Con los sistemas actuales que generan una tonelada de registrodatos, no sorprende que los administradores siempre estén buscando soluciones de administración de registros. Los registros, por defecto, a menudo se almacenan localmente. Esto tiene sentido ya que facilita vincularlos a su fuente. Pero cuando intentamos solucionar problemas y encontrar su causa raíz, a veces tenemos que mirar múltiples archivos de registro en numerosos dispositivos. ¿No sería bueno que todos los registros de todos los dispositivos se almacenaran en un lugar centralizado? Este es el propósito de la gestión de registros. Y si su plataforma de elección es Linux, hay muchas opciones disponibles. Siga leyendo mientras descubrimos algunas de las mejores administraciones de registros para Linux
Comenzaremos definiendo la gestión de registros. Verá que puede ser bastante más que simplemente centralizar el almacenamiento de registros. A continuación, analizaremos varias tecnologías de registro. Son la piedra angular de la gestión de registros y probablemente no existiría sin ellos. Continuando, diferenciaremos los servidores de syslog de los sistemas de administración de registros y nos daremos cuenta de que no existe una demarcación clara entre ellos. A continuación, haremos una breve pausa y discutiremos los sistemas de información de seguridad y gestión de eventos. Son otro tipo de sistema que a menudo se confunde con la gestión de registros, gracias a la definición algo poco clara de cada uno. Y finalmente, revisaremos la mejor administración de registros para Linux.
¿Qué es la gestión de registros?
Antes de que podamos hablar sobre la gestión de registros, vamos adefine qué es un registro. Simplemente definido, un registro es la documentación de un evento relevante para un sistema en particular, producida automáticamente y con sello de tiempo. En otras palabras, cada vez que se produce un evento en un sistema, se genera un registro. Los sistemas y dispositivos generarán registros para diferentes tipos de eventos y muchos sistemas les dan a los administradores cierto grado de control sobre qué evento genera un registro y cuál no.
En cuanto a la gestión de registros, simplemente se refiere aLos procesos y políticas utilizados para administrar y facilitar la generación, transmisión, análisis, almacenamiento, archivo y eventual eliminación de grandes volúmenes de datos de registro. Aunque no está claramente establecido, la gestión de registros implica un sistema centralizado donde se recopilan registros de múltiples fuentes. Sin embargo, la gestión de registros no es solo la recopilación de registros. Es la parte de gestión la más importante. Y los sistemas de gestión de registros a menudo tienen múltiples funcionalidades, la recopilación de registros es solo una de ellas.
Una vez que la administración de registros recibe los registrossistema, deben estandarizarse en un formato común ya que los diferentes formatos de sistemas registran de manera diferente e incluyen datos diferentes. Algunos comienzan un registro con la fecha y la hora, algunos lo inician con un número de evento. Algunos solo incluyen un ID de evento, mientras que otros incluyen una descripción de texto completo del evento. Uno de los propósitos de los sistemas de gestión de registros es garantizar que todas las entradas de registro recopiladas se almacenen en un formato uniforme. Esto correlacionará los eventos y la búsqueda final será mucho más fácil en el futuro.
Incluso la correlación y la búsqueda son dos adicionalesFunciones principales de varios sistemas de gestión de registros. Los mejores cuentan con un potente motor de búsqueda que permite a los administradores concentrarse exactamente en lo que necesitan. Las funciones de correlación agruparán automáticamente eventos relacionados, incluso si son de diferentes fuentes. Cómo y con qué éxito logran diferentes sistemas de gestión de registros que es un factor diferenciador importante.
LEA TAMBIÉN: 15 mejores herramientas de monitoreo de red (nuestra propia revisión)
Tecnologías de registro
La gestión de registros sería mucho más difícil,tal vez ni siquiera sea posible, si no fuera por los protocolos de registro. Algunos de ellos existen. Definen qué datos deben incluirse en los registros, cómo deben formatearse y, a veces, cómo deben transmitirse entre los sistemas.
Syslog es posiblemente el registro más utilizadoprotocolo, especialmente en el mundo Linux. La tecnología se inventó a principios de los años ochenta y se ha convertido en el estándar de facto para todos los sistemas tipo Unix. Uno de los mayores activos de la tecnología syslog es cómo facilita la separación entre el sistema o software que genera registros, el sistema que los almacena y el software que los informa y analiza. El uso de la tecnología Syslog hace que la administración de registros sea mucho más fácil. Y Syslog no es exclusivo de Unix. Muchos dispositivos que no son de Unix, como conmutadores, enrutadores y todo tipo de equipos de muchos proveedores, utilizan una variante del protocolo syslog.
