Nykyiset järjestelmät tuottavat paljon hakkuitatiedot. Monilla alustoilla jokainen tapahtuma, tärkeä tai ei, kirjataan jonnekin. Lokit varastoidaan yleensä paikallisesti. Tämä on järkevää, koska lokit on linkitetty niiden lähteeseen. Mutta kun yritetään vianmääritystä ja löytää niiden syy, se tarkoittaa usein, että meidän on tarkasteltava useita lokitiedostoja useissa laitteissa. Eikö olisi hienoa, jos kaikkien laitteiden kaikki lokit säilytettäisiin yhdessä paikassa? Lokien hallinta on sitä ja paljon muuta, kun olet selvittämässä. Ja tänään tarkastelemme parhaita lokien hallintajärjestelmiä.
Aloitamme yrittämällä selittää mitä lokiahallinta on. Kuten huomaat, se voi olla paljon muutakin kuin vain lokien tallennuksen keskittämistä. Seuraavaksi puhumme protokollien kirjaamisesta. Se on melko tärkeää, koska lokinhallintaa ei todennäköisesti olisi ilman niitä. Yritämme sitten erottaa syslog-palvelimet lokinhallintajärjestelmistä. Valitettavasti niiden välillä ei ole selkeää rajaa. Seuraamme keskustelua tietoturvatiedoista ja tapahtumien hallintajärjestelmistä, koska tämä on toinen tyyppinen järjestelmä, joka sekoitetaan usein lokien hallintaan kunkin järjestelmän epäselvän määritelmän ansiosta. Ja lopuksi tarkastelemme kahdeksan löydettävää lokinhallintajärjestelmää.
Lokin hallinta - mikä se on
Ennen kuin voimme puhua lokien hallinnasta, katsotaanpakatso mikä loki on. Yksinkertaisesti määritelty loki on automaattisesti tuotettu ja aikaleimattu dokumentaatio tapahtumista, jotka liittyvät tiettyyn järjestelmään. Aina tapahtuma tapahtuu järjestelmässä, loki luodaan. Eri järjestelmät luovat lokit eri tapahtumille, ja monet järjestelmät antavat järjestelmänvalvojille jonkin verran hallintaa siitä, mikä luo lokin ja mikä ei.
Kun puhumme lokien hallinnasta, olemmeviitataan prosesseihin ja käytäntöihin, joita käytetään hallinnoimaan ja helpottamaan suurten lokitietojen määrien tuottamista, lähettämistä, analysointia, varastointia, arkistointia ja lopullista hävittämistä. Lokien hallinta tarkoittaa keskitettyä järjestelmää, jossa lokit kerätään useista lähteistä.
Mutta lokien hallinta ei ole vain lokien keräämistä. Johtamisen osa on tärkein. Lokinhallintajärjestelmillä on tyypillisesti useita toimintoja, lokien kerääminen on vain yksi niistä.
Kun lokien hallinta on vastaanottanut lokitJärjestelmä, ne on käännettävä yhteiseen muotoon. Eri järjestelmät muotoilevat lokit eri tavalla ja sisällyttävät lokiinsa erilaisia tietoja. Jotkut aloittavat lokin päivämäärällä ja kellonajalla, toiset alkavat sen tapahtuman numerolla. Jotkut sisältävät vain lokitunnuksen, kun taas toiset sisältävät tapahtuman täydellisen tekstimuotoisen kuvauksen. Yksi lokinhallintajärjestelmien tarkoituksista on varmistaa, että kaikki kerätyt lokitiedot tallennetaan yhtenäisessä muodossa. Tämä tekee etsimisestä ja tapahtumien korrelaatiosta paljon helpompaa.
Puhutaan etsinnästä ja jopa korrelaatiosta,tämä on toinen tärkeä tehtävä monissa lokinhallintajärjestelmissä. Joissakin heistä on tehokas hakukone, jonka avulla järjestelmänvalvojat voivat nollata juuri tarvitsemansa. Korrelaatiofunktiot ryhmittelevät liittyvät tapahtumat automaattisesti, vaikka ne olisivat peräisin eri lähteistä. Kuinka ja kuinka onnistuneesti eri lokinhallintajärjestelmä suorittaa, tämä on tärkeä erottava tekijä.
Kirjausprotokollat
Lokien hallinta olisi paljon vaikeampaa, josollenkaan mahdollista, jos se ei ole protokollien kirjaamiseksi. Muutamia niistä on olemassa, jotka määrittelevät, mitä tietoja lokiin lisätään, miten ne tulisi muotoilla ja miten ne tulisi siirtää järjestelmien välillä.
