Los sistemas actuales están generando muchos registrosdatos. En muchas plataformas, cada evento, importante o no, se registra en alguna parte. Por lo general, los registros se almacenan localmente. Esto tiene sentido ya que los registros están vinculados a su fuente. Pero al tratar de solucionar problemas y encontrar su causa raíz, eso a menudo significa que tenemos que mirar múltiples archivos de registro en numerosos dispositivos. ¿No sería bueno si todos los registros de todos los dispositivos se almacenaran en un solo lugar? La gestión de registros es eso y mucho más, como está a punto de descubrir. Y hoy, estamos revisando los principales sistemas de administración de registros.
Comenzaremos tratando de explicar qué registrola gestión es Como verá, puede ser mucho más que simplemente centralizar el almacenamiento de registros. A continuación, hablaremos sobre los protocolos de registro. Es bastante importante ya que la administración de registros probablemente no existiría sin ellos. Luego trataremos de diferenciar los servidores syslog de los sistemas de administración de registros. Desafortunadamente, no hay una demarcación clara entre ellos. Seguiremos con una discusión sobre los sistemas de información de seguridad y administración de eventos porque este es otro tipo de sistema que a menudo se confunde con la administración de registros, gracias a la definición algo poco clara de cada uno. Y finalmente, revisaremos los ocho principales sistemas de administración de registros que pudimos encontrar.
Gestión de registros: qué es
Antes de que podamos hablar sobre la gestión de registros, vamos aver qué es un registro. Simplemente definido, un registro es la documentación producida automáticamente y con sello de tiempo de eventos relevantes para un sistema en particular. Cada vez que se produce un evento en un sistema, se genera un registro. Los diferentes sistemas generarán registros para diferentes eventos y muchos sistemas les dan a los administradores cierto grado de control sobre lo que genera un registro y lo que no.
Cuando hablamos de gestión de registros, estamosen referencia a los procesos y políticas utilizados para administrar y facilitar la generación, transmisión, análisis, almacenamiento, archivo y eventual eliminación de grandes volúmenes de datos de registro. La gestión de registros implica un sistema centralizado donde se recopilan registros de múltiples fuentes.
Pero la gestión de registros no es solo la recopilación de registros. La parte de gestión es la más importante. Los sistemas de gestión de registros suelen tener múltiples funcionalidades, y la recopilación de registros es solo una de ellas.
Una vez que la administración de registros recibe los registrossistema, necesitan ser "traducidos" a un formato común. Los diferentes sistemas dan formato a los registros de manera diferente e incluyen datos diferentes en sus registros. Algunos comienzan un registro con la fecha y la hora, algunos lo inician con un número de evento. Algunos solo incluyen una ID de registro, mientras que otros incluyen una descripción textual completa del evento. Uno de los propósitos de los sistemas de gestión de registros es garantizar que todas las entradas de registro recopiladas se almacenen en un formato uniforme. Esto hará que la búsqueda y la correlación de eventos sean mucho más fáciles en el futuro.
Hablando de búsqueda e incluso correlación,Esta es otra función importante de muchos sistemas de gestión de registros. Algunos de ellos cuentan con un potente motor de búsqueda que permite a los administradores concentrarse exactamente en lo que necesitan. Las funciones de correlación agruparán automáticamente eventos relacionados, incluso si son de diferentes fuentes. Cómo y con qué éxito logran diferentes sistemas de gestión de registros que es un factor diferenciador importante.
Protocolos de registro
La gestión de registros sería mucho más difícil sien lo posible, si no fuera por los protocolos de registro. Existen algunos de ellos que definen qué datos se incluirán en los registros, cómo deben formatearse y cómo deben transmitirse entre los sistemas.
Syslog es posiblemente el protocolo de registro más utilizado. Inventado a principios de los años ochenta, se ha convertido en el estándar de facto para sistemas tipo Unix. Uno de los mayores activos del protocolo syslog es cómo separa el software que genera registros, el sistema que los almacena y el software que los informa y analiza. El uso del protocolo Syslog hace que la administración de registros sea mucho más fácil. Muchos dispositivos que no son de Unix, como conmutadores, enrutadores y otros equipos de red de muchos proveedores, utilizan una variante del protocolo syslog.
Microsoft Windows, como habrás adivinado, usaUn sistema de registro diferente. Es posible que tenga que ver con el hecho de que los sistemas operativos y aplicaciones de Windows tienen registros que generalmente contienen mucha más información que la permitida por syslog. Afortunadamente, las funciones de Windows Event Collector proporcionan un medio para que los sistemas de administración de registros puedan usar para recibir eventos de hosts de Windows.