Existen otras tecnologías de registro. Microsoft Windows, por ejemplo, usa un sistema de registro diferente. Es posible que tenga que ver con el hecho de que los sistemas operativos y las aplicaciones de Windows tienen registros que generalmente contienen información más detallada que la que permite la tecnología Syslog. Afortunadamente, las funciones de Windows Event Collector proporcionan un medio para la administración de registros que varios sistemas pueden usar para recibir eventos de los hosts de Windows. Esta publicación trata sobre la administración de registros de Linux, así que no perdamos demasiado tiempo en Windows.
No importa qué tecnología de registro se use, unUna parte importante de la administración de registros es configurar dispositivos para enviar sus registros al sistema de administración. Otros tipos de herramientas, como los sistemas de monitoreo de red, pueden obtener datos de los sistemas que monitorean, pero con la administración de registros, cada dispositivo debe ser "informado" a dónde enviar sus registros. Sin embargo, es una tarea relativamente simple que a menudo se logra mediante la emisión de un comando simple.
OTRAS LECTURAS: El mejor software de mapeo y topología de diagramas de red
Servidores de registro o gestión de registros?
Ya que ha estado disponible en todos los tipos de Unixsistema, incluido Linux, durante bastante tiempo, Syslog se usa a menudo como un servidor de registro con una computadora que recibe datos de Syslog de varios otros. Si bien este almacenamiento centralizado de registros tiene ventajas definitivas, no es suficiente para llamarse administración de registros.
Para merecer el nombre del Sistema de gestión de registros, unEl producto debe incluir al menos algunas de las funciones más avanzadas. Según Wikipedia, "la gestión de registros se compone de las siguientes funciones: recopilación de registros, agregación centralizada de registros, almacenamiento y retención de registros a largo plazo, rotación de registros, análisis de registros, búsqueda de registros e informes". ¡Guauu! Esa es mucha funcionalidad. Los servidores de registro, por otro lado, a menudo solo ofrecen la recopilación y el almacenamiento de registros y raramente más que eso.
Una palabra (o dos) sobre SIEM
Otra tecnología popular que está asociada.con los registros y, a menudo, confundido con los sistemas de administración de registros se encuentra la Administración de Información y Eventos de Seguridad, o SIEM. Esto es diferente de la gestión de registros, pero está estrechamente relacionado. La línea es tan delgada entre ellos que algunos productos anunciados como sistemas de administración de registros son en realidad sistemas SIEM, mientras que algunos sistemas SIEM básicos no son más que sistemas avanzados de administración de registros.
La confusión surge del hecho de que el registroLa gestión —o, al menos, el análisis de registros— es un componente importante de los sistemas SIEM. Lo que diferencia a los sistemas SIEM es que realizan análisis de registros con el objetivo final de identificar problemas de seguridad. Por ejemplo, buscarán signos de inicios de sesión fallidos que podrían ser un signo revelador de un intento de intrusión no autorizado. Estos sistemas escanean continuamente las entradas de registro en busca de algo fuera de lo común. Si bien algunos sistemas SIEM incluyen amplias funciones de administración de registros, algunos usan un sistema externo de administración de registros y no es raro ver que ambos sistemas se ejecutan uno al lado del otro.
LECTURA RELACIONADA Los mejores escáneres IP para Mac
La mejor gestión de registros para Linux
Con suerte, ahora tenemos una comprensión común dequé es la administración de registros y qué no es. Entonces, echemos un vistazo a lo que está disponible para Linux. Pero primero, aclaremos algo. Cuando nos referimos a la administración de registros de Linux, lo que queremos decir son sistemas de administración de registros que pueden acomodar registros de Linux y que se ejecutarán en la plataforma Linux o en la nube. Algunas de nuestras selecciones, en particular los sistemas basados en la nube, también funcionarán con registros de otras plataformas.
1. Papertrail SolarWinds (PLAN GRATIS DISPONIBLE)
Vientos solares se ha convertido en un nombre familiar entre la redadministradores Está haciendo algunas de las mejores herramientas durante casi 20 años, brindándonos excelentes herramientas de monitoreo de ancho de banda y uno de los mejores analizadores y recolectores de NetFlow. La compañía también es conocida por publicar varias herramientas gratuitas que abordan algunas necesidades específicas de los administradores de red, como la calculadora de subred o un servidor syslog.