Syslog on kiistatta eniten käytetty kirjausprotokolla. Kahdeksankymmenenluvun alkupuolella keksimästä siitä on tullut de facto -standardi Unixin kaltaisille järjestelmille. Yksi syslog-protokollan suurimmista hyödyistä on se, miten se erottaa lokit muodostavan ohjelmiston, niitä tallentavan järjestelmän ja niitä raportoivan ja analysoivan ohjelmiston. Syslog-protokollan käyttö helpottaa lokien hallintaa. Monet muut kuin Unix-laitteet, kuten kytkimet, reitittimet ja muut verkkoyrityslaitteet useilta valmistajilta, käyttävät varianttia syslog-protokollasta.
Kuten saatat arvata, Microsoft Microsoft Windows käyttääerilainen kirjausjärjestelmä. Se voi olla tekemistä sen kanssa, että Windows-käyttöjärjestelmissä ja sovelluksissa on lokit, jotka sisältävät yleensä paljon enemmän tietoa kuin syslog salli. Onneksi Windows Event Collector -toiminnot tarjoavat keinon lokinhallintajärjestelmille, joita voidaan käyttää tapahtumien vastaanottamiseen Windows-koneilta.
Riippumatta siitä, mitä kirjausprotokollaa käytetään,tärkeä osa lokinhallintaa on laitteiden määrittäminen lähettämään lokit hallintajärjestelmään. Tämä eroaa muista työkaluista, kuten verkonvalvontajärjestelmistä, joissa työkalu hakee tietoja isäntiltä.
Lokipalvelimet Vs lokien hallinta
Koska se on ollut saatavana kaikissa Unix-kaltaisissajärjestelmän jo jonkin aikaa, Syslogia käytetään usein lokipalvelimena yhdessä tietokoneessa, joka vastaanottaa syslog-tietoja useilta muilta. Vaikka tällä lokien keskitetyllä tallentamisella on selvät edut, se ei ole lokien hallinta.
Ansaitaksesi lokinhallintajärjestelmän nimen, aTuotteen on sisällettävä ainakin osa edistyneemmistä toiminnoista. Wikipedian mukaan lokien hallinta koostuu seuraavista toiminnoista: lokien keruu, keskitetty lokien yhdistäminen, lokien pitkäaikainen varastointi ja säilyttäminen, lokien kierto, lokien analysointi, lokien haku ja raportointi. Lokipalvelimet tarjoavat usein vain lokien keräämistä ja tallentamista, ja harvoin enemmän. Jokainen ylimmän listan lokinhallintajärjestelmä tarjoaa ainakin joitain edistyneemmistä toiminnoista.
Entä SIEM-järjestelmät?
Toinen suosittu tekniikka, joka on useinlokiin liitetty ja sekoitettu lokinhallintajärjestelmiin liittyvä tietoturva- ja tapahtumien hallinta tai SIEM. Tämä eroaa aivan lokien hallinnasta, vaikka se on läheisesti toisiinsa liittyvä. Itse asiassa jotkut lokinhallintajärjestelminä mainostetut tuotteet ovat itse asiassa SIEM-järjestelmiä, kun taas jotkut SIEM-perusjärjestelmät ovat vain lokinhallintajärjestelmiä.
Pääsyy hämmennykseen on kyseinen lokihallinta - tai ainakin lokianalyysi - on tärkeä osa SIEM-järjestelmiä. Itse asiassa SIEM-järjestelmät vievät lokinhallinnan yleensä seuraavalle tasolle lisäämällä prosessiin älykkyyttä. Nämä järjestelmät suorittavat lokianalyysin lopullisena tavoitteenaan tunnistaa tietoturvaongelmat. He etsivät esimerkiksi merkkejä epäonnistuneista kirjautumisista, jotka osoittavat luvattoman tunkeutumisyrityksen. Nämä järjestelmät tarkistavat lokitiedot automaattisesti etsimällä jotain epätavallista.
SIEM-järjestelmillä on enemmän tekemistä tietoturvan kanssakuin IT-hallinta ja vaikka joissakin on laajoja lokinhallintaominaisuuksia, monet voivat käyttää myös ulkoista lokinhallintajärjestelmää, ja ei ole harvinaista nähdä molemmat järjestelmät toimimasta vierekkäin.