No importa qué protocolo de registro se use, unUna parte importante de la administración de registros es configurar dispositivos para enviar sus registros al sistema de administración. Esto es diferente de otras herramientas, como los sistemas de monitoreo de red, donde la herramienta obtiene datos de los hosts.
Servidores de registro vs gestión de registro
Ya que ha estado disponible en todos los tipos de Unixsistema durante bastante tiempo, Syslog si se usa a menudo como un servidor de registro con una computadora que recibe datos de syslog de varios otros. Si bien este almacenamiento centralizado de registros tiene ventajas definitivas, no es la administración de registros.
Para merecer el nombre del Sistema de gestión de registros, unEl producto debe incluir al menos algunas de las funciones más avanzadas. Según Wikipedia, la gestión de registros consta de las siguientes funciones: recopilación de registros, agregación centralizada de registros, almacenamiento y retención de registros a largo plazo, rotación de registros, análisis de registros, búsqueda de registros e informes. Los servidores de registro a menudo solo ofrecen la recopilación y el almacenamiento de registros y rara vez más que eso. Cada uno de los sistemas de gestión de registros en nuestra lista principal ofrece al menos algunas de las funciones más avanzadas.
¿Qué hay de los sistemas SIEM?
Otra tecnología popular que a menudo esasociado con los registros y confundido con los sistemas de administración de registros está la Información de seguridad y la Administración de eventos, o SIEM. Esto es bastante diferente de la gestión de registros, aunque está estrechamente relacionado. De hecho, algunos productos anunciados como sistemas de gestión de registros son en realidad sistemas SIEM, mientras que algunos sistemas básicos de SIEM no son más que sistemas de gestión de registros.
La razón principal de esa confusión es ese registroLa gestión, o al menos el análisis de registros, es un componente importante de los sistemas SIEM. De hecho, los sistemas SIEM generalmente llevan la administración de registros al siguiente nivel al agregar inteligencia al proceso. Estos sistemas realizan análisis de registros con el objetivo final de identificar problemas de seguridad. Por ejemplo, buscarán signos de inicios de sesión fallidos que indiquen un intento de intrusión no autorizado. Estos sistemas escanearán automáticamente las entradas de registro en busca de algo inusual.
Los sistemas SIEM tienen más que ver con la seguridad de TIque la gestión de TI y, aunque algunos incluyen amplias funciones de gestión de registros, muchos también pueden usar sistemas de gestión de registros externos y no es raro ver que ambos sistemas se ejecutan uno al lado del otro.
El mejor software de gestión de registros
Ahora que tenemos una comprensión común de quéla administración de registros es y lo que no es, echemos un vistazo a lo que está disponible. Hemos buscado en el mercado algunos de los mejores sistemas de gestión de registros. Nuestro hallazgo inicial es que hay muchos de ellos y muchos de ellos muy buenos. Pero solo tenemos tanto espacio, así que estamos a punto de revisar los ocho más interesantes que pudimos encontrar.
1. Papertrail SolarWinds
SolarWinds es un nombre común en el campo deherramientas de administración de red. Ha existido durante casi 20 años y nos ha traído una de las mejores herramientas de monitoreo de ancho de banda y uno de los mejores analizadores y recolectores de NetFlow. La compañía también es conocida por publicar varias herramientas gratuitas que abordan algunas necesidades específicas de los administradores de red, como la calculadora de subred o un servidor syslog.
Hace unos años, SolarWinds adquirió Rastro de papel, un popular sistema de gestión de registros. Agrega archivos de registro de una amplia variedad de productos populares como Apache o MySQL, así como aplicaciones de Ruby on Rails, diferentes servicios de alojamiento en la nube y otros archivos de registro de texto estándar. Rastro de papel los usuarios pueden usar la interfaz de búsqueda basada en la web o las herramientas de línea de comandos para buscar a través de estos archivos para ayudar a diagnosticar errores y problemas de rendimiento. Rastro de papel También se integra con otros productos de SolarWinds como Librato y Geckoboard para obtener resultados gráficos.
Rastro de papel es un software como servicio basado en la nube (SaaS)ofreciendo de SolarWinds. Es fácil de implementar, usar y comprender. Y le dará visibilidad instantánea en todos los sistemas en minutos. La herramienta tiene un motor de búsqueda muy efectivo que puede buscar registros almacenados y de transmisión. Y es a la velocidad del rayo.
Rastro de papel está disponible en varios planes, incluido un servicio gratuitoplan. Sin embargo, es algo limitado y solo permite 100 MB de registros cada mes. Sin embargo, permitirá 16 GB de registros en el primer mes, lo que equivale a darle una prueba gratuita de 30 días. Los planes pagados comienzan en $ 7 / mes por 1GB / mes de registros, 1 año de archivo y 1 semana de índice. El filtrado de ruido permite que la herramienta conserve los datos al no guardar registros inútiles.
