Dnešní systémy generují tunu protokolovánídat, není divu, že administrátoři vždy hledají řešení pro správu protokolů. Protokoly jsou ve výchozím nastavení často ukládány lokálně. To dává smysl, protože usnadňuje jejich propojení s jejich zdrojem. Ale když se pokoušíme řešit problémy a najít jejich hlavní příčinu, musíme se někdy podívat na více souborů protokolu na mnoha zařízeních. Nebylo by hezké, kdyby byly všechny protokoly ze všech zařízení uloženy na jednom centralizovaném místě? To je účelem správy protokolu. A pokud je vaše platforma pro výběr Linux, existuje spousta možností. Čtěte dále a objevujeme nejlepší správu protokolu pro Linux
Začneme definováním správy protokolu. Uvidíte, že to může být o něco více než jen centralizace úložiště protokolů. Dále probereme různé technologie protokolování. Jsou základním kamenem správy protokolů a bez nich by pravděpodobně neexistovaly. Pokračujeme v rozlišování serverů syslog od systémů správy protokolů a zjistíme, že mezi nimi neexistuje jasné vymezení. Dále se krátce zastavíme a probereme systémy zabezpečení informací a správy událostí. Jsou to další typ systému, který je často zaměňován se správou protokolů, a to díky poněkud nejasné definici každého z nich. Nakonec zkontrolujeme nejlepší správu protokolů pro Linux.
Co je Správa protokolů?
Než budeme moci hovořit o správě protokolů, pojďmedefinovat, co je protokol. Jednoduše definovaný protokol je automaticky vytvořená a časově označená dokumentace události relevantní pro konkrétní systém. Jinými slovy, kdykoli dojde k události v systému, je vygenerován protokol. Systémy a zařízení budou generovat protokoly pro různé typy událostí a mnoho systémů poskytne správcům určitý stupeň kontroly nad tím, která událost generuje protokol a která nikoli.
Pokud jde o správu protokolu, odkazuje se jednoduše naprocesy a zásady používané ke správě a usnadnění generování, přenosu, analýzy, ukládání, archivace a případné likvidace velkého objemu dat protokolu. Ačkoli to není jasně uvedeno, zahrnuje správa logů centralizovaný systém, ve kterém se shromažďují protokoly z více zdrojů. Správa protokolů však není jen sbírka protokolů. Je to nejdůležitější část řízení. Systémy správy protokolů mají často více funkcí, přičemž sběr protokolů je pouze jednou z nich.
Jakmile jsou protokoly přijaty správou protokolůsystému, musí být standardizovány do společného formátu, protože různé systémy formátují protokoly odlišně a obsahují různá data. Někteří začínají s datem a časem, jiní s číslem události. Některé obsahují pouze ID události, zatímco jiné obsahují fulltextový popis události. Jedním z účelů systémů správy protokolu je zajistit, aby všechny shromážděné položky protokolu byly uloženy v jednotném formátu. To bude korelaci událostí a eventuální vyhledávání mnohem jednodušší po řádku.
Dokonce i korelace a vyhledávání jsou další dvahlavní funkce několika systémů správy protokolů. To nejlepší z nich obsahuje výkonný vyhledávač, který administrátorům umožňuje nosit přesně to, co potřebují. Korelační funkce automaticky seskupí související události, i když jsou z různých zdrojů. Jak - a jak úspěšně - to dosahuje jiný systém správy protokolů, což je hlavní odlišující faktor.
PŘEČTĚTE SI také: 15 nejlepších nástrojů pro monitorování sítě (naše vlastní recenze)
Logging Technologies
Správa protokolů by byla mnohem obtížnější,možná ani nemožné, kdyby to nebylo pro protokolování protokolů. Několik jich existuje. Definují, jaká data mají být zahrnuta do protokolů, jak by měla být formátována, a někdy, jak mají být přenášena mezi systémy.
Syslog je pravděpodobně nejpoužívanější protokolováníprotokol, zejména ve světě Linuxu. Tato technologie byla vynalezena na počátku 80. let a stala se de facto standardem pro všechny unixové systémy. Jedním z největších přínosů technologie syslog je to, jak usnadňuje oddělení mezi systémem nebo softwarem, který generuje protokoly, systémem, který je ukládá, a softwarem, který je podává a analyzuje. Použití technologie Syslog usnadňuje správu protokolů. A Syslog není exkluzivní Unix. Mnoho zařízení jiných než Unix, jako jsou přepínače, směrovače a nejrůznější zařízení od mnoha dodavatelů, používají variantu protokolu syslog.