Paras lokinhallintaohjelmisto
Nyt kun meillä on yhteinen käsitys mitälokin hallinta on ja mitä se ei ole, katsotaanpa mitä on saatavilla. Olemme etsineet markkinoilta parhaimpia lokinhallintajärjestelmiä. Alkuperäinen havainto on, että heitä on paljon ja monet heistä erittäin hyviä. Mutta meillä on vain niin paljon tilaa, joten olemme tarkistamassa kahdeksan mielenkiintoisinta, joita löysimme.
1. SolarWinds Papertrail
SolarWinds on yleinen nimi kentälläverkonhallintatyökalut. Se on ollut käytössä jo lähes 20 vuotta, ja se on tuonut meille yhden parhaista kaistanleveyden tarkkailutyökaluista ja yhden parhaista NetFlow-analysaattoreista ja kerääjistä. Yhtiö on myös tunnettu julkaisemasta useita ilmaisia työkaluja, jotka vastaavat tiettyihin verkonvalvojien erityistarpeisiin, kuten aliverkon laskin tai syslog-palvelin.
Muutama vuosi sitten SolarWinds osti Papertrail, suosittu lokinhallintajärjestelmä. Se yhdistää lokitiedostot monista suosituista tuotteista, kuten Apache tai MySQL, sekä Ruby on Rails -sovelluksista, erilaisista pilvipalveluista ja muista tavallisista tekstitiedostoista. Papertrail käyttäjät voivat sitten käyttää verkkopohjaista hakuliittymää tai komentorivityökaluja etsiäksesi näitä tiedostoja vikojen ja suorituskykyongelmien diagnosoimiseksi. Papertrail integroituu myös muihin SolarWinds-tuotteisiin, kuten Libratoon ja Geckoboardiin tulosten kuvaajaksi.
Papertrail on pilvipohjainen ohjelmisto palveluna (SaaS)tarjous SolarWindsiltä. Se on helppo toteuttaa, käyttää ja ymmärtää. Ja se antaa sinulle välittömän näkyvyyden kaikissa järjestelmissä muutamassa minuutissa. Työkalulla on erittäin tehokas hakukone, joka voi etsiä sekä tallennettuja että suoratoistolokeja. Ja se on salamannopea.
Papertrail on saatavana useiden suunnitelmien mukaisesti, mukaan lukien ilmainensuunnitelma. Se on kuitenkin jonkin verran rajallinen, ja sallii vain 100 Mt lokit joka kuukausi. Se sallii kuitenkin 16 Gt lokit ensimmäisen kuukauden aikana, mikä vastaa ilmaisen 30 päivän kokeilujakson antamista. Maksetut suunnitelmat alkavat 7 dollaria kuukaudessa 1 Gt / kuukausi lokitiedoista, yhden vuoden arkiston ja yhden viikon hakemiston. Melun suodatus antaa työkalulle mahdollisuuden säilyttää tiedot tallentamatta turhia lokit.
2. SolarWinds Log & Event Manager (ILMAINEN KOKEILU)
Seuraava merkintömme on toinen SolarWindsin tuote, nimeltään SolarWinds Lokien ja tapahtumien hallinta. Vastoin aikaisempaa merkintäämme, tämä on apaikallisesti asennettu tuote. Ja se on myös paljon muutakin kuin vain lokinhallintajärjestelmä. Monet tämän tuotteen edistyneistä ominaisuuksista asettavat sen SIEM-sarjaan. Siinä on esimerkiksi reaaliaikainen vent korrelaatio ja reaaliaikainen korjaus.
Tässä on yleiskatsaus SolarWinds Log & Event ManagerTärkeimmät ominaisuudet. Se eliminoi uhat nopeasti käyttämällä epäilyttävän toiminnan välitöntä havaitsemista ja automatisoituja vastauksia. Se voi myös suorittaa tietoturvatapahtumien tutkinnan ja rikostutkinnan lieventämiseksi ja noudattamiseksi. Ja puhuttaessa vaatimustenmukaisuudesta, tuotteen avulla voit osoittaa sen muun muassa HIPAA: n, PCI DSS: n ja SOX: n auditoidun raportoinnin ansiosta. Tällä työkalulla on myös tiedostojen eheyden valvonta ja USB-laitteiden valvonta, kaksi ominaisuutta, jotka ovat huomattavasti suuremmat kuin mitä lokien hallintajärjestelmissä yleisesti näemme.
