě jeho rychlostí nastavení. Podle Paesslera Monitor sítě PRTG lze nastavit během několika minut. I když to nemusí být tak rychlé pro každého, je to stále jeden z nejjednodušších a nejrychlejších monitorovacích nástrojů, které lze nastavit, částečně díky procesu automatického vyhledávání.
The Monitor sítě PRTG je produkt bohatý na funkce. Základem je především nástroj pro monitorování sítě, který používá SNMP k dotazování zařízení a zobrazení jejich využití v chronologických grafech. Díky použití dalších senzorů však může PRTG monitorovat téměř cokoli. Senzory jsou poněkud podobné jako doplňky, kromě toho, že jsou součástí produktu. K dispozici jsou také senzory pro různé servery, služby a aplikace. Celkově produkt obsahuje více než 200 senzorů.
Pro monitorování a správu protokolu jsou k dispozici dva různé senzory. Protokol událostí Windows API senzor zachycuje všechny zprávy protokolu, které Windowsgeneruje. Tento senzor monitoruje rychlost zpráv protokolu spíše než jejich obsah a bude generovat alarm, pokud rychlost zpráv protokolu událostí dosáhne kritického prahu.
Další zajímavý senzor, Přijímač Syslog senzor, přijímá, monitoruje a ukládá syslogzprávy z jakéhokoli zařízení. Nejedná se však pouze o souhrnné protokoly z různých zdrojů. Jeho monitorovací funkce spustí poplach, kdykoli se objeví znepokojivé podmínky, jako je zvýšení rychlosti příjmu protokolu.
The Monitor sítě PRTG je k dispozici ve dvou verzích. Bezplatná verze je plně funkční, ale omezí vaši monitorovací schopnost na 100 senzorů. Při použití SNMP se každý sledovaný parametr počítá jako jeden senzor. Pokud například na routeru sledujete dvě rozhraní, bude se počítat jako dva senzory. Každá instance specifického monitorovacího senzoru se také počítá jako jedna. Pokud potřebujete více než 100 senzorů, musíte si zakoupit licenci, která začíná na 1 600 $ pro 500 senzorů. K dispozici je bezplatná 30denní zkušební verze bez senzorů a plná funkčnost.
5. SpravovatEngine EventLog Analyzer
ManageEngine je dalším známým výrobcem nástrojů pro správu sítě mezi IT profesionály. Společnost nabízí systém správy protokolů s názvem SpravovatEngine EventLog Analyzer. Produkt shromažďuje, spravuje, analyzuje, koreluje a prohledává logovací data více než 700 zdrojů pomocí kombinací nebo agentem a agentem založeného sběru protokolů a importem protokolu.
The SpravovatEngine EventLog AnalyzerKapacita je impozantní. Může zpracovávat logovací data rychlostí až 25 000 log / s a detekovat útoky v reálném čase. Nástroj může také rychle provádět forenzní analýzu, čímž se snižuje potenciální dopad porušení. Auditní funkce systému se rozšiřují na protokoly obvodových obvodů zařízení, aktivity uživatelů, změny účtu serveru, přístupy uživatelů a další, což vám pomůže splnit potřeby auditu zabezpečení.
Korelace protokolu událostí v reálném čase nástrojeokamžitě detekuje útoky a sleduje potenciální bezpečnostní hrozby korelací dat protokolu s více než 30 předdefinovanými pravidly pro detekci útoků hrubou silou, blokování účtů, krádeží dat, útoků webového serveru a mnoha dalších. Je také vybaven vlastním analyzátorem protokolů, který může extrahovat pole z jakéhokoli formátu protokolu čitelného člověkem. Produkt skutečně poskytuje jedinou konzolu pro prohlížení všech vašich dat protokolu zabezpečení.
The SpravovatEngine EventLog Analyzer je k dispozici v bezplatné edici se sníženou funkcíkterý podporuje pouze 5 zdrojů protokolu nebo v prémiové edici, která začíná na 595 USD a liší se podle počtu zařízení a aplikací. K dispozici je také bezplatná plně funkční 30denní zkušební verze.
6. Graylog
Graylog je bezplatná platforma pro správu protokolů s otevřeným zdrojovým kódemse spoustou zajímavých funkcí. Tento nástroj může analyzovat a obohacovat protokoly a data událostí z téměř jakéhokoli zdroje dat. Jeho zpracovávací potrubí umožňují určitou flexibilitu ve směrování, blacklistu, úpravě a obohacení zpráv v reálném čase. Nástroj prohledá terabajty dat protokolu, aby zjistil a analyzoval důležité informace. Jeho výkonná a dosti unikátní syntaxe vyhledávání vám umožní najít přesně to, co hledáte.