2. Administrador de registro y eventos de SolarWinds (PRUEBA GRATIS)
Nuestra próxima entrada es otro producto de SolarWinds llamado Vientos solares Administrador de registro y eventos. Contrariamente a nuestra entrada anterior, esta es unaProducto instalado localmente. Y también es mucho más que un simple sistema de gestión de registros. Muchas de las características avanzadas de este producto lo colocan en la gama SIEM. Tiene correlación de venteo en tiempo real y remediación en tiempo real, por ejemplo.
Aquí hay una descripción general de Administrador de registro y eventos de SolarWindsLas principales características. Elimina las amenazas rápidamente mediante la detección instantánea de actividad sospechosa y respuestas automáticas. También puede realizar investigaciones de eventos de seguridad y análisis forenses para mitigación y cumplimiento. Y hablando de cumplimiento, el producto le permitirá demostrarlo, gracias a sus informes probados por auditoría para HIPAA, PCI DSS y SOX, entre otros. Esta herramienta también tiene monitoreo de integridad de archivos y monitoreo de dispositivos USB, dos características que están muy por encima de lo que comúnmente vemos en los sistemas de administración de registros.
Precios para el Administrador de registro y eventos de SolarWinds comienza en $ 4,585 por hasta 30 nodos monitoreados. Se pueden comprar licencias para hasta 2500 nodos haciendo que el producto sea altamente escalable. Y si desea verificar de forma práctica que el producto es adecuado para usted, está disponible una prueba gratuita de 30 días con todas las funciones.
3. ipswitch Log Management Suite
los Log Management Suite es una herramienta de Ipswitch, la misma compañía quenos trajo WhatsUp Gold, una herramienta de monitoreo de red inmensamente popular. Esta es una herramienta automatizada que recopila, almacena, archiva y guarda registros del sistema, eventos de Windows y registros W3C / IIC. Además, su vigilancia continua de registros lo alertará de cualquier actividad sospechosa.
Eventos auditados con frecuencia, como derechos de accesoy se pueden seguir los privilegios de archivo, carpeta y objeto, generando alertas según sea necesario y utilizadas para generar informes de cumplimiento para el cumplimiento de HIPAA, SOX, FISMA, PCI, MiFID o Basilea II. La herramienta también puede ayudarlo a transformar sus datos de registro sin procesar en datos significativos para los administradores o los equipos de seguridad de TI, gracias a sus funciones automatizadas de filtrado, correlación, informes y conversión.
Información de precios para el Log Management Suite no está disponible en Ipswitch. El producto se puede comprar directamente del editor o a través de la red de revendedores de Ipswitch. Una versión de prueba gratuita también está disponible.
4. ManageEngine EventLog Analyzer
ManageEngine, otro nombre común con administrador de red, es un excelente sistema de administración de registros llamado ManageEngine EventLog Analyzer. El producto recopilará, administrará, analizará, correlacionará y buscará en los datos de registro de más de 700 fuentes utilizando una combinación o recopilación de registros sin agente y basada en agentes, así como la importación de registros.
La velocidad es uno de los ManageEngine EventLog AnalyzerLa fuerza Puede procesar datos de registro a unos impresionantes 25,000 registros / segundo y detectar ataques en tiempo real. También puede realizar análisis forenses rápidos para reducir el impacto de una violación. Las capacidades de auditoría del sistema se extienden a los registros de los dispositivos del perímetro de la red, las actividades de los usuarios, los cambios en la cuenta del servidor, los accesos de los usuarios y más, lo que le ayuda a satisfacer las necesidades de auditoría de seguridad.
los ManageEngine EventLog Analyzer está disponible en una edición gratuita con funciones reducidasque solo admite 5 fuentes de registro o en una edición premium que comienza en $ 595 y varía según la cantidad de dispositivos y aplicaciones. También está disponible una versión de prueba gratuita de 30 días con todas las funciones.
