Dagens systemer genererer en masse logningdata. På mange platforme logges hver eneste begivenhed, vigtig eller ej, et eller andet sted. Logger gemmes typisk lokalt. Dette giver mening, da logfiler er knyttet til deres kilde. Men når vi prøver at løse problemer og finde deres grundlæggende årsag, betyder det ofte, at vi er nødt til at se på flere logfiler på adskillige enheder. Ville det ikke være rart, hvis alle logfiler fra alle enheder blev gemt et sted? Loghåndtering er det og meget mere, som du er ved at finde ud af. Og i dag gennemgår vi de øverste logstyringssystemer.
Vi starter med at forsøge at forklare hvilken logledelse er. Som du kan se, kan det være meget mere end bare at centralisere logopbevaring. Dernæst skal vi tale om loggingsprotokoller. Det er temmelig vigtigt, da loghåndtering sandsynligvis ikke ville eksistere uden dem. Vi forsøger derefter at differentiere syslog-servere fra logadministrationssystemer. Desværre er der ingen klar afgrænsning mellem dem. Vi følger med en diskussion om sikkerhedsinformation og begivenhedsstyringssystemer, fordi dette er en anden type system, der ofte forveksles med logstyring, takket være den lidt uklare definition af hver. Og til sidst gennemgår vi de otte øverste logstyringssystemer, vi kunne finde.
Loghåndtering - Hvad det er
Før vi kan tale om loghåndtering, lad osse hvad en log er. Enkelt defineret er en log den automatisk producerede og tidsstemplede dokumentation af begivenheder, der er relevante for et bestemt system. Hver gang en begivenhed finder sted på et system, genereres en log. Forskellige systemer genererer logfiler til forskellige begivenheder, og mange systemer giver administratorerne en vis grad af kontrol over, hvad der genererer en log, og hvad der ikke gør.
Når vi taler om logstyring, er vi detunder henvisning til de processer og politikker, der bruges til at administrere og lette generering, transmission, analyse, opbevaring, arkivering og eventuel bortskaffelse af store mængder logdata. Loghåndtering indebærer et centraliseret system, hvor logfiler fra flere kilder indsamles.
Men logstyring er ikke kun logindsamling. Ledelsesdelen er den vigtigste. Logstyringssystemer har typisk flere funktionaliteter, idet logfiler kun er en af dem.
Når logfiler er modtaget af logstyringensystem, skal de "oversættes" til et fælles format. Forskellige systemer formaterer logfiler forskelligt og inkluderer forskellige data i deres logfiler. Nogle starter en log med dato og tid, andre starter den med et hændelsesnummer. Nogle inkluderer kun et log-id, mens andre indeholder en fuldstændig tekstbeskrivelse af begivenheden. Et af formålene med logstyringssystemer er at sikre, at alle indsamlede logposter gemmes i et ensartet format. Dette vil gøre søgning og hændelseskorrelation meget lettere nede på linjen.
At tale om søgning og endda sammenhæng,dette er en anden vigtig funktion i mange logadministrationssystemer. Nogle af dem har en kraftfuld søgemaskine, der giver administratorer mulighed for at nulstille præcist, hvad de har brug for. Korrelationsfunktioner grupperer automatisk relaterede begivenheder, selvom de kommer fra forskellige kilder. Hvordan — og hvor succesfuldt — forskellige logadministrationssystemer opnår det er en væsentlig differentierende faktor.
Protokoller til logning
Loghåndtering ville være meget vanskeligere, hvisoverhovedet muligt, hvis det ikke var til loggingsprotokoller. Der findes et par af dem, der definerer, hvilke data der skal inkluderes i logfiler, hvordan de skal formateres, og hvordan de skal overføres mellem systemer.
Syslog er uden tvivl den mest anvendte loggingsprotokol. Den blev opfundet i begyndelsen af firserne og er blevet de-facto-standarden for Unix-lignende systemer. Et af de største aktiver i syslog-protokollen er, hvordan den adskiller den software, der genererer logfiler, det system, der gemmer dem, og den software, der rapporterer og analyserer dem. Brug af Syslog-protokollen gør loghåndtering meget lettere. Mange ikke-Unix-enheder, såsom switches routere og andet netværksudstyr fra mange leverandører, bruger en variant af syslog-protokollen.
Microsoft Windows bruger, som du måske har gættet andet loggingssystem. Det kan have at gøre med det faktum, at Windows-operativsystemer og applikationer har logfiler, der typisk indeholder meget mere information end syslog tillader. Heldigvis giver Windows Event Collector-funktionerne et middel til at logadministrationssystemer kan bruge til at modtage begivenheder fra Windows-værter.