Hinnat SolarWinds Log & Event Manager alkaa 4585 dollarista jopa 30 valvotulle solmulle. Enintään 2500 solmun lisenssejä voi ostaa, mikä tekee tuotteesta erittäin skaalautuvan. Ja jos haluat varmistaa käytännössä, että tuote sopii sinulle, on saatavana ilmainen, monipuolinen 30 päivän kokeiluversio.
3. ipswitch Log Management Suite
Ja Lokinhallintaohjelma on työkalu Ipswitchiltä, samalta yritykseltätoi meille WhatsUp Goldin, erittäin suositun verkonvalvontatyökalun. Tämä on automatisoitu työkalu, joka kerää, tallentaa, arkistoi ja tallentaa järjestelmälokit, Windows-tapahtumat ja W3C / IIC-lokit. Lisäksi sen jatkuva lokivalvonta varoittaa sinua epäilyttävistä toimista.
Usein auditoidut tapahtumat, kuten käyttöoikeudetja tiedosto-, kansio- ja objektioikeuksia voidaan seurata, generoimalla hälytyksiä tarpeen mukaan ja niitä voidaan käyttää HIPAA-, SOX-, FISMA-, PCI-, MiFID- tai Basel II -säännösten noudattamista koskevien raporttien laatimiseen. Työkalu voi myös auttaa sinua muuttamaan raakat lokitiedot merkityksellisiksi tiedoiksi johtajille tai tietoturvaryhmille automaattisen suodatus-, korrelointi-, raportointi- ja muuntamisominaisuuksien ansiosta.
Hinnoittelutiedot Lokinhallintaohjelma ei ole helposti saatavissa Ipswitchiltä. Tuotteen voi ostaa joko suoraan kustantajalta tai Ipswitchin jälleenmyyjäverkoston kautta. Saatavana on myös ilmainen kokeiluversio.
4. ManageEngine EventLog -analysaattori
ManageEngine, toinen yleinen nimi verkonvalvojan kanssa, tekee loistavasta lokinhallintajärjestelmästä nimeltään ManageEngine EventLog -analysaattori. Tuote kerää, hallitsee, analysoi, korreloi ja etsii yli 700 lähteen lokitiedot yhdistelmä- tai agenttittomasta ja agenttipohjaisesta lokikokoelmasta sekä lokien tuonnista.
Nopeus on yksi ManageEngine EventLog -analysaattoriVahvuus. Se voi käsitellä lokitietoja vaikuttavalla 25 000 lokilla sekunnissa ja havaita hyökkäykset reaaliajassa. Se voi myös suorittaa nopean oikeuslääketieteellisen analyysin rikkomuksen vaikutusten vähentämiseksi. Järjestelmän auditointimahdollisuudet ulottuvat verkon kehälaitteiden lokiin, käyttäjän toimintoihin, palvelintilien muutoksiin, käyttäjän käyttöoikeuksiin ja muuhun, mikä auttaa sinua vastaamaan turvallisuustarkastuksen tarpeisiin.
Ja ManageEngine EventLog -analysaattori on saatavana ilmaiseksi rajoitetussa ilmaisversiossajoka tukee vain viittä lokilähdettä tai premium-version, joka alkaa 595 dollarista ja vaihtelee laitteiden ja sovellusten määrän mukaan. Saatavana on myös ilmainen, monipuolinen 30 päivän kokeiluversio.
5. Nagios-lokipalvelin
Nagios tunnetaan parhaiten erinomaisesta verkonvalvontaohjelmistosta, mutta sen lokipalvelin on mahdollisesti yhtä mielenkiintoinen. Soitettiin oikein Nagios-lokipalvelin, se tarjoaa keskitetyn lokien hallinnan, seurannan ja analysoinnin. Nagios-lokipalvelin yksinkertaistaa lokitietojen hakuprosessia. Sen avulla voit myös asettaa hälytyksiä ilmoitettaviksi mahdollisista uhista. Lisäksi ohjelmistolla on korkea käytettävyys ja epäonnistuminen rakennettu oikein. Ohjelmiston helpon lähteen asennustoiminnot auttavat sinua määrittämään palvelimet nopeasti lähettämään kaikki lokitiedot ja aloittamaan lokien seurannan muutamassa minuutissa. .
Ja Nagios-lokipalvelin antaa sinun helposti korreloida lokitapahtumat kaikkien välilläpalvelimet vain muutamalla napsautuksella. Ja sen avulla voit tarkastella lokitietoja reaaliajassa, jolloin pystyt analysoimaan ja ratkaisemaan ongelmia niiden esiintyessä. Tuotteella on vaikuttava skaalautuvuus ja se vastaa tarpeitasi organisaation kasvaessa. lisä- Nagios-lokipalvelin ilmentymiä voidaan lisätä seurantaklusteriin, jolloin voit lisätä nopeasti enemmän virtaa, nopeutta, tallennustilaa ja luotettavuutta.