- PLAN GRATIS: Papertrail SolarWinds
- Enlace oficial de descarga: https://papertrailapp.com/plans
No hace tanto tiempo, Vientos solares adquirido Rastro de papel, un popular sistema de gestión de registros. Agrega archivos de registro de una amplia variedad de productos populares como Apache o MySQL, así como aplicaciones de Ruby on Rails, diferentes servicios de alojamiento en la nube y otros archivos de registro estándar basados en texto y syslog. Rastro de papel los usuarios pueden usar la interfaz de búsqueda basada en la webo herramientas de línea de comandos para buscar a través de estos archivos para ayudar a diagnosticar varios problemas. Papertrail también se integra con otros productos de SolarWinds como Librato y Geckoboard para obtener resultados gráficos.
Rastro de papel es un software como servicio basado en la nube (SaaS)ofreciendo de SolarWinds. Estar basado en la nube significa que funcionará bien en un entorno totalmente Linux. La plataforma es fácil de implementar, usar y comprender, y le dará visibilidad instantánea de todos los sistemas en cuestión de minutos. Además, el producto tiene un motor de búsqueda muy efectivo que puede buscar registros almacenados y de transmisión. Y es a la velocidad del rayo.
Rastro de papel está disponible en varios planes, incluido un servicio gratuitoplan. Sin embargo, es algo limitado y solo permite 100 MB de registros cada mes. Sin embargo, permitirá 16 GB de registros en el primer mes, lo que equivale a darle una prueba gratuita de 30 días. Los planes pagados comienzan en $ 7 / mes por 1GB / mes de registros, 1 año de archivo y 1 semana de índice. El filtrado de ruido permite que la herramienta conserve los datos al no guardar registros inútiles.
2. Loggly
Loggly es otro servicio en línea basado en la nube. Principalmente un consolidador de registros, también ofrece funcionalidad de análisis de registros. Como virtud de estar basado en la nube, este sistema no requiere instalación y está listo para usar en el momento en que se suscribe. Por supuesto, sus sistemas y dispositivos deberán configurarse para cargar sus archivos de registro estándar periódicamente en el servidor en línea.
- PRUEBA GRATIS: Planes Loggly
- Enlace oficial: https://www.loggly.com
Loggly luego convierte los datos de registro recibidos en unformato estándar, lo que permite al analizador procesar registros de varias fuentes y permite el seguimiento y la correlación de eventos en todos los sistemas, independientemente de su sistema operativo o tecnología de registro. Las fuentes de datos de registro no se limitan a sus servidores locales. El sistema es, por supuesto, capaz de procesar registros generados por servidores en línea, como AWS de Amazon, y puede incluir mensajes creados por aplicaciones específicas como Docker y Logstash, por nombrar algunos.
los Loggly el servicio está disponible bajo tres planes diferentes,con crecientes límites de procesamiento de datos y tiempos de retención. Debe elegir el correcto para darle suficiente espacio para sus datos de registro. El plan de nivel de entrada se llama Loggly Lite Es de uso gratuito. Según este plan, puede cargar 200 MB de datos de registro por día y el sistema retendrá cada registro durante siete días. El siguiente es el plan estándar que le otorga una asignación de carga de 1 GB por día y conserva los registros durante 30 días. Los planes pagados también le permiten usar múltiples cuentas de usuario. Con el paquete estándar, puede tener tres cuentas de usuario. El nivel superior se llama Loggly Empresa. No tiene límite para la cantidad de cuentas de usuarios que puede configurar y los precios varían según la cantidad de capacidad de carga y el período de retención que requiera. El pago de todos los planes pagos puede ser mensual o anual y hay una prueba gratuita de 14 días disponible en el plan Estándar.
3. Splunk
Splunk es un bien conocido dentro de la administración del sistemacomunidad: sistema integral de gestión de registros para Linux, Mac OS y Windows. Más que un simple sistema básico de gestión de registros, algunos lo consideran un sistema completo de prevención de intrusiones. El producto está disponible en tres versiones. En la parte superior es Splunk Enterprise que es más un sistema de administración de red que una simple herramienta de administración de registros. El precio comienza en $ 173 por mes y obtienes mucha funcionalidad.