Ligegyldigt hvilken loggprotokol, der bruges, envigtig del af logstyring er at konfigurere enheder til at sende deres logfiler til styringssystemet. Dette er forskelligt fra andre værktøjer, såsom netværksovervågningssystemer, hvor værktøjet henter data fra værterne.
Logservere mod loghåndtering
Siden det har været tilgængeligt på alle Unix-lignendesystem i et stykke tid, Syslog hvis det ofte bruges som en log-server med en computer, der modtager syslog-data fra flere andre. Selvom denne centraliserede opbevaring af logfiler har klare fordele, er det ikke logstyring.
For at fortjene navnet på Log Management System, aProduktet skal mindst indeholde nogle af de mere avancerede funktioner. Ifølge Wikipedia består logstyring af følgende funktioner: logopsamling, centraliseret logopsamling, langvarig logopbevaring og opbevaring, logrotation, loganalyse, logsøgning og rapportering. Log-servere tilbyder ofte kun logopsamling og -lagring og sjældent mere end det. Hvert af logstyringssystemerne på vores øverste liste tilbyder mindst nogle af de mere avancerede funktioner.
Hvad med SIEM-systemer?
En anden populær teknologi, der ofte erforbundet med logfiler og forvekslet med logadministrationssystemer er Sikkerhedsinformation og begivenhedsstyring eller SIEM. Dette er meget forskelligt fra logstyring, selvom det er tæt forbundet. Faktisk er nogle produkter, der annonceres som logadministrationssystemer, faktisk SIEM-systemer, mens nogle basale SIEM-systemer ikke er andet end logstyringssystemer.
Hovedårsagen til denne forvirring er denne logstyring - eller i det mindste loganalyse - er en vigtig komponent i SIEM-systemer. Faktisk tager SIEM-systemer typisk logstyring til næste niveau ved at tilføje noget intelligens til processen. Disse systemer udfører loganalyse med det endelige mål at identificere sikkerhedsproblemer. De vil for eksempel kigge efter tegn på mislykket login, hvilket ville indikere et uautoriseret indtrængende forsøg. Disse systemer scanner automatisk logposter på udkig efter noget usædvanligt.
SIEM-systemer har mere at gøre med it-sikkerhedend it-styring, og mens nogle indeholder omfattende logadministrationsfunktioner, kan mange også bruge et eksternt logadministrationssystemer, og det er ikke ualmindeligt at se begge systemer køre side om side.
Den bedste loghåndteringssoftware
Nu hvor vi har en fælles forståelse af hvadloghåndtering er, og hvad det ikke er, lad os se på hvad der er tilgængeligt. Vi har søgt på markedet efter nogle af de bedste loghåndteringssystemer. Vores første konstatering er, at der er mange af dem, og mange af dem meget gode. Men vi har kun så meget plads, så vi er ved at gennemgå de otte mest interessante, vi kunne finde.
1. SolarWinds Papertrail
SolarWinds er et almindeligt navn inden fornetværksadministrationsværktøjer. Det har eksisteret i næsten 20 år og har bragt os et af de bedste overvågningsværktøjer til båndbredde og et af de bedste NetFlow-analysatorer og samlere. Virksomheden er også kendt for at udgive flere gratis værktøjer, der imødekommer nogle specifikke behov hos netværksadministratorer, såsom subnetberegner eller en syslog-server.
For et par år siden erhvervede SolarWinds Papertrail, et populært logstyringssystem. Det samler logfiler fra en lang række populære produkter som Apache eller MySQL samt Ruby on Rails-apps, forskellige cloud-hostingtjenester og andre standard tekstlogfiler. Papertrail brugere kan derefter bruge den webbaserede søgegrænseflade eller kommandolinjeværktøjerne til at søge gennem disse filer for at hjælpe med at diagnosticere fejl og ydelsesproblemer. Papertrail integrerer også med andre SolarWinds-produkter, som f.eks. Librato og Geckoboard til grafisk resultat.
Papertrail er en skybaseret software som en service (SaaS)tilbud fra SolarWinds. Det er let at implementere, bruge og forstå. Og det giver dig øjeblikkelig synlighed på tværs af alle systemer på få minutter. Værktøjet har en meget effektiv søgemaskine, der kan søge i både gemte og streaming-logfiler. Og det er lynet hurtigt.
Papertrail er tilgængelig under flere planer, inklusive en gratisplan. Det er dog noget begrænset og tillader kun 100 MB logfiler hver måned. Det tillader dog 16 GB logfiler i den første måned, hvilket svarer til at give dig en gratis 30-dages prøveperiode. Betalte planer starter ved $ 7 / måned for 1 GB / måned logfiler, 1 års arkiv og 1 uges indeks. Støjfiltrering gør det muligt for værktøjet at bevare data ved ikke at gemme unyttige logfiler.