Existují další technologie protokolování. Například Microsoft Windows používá jiný systém protokolování. Může to souviset s tím, že operační systémy a aplikace Windows mají protokoly, které obvykle obsahují podrobnější informace, než dovoluje technologie Syslog. Naštěstí funkce Windows Event Collector poskytují prostředky pro správu protokolů, které různé systémy mohou použít k přijímání událostí od hostitelů Windows. Tento příspěvek pojednává o správě logů systému Linux, takže neztrácejte příliš mnoho času na systému Windows.
Bez ohledu na to, jaká technologie protokolování se používá,důležitou součástí správy protokolů je konfigurace zařízení pro odesílání jejich protokolů do systému správy. Jiné typy nástrojů, jako jsou síťové monitorovací systémy, mohou načítat data ze systémů, které sledují, ale se správou protokolů musí být každému zařízení „sděleno“, kam má odesílat své protokoly. Je to však relativně jednoduchý úkol, který se často provádí vydáním jednoduchého příkazu.
DALŠÍ ČTENÍ: Nejlepší software pro mapování a topologii síťových diagramů
Protokolové servery nebo Správa protokolů?
Od té doby je k dispozici na každém Unixusystém - včetně Linuxu - na nějakou dobu, Syslog je často používán jako log server, kdy jeden počítač přijímá Syslog data od několika dalších. I když má toto centralizované úložiště protokolů určité výhody, nestačí ho nazvat správou protokolů.
Chcete-li si zasloužit název systému správy protokolu,produkt musí obsahovat alespoň některé pokročilejší funkce. Podle Wikipedie „správa protokolu zahrnuje následující funkce: sběr protokolu, centralizovaná agregace protokolu, dlouhodobé ukládání a uchovávání protokolu, rotace protokolu, analýza protokolu, vyhledávání v protokolu a podávání zpráv“. Wow! To je spousta funkcí. Protokolové servery naproti tomu často nabízejí sběr a ukládání protokolů a jen zřídka víc než to.
Slovo (nebo dvě) o společnosti SIEM
Další populární technologie, která je spojenas protokoly a často zaměňovanými se systémy správy protokolů je Security Information and Event Management nebo SIEM. To se liší od správy protokolů, ale úzce souvisí. Řádek je mezi nimi tak tenký, že některé produkty inzerované jako systémy správy protokolů jsou ve skutečnosti systémy SIEM, zatímco některé základní systémy SIEM nejsou ničím jiným než pokročilými systémy správy protokolů.
Zmatek pramení ze skutečnosti, že protokolspráva - nebo přinejmenším logaritmická analýza - je důležitou součástí systémů SIEM. Rozlišuje systémy SIEM v tom, že provádějí analýzu protokolů s konečným cílem identifikovat bezpečnostní problémy. Budou například hledat příznaky neúspěšných přihlašovacích údajů, které by mohly být sdělovacím znamením neoprávněného pokusu o narušení. Tyto systémy průběžně skenují záznamy protokolu a hledají něco neobvyklého. Zatímco některé systémy SIEM obsahují rozsáhlé funkce správy protokolů, některé používají externí systém správy protokolů a není neobvyklé, že oba systémy běží vedle sebe.
SOUVISEJÍCÍ ČTENÍ: Nejlepší IP skenery pro Mac
Nejlepší správa protokolů pro Linux
Doufejme, že nyní máme společné porozuměníco je správa protokolů a co to není. Pojďme se tedy podívat, co je k dispozici pro Linux. Nejprve si ale něco objasníme. Co se týká správy logů Linuxu, máme na mysli systémy správy logů, které pojmou logy Linuxu a které budou běžet buď na platformě Linux, nebo v cloudu. Některé z našich výběrů - zejména cloudové systémy - budou také fungovat s protokoly z jiných platforem.
1. Papertrail SolarWinds (DOSTUPNÝ PLÁN ZDARMA)
SolarWinds se stal jménem domácnosti mezi sítěmiadministrátoři. Vytváří některé z nejlepších nástrojů téměř 20 let, přináší nám skvělé nástroje pro sledování šířky pásma a jeden z nejlepších analyzátorů a sběratelů NetFlow. Společnost je také známá vydáváním několika bezplatných nástrojů, které řeší některé specifické potřeby správců sítě, jako je kalkulačka podsítě nebo server syslog.