S Graylog, máte možnost vytvářet přizpůsobenédashboardy, které umožňují vizualizovat konkrétní metriky a sledovat trendy z jednoho centrálního umístění. Můžete použít statistiku polí, rychlé hodnoty a grafy na stránce s výsledky vyhledávání k podrobné analýze vašich dat. Kromě toho produkt nabízí možnost spouštět akce nebo vydávat oznámení o událostech, jako jsou neúspěšné pokusy o přihlášení, výjimky nebo zhoršení výkonu.
Graylog je k dispozici jako bezplatný a otevřený zdrojomezená verze, která má také omezenou podporu. K dispozici je také podniková verze s rozšířenými funkcemi a neomezenou podporou. Je také zdarma až 5 GB protokolů denně. V závislosti na tom, jak velká je vaše síť. Mohlo by to stačit pro vaši potřebu. Ceny licencí a podpory lze získat kontaktováním Graylog odbyt.
7. Sada pro správu protokolů WhatsUp
The Sada pro správu protokolů WhatsUp je vynikající nástroj od Ipswitch. Ipswitch, je třeba připomenout, je společnost za WhatsUp Gold, super populární nástroj pro monitorování sítě. Jedná se o automatizovaný nástroj, který shromažďuje, ukládá, archivuje a ukládá systémové protokoly, události systému Windows a protokoly W3C / IIC. Nejedná se pouze o souhrnné protokoly a události, ale jeho nepřetržité sledování a analýza záznamů vás upozorní na jakoukoli neobvyklou aktivitu.
The Sada pro správu protokolů WhatsUp bude sledovat často auditované události, napříkladpřístupová práva a oprávnění k souborům, složkám a objektům a generovat výstrahy podle potřeby. Shromážděné události také používají k sestavování zpráv o shodě pro soulad HIPAA, SOX, FISMA, PCI, MiFID nebo Basel II. Tento software může také pomoci transformovat vaše nezpracovaná data protokolu na smysluplné informace pro manažery nebo týmy IT bezpečnosti, a to pomocí výkonného automatického filtrování, korelace, vykazování a převodu funkcí.
The Sada pro správu protokolů WhatsUp je ve skutečnosti sada aplikací, které obsahují následující nástroje:
- Archiver událostí: Tento nástroj automatizuje sběr protokolu, zúčtování a konsolidaci.
- Alarm události: Nástroj pro sledování souborů protokolu a přijímání oznámení o klíčových událostech v reálném čase.
- Event Analyst: Analýzy a zprávy o datech a trendech protokolu; automaticky distribuovat zprávy vedení, bezpečnostním úředníkům, auditorům a dalším zúčastněným stranám.
- Event Rover: Sjednocená konzole pro důkladnou forenzní analýzu na všech serverech a pracovních stanicích, která zvyšuje účinnost a šetří čas.
Informace o cenách pro internet Sada pro správu protokolů není snadno k dispozici od Ipswitch. Produkt lze zakoupit buď přímo od vydavatele, nebo prostřednictvím prodejní sítě Ipswitch. K dispozici je samozřejmě také bezplatná zkušební verze.
8. LogDNA
LogDNA je označována jako „nejrychlejší, nejintuitivnější a nákladově efektivní systém správy protokolů“. To bývá pravda. Hned od začátku instalace produktu trvá jen několik minut, než začnete shromažďovat a sledovat protokoly. Bez ohledu na to, jak jsou protokoly generovány a přenášeny, jsou v produktu k dispozici stovky vlastních schémat integrace, které vám pomohou centralizovat protokoly do jednoho umístění.
LogDNA je dostupná buď v cloudu, nebo vverze hostovaná podle vaší preference. Jedná se o vysoce škálovatelný produkt, který dokáže zpracovat stovky tisíc protokolů za sekundu a desítky terabajtů za den, přičemž nabízí maximální bezpečnost a analýzu protokolu v reálném čase. Jak společnost, tak její produkty jsou kompatibilní s SOC2, PCI a HIPAA a zároveň mají certifikaci Privacy Shield.
Jednoduchý cenový model společnosti LogDNA pro placení za GBeliminuje smlouvy a přidělení pevných dat, což představuje jednu z nejnižších celkových nákladů na vlastnictví jakéhokoli řešení pro monitorování a správu placených protokolů. K dispozici je několik plánů předplatného s rostoucími funkcemi. Spodní program je zdarma a ceny za placené plány se liší od 1,50 $ / GB / měsíc do 3 $ / GB / měsíc v závislosti na době uchovávání a počtu uživatelů. K dispozici je také bezplatná, plně funkční a neomezená 14denní zkušební verze.
Komentáře