2. SolarWinds Log & Event Manager (GRATIS PRØVEVERSION)
Vores næste post er et andet produkt fra SolarWinds kaldet the SolarWinds Log & Event Manager. I modsætning til vores tidligere indlæg er dette enlokalt installeret produkt. Og det er også meget mere end bare et logadministrationssystem. Mange af de avancerede funktioner i dette produkt sætter det i SIEM-serien. Det har for eksempel ventekorrelation i realtid og genanvendelse i realtid.
Her er en oversigt over SolarWinds Log & Event Manager'S vigtigste funktioner. Det eliminerer trusler hurtigt ved hjælp af øjeblikkelig detektion af mistænkelig aktivitet og automatiserede svar. Det kan også udføre sikkerhedsbegivenhedsundersøgelser og kriminalteknologi til begrænsning og overholdelse. Og når vi taler om overholdelse, vil produktet give dig mulighed for at demonstrere det, takket være sin revisionsprøvede rapportering til blandt andet HIPAA, PCI DSS og SOX. Dette værktøj har også filintegritetsovervågning og USB-enhedsovervågning, to funktioner, der er langt over det, vi ofte ser i logadministrationssystemer.
Priser for SolarWinds Log & Event Manager start ved $ 4585 for op til 30 overvågede noder. Licenser til op til 2500 noder kan købes, hvilket gør produktet meget skalerbart. Og hvis du vil verificere, at produktet er det rigtige for dig, er en gratis, komplet 30-dages prøveperiode tilgængelig.
3. ipswitch Log Management Suite
Det Log Management Suite er et værktøj fra Ipswitch, det samme firma derbragte os WhatsUp Gold, et enormt populært værktøj til overvågning af netværk. Dette er et automatiseret værktøj, der indsamler, gemmer, arkiverer og gemmer systemlogfiler, Windows-begivenheder og W3C / IIC-logfiler. Desuden vil dens kontinuerlige logovervågning advare dig om enhver mistænkelig aktivitet.
Ofte reviderede begivenheder såsom adgangsrettighederog fil-, mappe- og objektprivilegier kan følges, hvilket genererer alarmer efter behov og bruges til at oprette compliancerapporter til HIPAA, SOX, FISMA, PCI, MiFID eller Basel II compliance. Værktøjet kan også hjælpe dig med at omdanne dine rå logdata til meningsfulde data for ledere eller IT-sikkerhedsteam takket være dets automatiske filtrering, korrelering, rapportering og konvertering.
Prisoplysninger for Log Management Suite er ikke let tilgængelig fra Ipswitch. Produktet kan købes enten direkte fra udgiveren eller gennem Ipswitch's forhandlernetværk. En gratis prøveversion er også tilgængelig.
4. ManageEngine EventLog Analyzer
ManageEngine, et andet almindeligt navn med netværksadministrator, gør et fremragende logadministrationssystem kaldet ManageEngine EventLog Analyzer. Produktet indsamler, administrerer, analyserer, korrelerer og søger gennem logdataene fra over 700 kilder ved hjælp af en kombination eller agentløs og agentbaseret logopsamling samt logimport.
Hastighed er en af ManageEngine EventLog AnalyzerStyrke. Det kan behandle logdata med imponerende 25.000 logs / sekund og opdage angreb i realtid. Det kan også udføre hurtig retsmedicinsk analyse for at reducere virkningen af et brud. Systemets revisionsfunktioner udvider til netværkets perimeterenheds logfiler, brugeraktiviteter, ændringer af serverkonto, brugeradgang og mere, hvilket hjælper dig med at imødekomme sikkerhedsrevisionsbehov.
Det ManageEngine EventLog Analyzer er tilgængelig i en funktionsreduceret gratis udgavesom kun understøtter 5 logkilder eller i en premiumudgave, der starter ved $ 595 og varierer afhængigt af antallet af enheder og applikationer. En gratis, komplet 30-dages prøveversion er også tilgængelig.
5. Nagios Log Server
Nagios er bedst kendt for sin fremragende netværksovervågningssoftware, men dens Log Server er muligvis lige så interessant. Helt kaldet Nagios Log Server, det tilbyder centraliseret loghåndtering, overvågning og analyse. Det Nagios Log Server forenkler processen med at søge i dine logdata. Det giver dig også mulighed for at indstille advarsler til at blive underrettet om potentielle trusler. Desuden har softwaren stor tilgængelighed og fail-over indbygget lige i. Dets nemme kildeopsætningsguider hjælper dig med hurtigt at konfigurere servere til at sende alle logdata og begynde at overvåge dine logfiler på få minutter .