- PLÁN ZDARMA: Papertrail SolarWinds
- Oficiální odkaz ke stažení: https://papertrailapp.com/plans
Ne tak dávno, SolarWinds získal Papírová stopa, oblíbený systém správy protokolů. Shromažďuje protokolové soubory z celé řady populárních produktů, jako jsou Apache nebo MySQL, stejně jako aplikace Ruby on Rails, různé cloudové hostingové služby a další standardní syslogové a textové protokolové soubory. Papírová stopa uživatelé pak mohou použít webové vyhledávací rozhranínebo nástroje příkazového řádku k vyhledávání v těchto souborech, které pomáhají diagnostikovat různé problémy. Papertrail se také integruje s dalšími produkty SolarWinds, jako jsou Librato a Geckoboard, pro výsledky grafů.
Papírová stopa je cloudový software jako služba (SaaS)nabídka od SolarWinds. Být založen na cloudu znamená, že bude fungovat dobře v prostředí se všemi systémy Linux. Platforma se snadno implementuje, používá a pochopí a během několika minut vám poskytne okamžitou viditelnost ve všech systémech. Kromě toho má produkt velmi účinný vyhledávač, který dokáže vyhledávat uložené i stokové protokoly. A je to bleskurychlé.
Papírová stopa je k dispozici v rámci několika plánů včetně bezplatnéhoplán. Je to však poněkud omezené a každý měsíc umožňuje pouze 100 MB protokolů. V prvním měsíci však povolí 16 GB protokolů, což je ekvivalentní bezplatnému 30dennímu zkušebnímu období. Placené plány začínají na 7 $ / měsíc pro 1GB / měsíc logů, 1 rok archivu a 1 týden indexu. Filtrování hluku umožňuje nástroji zachovat data tím, že neuloží zbytečné protokoly.
2. Loggly
Loggly je další online služba založená na cloudu. Především konsolidátor protokolů, ale také nabízí funkce analýzy protokolů. Vzhledem k tomu, že tento systém je založen na cloudu, tento systém nevyžaduje žádnou instalaci a je připraven použít minutu, kterou jste si předplatili. Vaše systémy a zařízení bude samozřejmě nutné nakonfigurovat tak, aby pravidelně odesílaly své standardní protokolové soubory na online server.
- ZKUŠEBNÍ VERZE ZDARMA: Loggly plány
- Oficiální odkaz: https://www.loggly.com
Loggly pak převede přijatá data protokolu do astandardní formát, což umožňuje analyzátoru zpracovávat záznamy z různých zdrojů a umožňovat sledování a korelaci událostí ve všech systémech, bez ohledu na jejich operační systém nebo technologii protokolování. Zdroje dat protokolu nejsou omezeny na vaše místní servery. Systém je samozřejmě schopen zpracovávat protokoly generované online servery, jako je Amazon's AWS, a může zahrnovat zprávy vytvořené konkrétními aplikacemi, jako jsou Docker a Logstash, abychom jmenovali alespoň některé.
The Loggly služba je k dispozici podle tří různých plánů,se zvyšujícími se limity zpracování dat a dobami uchovávání. Musíte si vybrat ten pravý, abyste měli dostatek místa pro data protokolu. Nazývá se plán vstupní úrovně Loggly Lite. Použití je zdarma. V rámci tohoto plánu můžete nahrát 200 MB dat protokolu denně a systém uchová každý záznam po dobu sedmi dnů. Další je standardní plán, který vám dává příspěvek na nahrávání 1 GB denně a uchovává záznamy po dobu 30 dnů. Placené plány také umožňují používat více uživatelských účtů. S balíčkem Standard můžete mít tři uživatelské účty. Nazývá se nejvyšší úroveň Loggly Podnik. Počet uživatelských účtů, které můžete nastavit, není nijak omezen a ceny se liší v závislosti na množství kapacity pro upload a době uchovávání, kterou požadujete. Platba za všechny placené programy může být měsíční nebo roční a standardní plán je k dispozici zdarma 14denní zkušební období.
3. Splunk
Splunk je dobře známo - v rámci správy systémukomunita - komplexní systém správy protokolů pro systémy Linux, Mac OS a Windows. Někteří považují za základní systém správy protokolů pouze za plnohodnotný systém prevence narušení. Produkt je k dispozici ve třech verzích. Nahoře je Splunk Enterprise což je spíš systém správy sítě než nástroj správy protokolu. Ceny začínají na 173 $ měsíčně a získáte spoustu funkcí.
K dispozici je také bezplatná verze Splunk což je v podstatě stejný nástroj bez některýchjeho nejpokročilejší funkce. V zásadě je omezena na analýzu souborů protokolu. Můžete vložit jakýkoli ze svých standardních protokolovacích souborů nebo poslat živá data ze souboru do analyzátoru. Bezplatná verze má několik omezení. Může mít například pouze jeden uživatelský účet a jeho datová propustnost je omezena na 500 MB protokolů denně. Funkce třídění a filtrování dat je integrována do Splunk, což usnadňuje odstraňování problémů. Tyto funkce můžete použít k rozdělení záznamů protokolu podle data a zápisu každé skupiny do nových souborů. Tato funkce je ve skutečnosti velmi flexibilní.