También hay una versión gratuita de Splunk que es básicamente la misma herramienta sin algo deSus funcionalidades más avanzadas. En esencia, está restringido al análisis de archivos de registro. Puede alimentar cualquiera de sus archivos de registro estándar o enviar datos en vivo a través de un archivo al analizador. La versión gratuita tiene algunas limitaciones. Por ejemplo, solo puede tener una cuenta de usuario y su rendimiento de datos está limitado a 500 MB de registros por día. La funcionalidad de clasificación y filtrado de datos está integrada en Splunk, lo que facilita sus esfuerzos de solución de problemas. Puede usar estas funciones para dividir registros de registros por fecha y escribir cada grupo en archivos nuevos. De hecho, esta funcionalidad es muy flexible.
4. Nagios Log Server
Nagios es mejor conocido por su excelente software de monitoreo de red, pero su servidor de registro es igual de interesante. El producto simplemente se llama Nagios Log Server y ofrece gestión centralizada de registros,monitoreo y análisis. Esta herramienta puede simplificar enormemente el proceso de búsqueda de sus datos de registro. También le permite configurar alertas para recibir notificaciones de posibles amenazas. Además, el software tiene una alta disponibilidad y recuperación de fallas incorporadas. Además, sus fáciles asistentes de configuración de fuente lo ayudarán a configurar rápidamente los servidores para enviar todos los datos de registro y comenzar a monitorear sus registros en minutos.
los Nagios Log Server permite una fácil correlación de eventos de registroen todos los servidores con solo unos pocos clics. El sistema le permitirá ver los datos de registro en tiempo real, brindándole la capacidad de analizar y resolver problemas a medida que ocurren. El producto presenta una escalabilidad impresionante y continuará satisfaciendo sus necesidades a medida que su organización crezca. Adicional Nagios Log Server Se pueden agregar instancias a un clúster de monitoreo, lo que le permite agregar rápidamente más potencia, velocidad, almacenamiento y confiabilidad.
El precio de instancia única para Nagios Log Server cuesta $ 3 995 y, aunque parece que no hay una versión de prueba gratuita disponible, hay una demostración gratuita en línea, si prefiere ver el producto de primera mano.
5. Graylog
El siguiente en nuestra lista es un producto llamado Graylog. El producto ofrece muchas características interesantes. La herramienta analizará y enriquecerá registros y datos de eventos desde cualquier fuente de datos. Sus canales de procesamiento permiten cierta flexibilidad en el enrutamiento, listas negras, modificación y enriquecimiento de mensajes en tiempo real. Graylog buscará a través de terabytes de datos de registro para descubrir y analizar información importante. La potente sintaxis de búsqueda le permite encontrar exactamente lo que está buscando.
Con Graylog, puede crear paneles para visualizar métricasy observar tendencias en una ubicación central. Puede usar estadísticas de campo, valores rápidos y gráficos desde la página de resultados de búsqueda para sumergirse en un análisis más profundo de sus datos. El sistema también tiene la opción de activar acciones o emitir notificaciones sobre eventos como intentos fallidos de inicio de sesión, excepciones o degradación del rendimiento.
Graylog es un sistema gratuito de código abierto basado en archivos de registro quepuede darle mucha más funcionalidad que solo una utilidad de archivo de registro. Este analizador de registros tiene una interfaz gráfica de usuario y puede ejecutarse en Ubuntu, Debian, CentOS y SUSE Linux. También puede ejecutarlo en una máquina virtual en Microsoft Windows y puede instalar el sistema Graylog en Amazon AWS.
6. ManageEngine EventLog Analyzer
ManageEngine, otro nombre común entre el administrador de red, hace un excelente sistema de administración de registros llamado ManageEngine EventLog Analyzer. El producto recopilará, administrará, analizará, correlacionará y buscará en los datos de registro de más de 700 fuentes utilizando una combinación de recopilación de registros basada en agentes y sin agentes, así como la importación de registros.
La velocidad es uno de los ManageEngine EventLog AnalyzerLa fuerza Puede procesar datos de registro a unos impresionantes 25,000 registros / segundo y detectar ataques en tiempo real. También puede realizar análisis forenses rápidos para reducir el impacto de una violación. Las capacidades de auditoría del sistema se extienden a los registros de los dispositivos del perímetro de la red, las actividades de los usuarios, los cambios en la cuenta del servidor, los accesos de los usuarios y más, lo que le ayuda a satisfacer las necesidades de auditoría de seguridad.
los ManageEngine EventLog Analyzer está disponible en una edición gratuita con funciones reducidasque solo admite 5 fuentes de registro o en una edición premium que comienza en $ 595 y varía según la cantidad de dispositivos y aplicaciones. También está disponible una versión de prueba gratuita de 30 días con todas las funciones.
Comentarios