Det Nagios Log Server gør det nemt for dig at korrelere loghændelser på tværs af alleservere med få klik. Og det giver dig mulighed for at se logdata i realtid, hvilket giver dig muligheden for at analysere og løse problemer, når de opstår. Produktet har imponerende skalerbarhed, og det vil fortsat opfylde dine behov, når din organisation vokser. Ekstra Nagios Log Server forekomster kan føjes til en overvågningsklynge, så du hurtigt kan tilføje mere strøm, hastighed, opbevaring og pålidelighed.
Enkeltinstansprisen for Nagios Log Server er $ 3 995 og selvom en gratis prøveversion ikke ser ud til at være tilgængelig, er en gratis online demo, hvis du foretrækker at have et førstehånds kig på produktet.
6. Alert Logic Log Manager
Alert Logics primære fokus er sikkerhed og overholdelse. Og da logstyring er tæt knyttet til begge, er det ingen overraskelse, at virksomheden tilbyder Alert Logic Log Manager. Dette skybaserede værktøj tilbyder automatiseret ogsamlet logadministration på tværs af alle dine miljøer. Det vil indsamle, aggregere og søge logdata fra sky-, server-, applikations-, sikkerheds- og netværksaktiver.
Det Alert Logic Log Manager inkluderer logovervågning og analyse samtloggennemgang, der udføres live af menneskelige analysatorer. Alert Logics eksperter vil advare dig om mulig trusselaktivitet 365 dage om året. Tjenesten vil også hjælpe med at opfylde kravene til loggennemgang i SOC 2, HIPAA og SOX og aflaste byrden ved at gennemgå logfiler og opfølgning af begivenheder for at overholde PCI / DSS 10.6, 10.6.1, 10.6.3
Prisoplysninger for Alert Logic Log Manager er ikke let tilgængelig fra nettet, og du skal kontakte Alert Logic-salg for at få et formelt tilbud. En gratis prøveversion er heller ikke tilgængelig, men en gratis demo kan arrangeres ved at kontakte Alert Logic.
7. LogDNA
Grundlagt i 2015, LogDNA er det nye barn på blokken. Virksomheden hævder, at "LogDNA er den hurtigste, mest intuitive ogomkostningseffektivt logstyringssystem ”. Det hele starter med installationen, der kun tager et par minutter, før du kan begynde at overvåge dine logfiler. Uanset hvordan logfiler genereres og transmitteres, er hundredevis af tilpassede integrationsskemaer tilgængelige til at centralisere logfiler i en enkelt rude.
LogDNA kan være skybaseret eller selvhost, afhængigt afdin præference. Det er meget skalerbart og kan håndtere hundretusinder af logfiler i sekundet og snesevis af terabyte pr. Kunde pr. Dag i total sikkerhed med realtids-loganalyse. Virksomheden og dets produkter er SOC2-, PCI- og HIPAA-kompatible såvel som Privacy Shield-certificeret.
Med sin enkle pris pr. GB prismodel, hvilkeneliminerer kontrakter og faste datapande, har virksomheden en af de laveste samlede ejendomsomkostninger. Flere abonnementsplaner er tilgængelige med stigende funktioner. Den nederste niveau plan er gratis, og betalte planer varierer fra $ 1,50 / GB / måned til $ 3 / GB / måned afhængigt af opbevaringsvarigheden og antallet af brugere. En gratis, fuldt udstyret 14-dages prøveversion er også tilgængelig.
8. Graylog
Sidste på vores liste er et produkt kaldet Graylog. Produktet tilbyder mange interessante funktioner. Værktøjet analyserer og beriger logfiler og begivenhedsdata fra enhver datakilde. Dets behandlingsrørledninger giver mulighed for en vis fleksibilitet i routing, sortlistning, ændring og berigelse af meddelelser i realtid. Graylog vil søge gennem terabytter af logdata for at finde og analysere vigtig information. Den kraftige søgesyntaks giver dig mulighed for at finde nøjagtigt, hvad du leder efter.
Med Graylog, kan du oprette dashboards til visualisering af metricsog observer tendenser på et centralt sted. Du kan bruge feltstatistikker, hurtige værdier og diagrammer fra søgeresultatsiden til at dykke ind for en dybere analyse af dine data. Systemet har også muligheden for at udløse handlinger eller udstede meddelelser om begivenheder som fx mislykkede loginforsøg, undtagelser eller ydelsesforringelse.
Graylog er tilgængelig enten som en gratis og open source,funktionsbegrænset version, som også har begrænset support eller som en virksomhedsversion med udvidede funktioner og ubegrænset support. En prøvelicens kan også fås ved at kontakte Graylog salg.
Kommentarer