5. Servidor de registro de Nagios
Nagios es mejor conocido por su excelente software de monitoreo de red, pero su servidor de registro es posiblemente igual de interesante. Acertadamente llamado el Nagios Log Server, ofrece gestión centralizada de registros, monitoreo y análisis. los Nagios Log Server simplifica el proceso de búsqueda de sus datos de registro. También le permite configurar alertas para recibir notificaciones de posibles amenazas. Además, el software tiene una alta disponibilidad y una recuperación de fallas incorporadas. Sus fáciles asistentes de configuración de fuente lo ayudarán a configurar rápidamente los servidores para enviar todos los datos de registro y comenzar a monitorear sus registros en minutos .
los Nagios Log Server le permite correlacionar fácilmente eventos de registro en todosservidores en solo unos pocos clics. Y le permite ver los datos de registro en tiempo real, lo que le permite analizar y resolver problemas a medida que ocurren. El producto presenta una escalabilidad impresionante y continuará satisfaciendo sus necesidades a medida que su organización crezca. Adicional Nagios Log Server Se pueden agregar instancias a un clúster de monitoreo, lo que le permite agregar rápidamente más potencia, velocidad, almacenamiento y confiabilidad.
El precio de instancia única para Nagios Log Server cuesta $ 3 995 y, aunque parece que no hay una versión de prueba gratuita disponible, una demostración gratuita en línea es si prefiere ver el producto de primera mano.
6. Alerta Logic Log Manager
El enfoque principal de Alert Logic es la seguridad y el cumplimiento. Y dado que la gestión de registros está estrechamente relacionada con ambos, no sorprende que la empresa ofrezca Administrador de registro de lógica de alerta. Esta herramienta basada en la nube ofrece servicios automatizados ygestión unificada de registros en todos sus entornos. Recopilará, agregará y buscará datos de registro de la nube, el servidor, la aplicación, la seguridad y los activos de red.
los Administrador de registro de lógica de alerta incluye monitoreo y análisis de registros, así comorevisión de registros que se realiza en vivo por analizadores humanos. Los expertos de Alert Logic lo alertarán de una posible actividad de amenaza los 365 días del año. El servicio también ayudará a cumplir con los requisitos de revisión de registros de SOC 2, HIPAA y SOX y descargará la carga de revisar registros y hacer un seguimiento de los eventos, para cumplir con PCI / DSS 10.6, 10.6.1, 10.6.3
Información de precios para el Administrador de registro de lógica de alerta no está disponible en la web y deberá comunicarse con las ventas de Alert Logic para obtener un presupuesto formal. Una prueba gratuita tampoco está disponible, pero se puede organizar una demostración gratuita poniéndose en contacto con Alert Logic.
7. LogDNA
Fundado en 2015, LogDNA es el nuevo chico de la cuadra. La compañía afirma que "LogDNA es el más rápido, más intuitivo ysistema de gestión de registros rentable ". Todo comienza con la instalación, que toma solo un par de minutos antes de que pueda comenzar a monitorear sus registros. No importa cómo se generen y transmitan los registros, hay cientos de esquemas de integración personalizados disponibles para centralizar registros en un solo panel.
LogDNA puede estar basado en la nube o autohospedado, dependiendo detu preferencia. Es altamente escalable y puede manejar cientos de miles de registros por segundo y docenas de terabytes por cliente, por día en total seguridad con análisis de registros en tiempo real. La empresa y sus productos son compatibles con SOC2, PCI e HIPAA, así como con la certificación Privacy Shield.
Con su modelo de precio simple de pago por GB queelimina los contratos y los cubos de datos fijos, la compañía tiene uno de los costos totales de propiedad más bajos. Varios planes de suscripción están disponibles con características crecientes. El plan de nivel inferior es gratuito y los planes pagos varían de $ 1.50 / GB / mes a $ 3 / GB / mes, dependiendo de la duración de la retención y la cantidad de usuarios. También hay disponible una versión de prueba gratuita de 14 días con todas las funciones.
8. Graylog
El último en nuestra lista es un producto llamado Graylog. El producto ofrece muchas características interesantes. La herramienta analizará y enriquecerá registros y datos de eventos desde cualquier fuente de datos. Sus canales de procesamiento permiten cierta flexibilidad en el enrutamiento, listas negras, modificación y enriquecimiento de mensajes en tiempo real. Graylog buscará a través de terabytes de datos de registro para descubrir y analizar información importante. La potente sintaxis de búsqueda le permite encontrar exactamente lo que está buscando.
Con Graylog, puede crear paneles para visualizar métricasy observar tendencias en una ubicación central. Puede usar estadísticas de campo, valores rápidos y gráficos desde la página de resultados de búsqueda para sumergirse en un análisis más profundo de sus datos. El sistema también tiene la opción de activar acciones o emitir notificaciones sobre eventos como intentos fallidos de inicio de sesión, excepciones o degradación del rendimiento.
Graylog está disponible como fuente gratuita y de código abierto,versión con funciones limitadas que también tiene soporte limitado o como una versión empresarial con características extendidas y soporte ilimitado. También se puede obtener una licencia de prueba contactando Graylog ventas.
Comentarios