4. Server protokolu Nagios
Nagios je nejlépe známý pro svůj vynikající software pro monitorování sítě, ale jeho Log Server je stejně zajímavý. Tento produkt se jednoduše nazývá Server protokolu Nagios a nabízí centralizovanou správu protokolů,monitorování a analýzy. Tento nástroj může výrazně zjednodušit proces prohledávání vašich dat protokolu. Umožňuje také nastavit upozornění tak, aby byla upozorňována na potenciální hrozby. Kromě toho má software vysokou dostupnost a vestavěné selhání přímo v něm. Jeho pomocníci pro snadné nastavení zdroje vám navíc pomohou rychle nakonfigurovat servery tak, aby odesílaly všechna data protokolu a začaly sledovat protokoly během několika minut.
The Server protokolu Nagios umožňuje snadnou korelaci událostí protokoluna všechny servery pouhými několika kliknutími. Systém vám umožní prohlížet data protokolu v reálném čase, což vám dává možnost analyzovat a řešit problémy, když k nim dojde. Produkt se vyznačuje působivou škálovatelností a bude i nadále vyhovovat vašim potřebám s růstem vaší organizace. Další Server protokolu Nagios instance mohou být přidány do monitorovacího klastru, což vám umožní rychle přidat více energie, rychlosti, úložiště a spolehlivosti.
Jednostupňová cena za internet Server protokolu Nagios činí 3 995 $ a přesto se zdá, že bezplatná zkušební verze není k dispozici, bezplatné online demo je, pokud byste se raději měli podívat na produkt z první ruky.
5. Graylog
Další na našem seznamu je produkt s názvem Graylog. Produkt nabízí mnoho zajímavých funkcí. Nástroj analyzuje a obohacuje protokoly a data událostí z jakéhokoli zdroje dat. Jeho zpracovávací potrubí umožňují určitou flexibilitu ve směrování, blacklistu, úpravě a obohacení zpráv v reálném čase. Graylog bude prohledávat terabajty dat protokolu, aby zjistil a analyzoval důležité informace. Výkonná syntaxe vyhledávání vám umožní najít přesně to, co hledáte.
S Graylog, můžete vytvořit dashboardy pro vizualizaci metrika sledovat trendy na jednom centrálním místě. Pomocí statistik polí, rychlých hodnot a grafů na stránce s výsledky vyhledávání se můžete ponořit do hlubší analýzy svých dat. Systém má také možnost spouštět akce nebo vydávat oznámení o událostech, jako jsou neúspěšné pokusy o přihlášení, výjimky nebo zhoršení výkonu.
Graylog je bezplatný systém založený na otevřených zdrojových souborech protokoluvám může poskytnout mnohem více funkcí než jen nástroj pro archivaci protokolu. Tento analyzátor žurnálů má grafické uživatelské rozhraní a může běžet na Ubuntu, Debianu, CentOS a SUSE Linuxu. Můžete jej také spustit na virtuálním počítači v systému Microsoft Windows a můžete nainstalovat systém Graylog na Amazon AWS.
6. SpravovatEngine EventLog Analyzer
SpravovatEngine, což je další běžný název mezi správcem sítě, vytváří vynikající systém správy protokolů nazvaný SpravovatEngine EventLog Analyzer. Produkt bude shromažďovat, spravovat, analyzovat, korelovat a prohledávat data protokolu z více než 700 zdrojů pomocí kombinace sbírání protokolů bez agentů a agentů a import protokolu.
Rychlost je jedním z SpravovatEngine EventLog AnalyzerSíla. Může zpracovávat logovací data rychlostí 25 000 log / s a detekovat útoky v reálném čase. Může také provádět rychlou forenzní analýzu ke snížení dopadu narušení. Auditní funkce systému se rozšiřují na protokoly obvodových obvodů zařízení, aktivity uživatelů, změny účtu serveru, přístupy uživatelů a další, což vám pomůže splnit potřeby auditu zabezpečení.
The SpravovatEngine EventLog Analyzer je k dispozici v bezplatné edici se sníženou funkcíkterý podporuje pouze 5 zdrojů protokolu nebo v prémiové edici, která začíná na 595 USD a liší se podle počtu zařízení a aplikací. K dispozici je také bezplatná plně funkční 30denní zkušební verze.
Komentáře