Yhden instanssin hinta Nagios-lokipalvelin on 3 995 dollaria ja vaikka ilmaista kokeiluversiota ei näytä olevan saatavana, ilmainen online-esittely on, jos haluat mieluummin katsoa tuotetta ensin.
6. Hälytyslogiikan hallinta
Alert Logicin painopiste on turvallisuus ja noudattaminen. Ja koska tukin hallinta liittyy läheisesti molempiin, ei ole yllättävää, että yritys tarjoaa Hälytyslogiikan hallinta. Tämä pilvipohjainen työkalu tarjoaa automatisoidun jayhtenäinen lokien hallinta kaikissa ympäristöissäsi. Se kerää, yhdistää ja hakee lokitietoja pilvestä, palvelimesta, sovelluksista, tietoturvasta ja verkkoresursseista.
Ja Hälytyslogiikan hallinta sisältää lokien seurannan ja analyysin sekälokitarkastus, jonka tekevät ihmisanalysaattorit suorana. Alert Logicin asiantuntijat ilmoittavat mahdollisesta uhkatoiminnasta 365 päivää vuodessa. Palvelu auttaa myös täyttämään SOC 2: n, HIPAA: n ja SOX: n lokien tarkistusvaatimukset ja poistamaan lokien tarkistamisen ja tapahtumien seurannan taakan noudattamaan PCI / DSS 10.6, 10.6.1, 10.6.3
Hinnoittelutiedot Hälytyslogiikan hallinta ei ole helposti saatavissa verkosta, ja sinun on otettava yhteyttä Alert Logic -myyntiin saadaksesi virallisen tarjouksen. Ilmaista kokeilua ei myöskään ole saatavana, mutta ilmainen esittely voidaan järjestää ottamalla yhteyttä hälytyslogiikkaan.
7. LogDNA
Perustettu vuonna 2015, LogDNA on uusi lapsi blokissa. Yhtiö väittää, että ”LogDNA on nopein, intuitiivisin jakustannustehokas lokinhallintajärjestelmä ”. Kaikki alkaa asennuksesta, joka vie vain muutaman minuutin, ennen kuin voit aloittaa lokien seurannan. Lokien muodostumisesta ja lähettämisestä riippumatta on saatavana satoja mukautettuja integraatiojärjestelmiä, jotta lokit voidaan keskittää yhteen ruutuun.
LogDNA voivat olla pilvipohjaisia tai itseisäntämiä riippuenmieltymyksesi. Se on erittäin skaalautuva ja pystyy käsittelemään satoja tuhansia lokkeja sekunnissa ja kymmeniä teratavuja asiakasa kohden päivässä täysin turvallisena reaaliaikaisen lokianalyysin avulla. Yhtiö ja sen tuotteet ovat SOC2-, PCI- ja HIPAA-yhteensopivia sekä Privacy Shield -sertifioituja.
Yksinkertaisella, pay-per-GB hinnoittelumallilla, jokaeliminoi sopimukset ja kiinteät tietosarjat, yrityksen omistajuuden kokonaiskustannukset ovat alhaisimmat. Useita tilaussuunnitelmia on saatavana kasvavilla ominaisuuksilla. Alemman tason suunnitelma on ilmainen ja maksetut järjestelyt vaihtelevat 1,50 dollarista / kk / kk - 3 dollari / kk / kk riippuen säilytysajasta ja käyttäjien lukumäärästä. Saatavana on myös ilmainen, monipuolinen 14 päivän kokeiluversio.
8. Harmaalogi
Viimeisin luettelossamme on tuote nimeltään Graylog. Tuote tarjoaa monia mielenkiintoisia ominaisuuksia. Työkalu jäsentää ja rikastuttaa lokit ja tapahtumatiedot mistä tahansa tietolähteestä. Sen prosessointiputket mahdollistavat jonkin verran joustavuutta reititettäessä, mustalla listalla, muokkaamalla ja rikastamalla viestejä reaaliajassa. Graylog etsii teratavuilla lokitietoja löytääksesi ja analysoidaksesi tärkeää tietoa. Tehokkaan hakusyntaksin avulla voit löytää juuri etsimäsi.
Kanssa Graylog, voit luoda kojetauluja tietojen visualisoimiseksija tarkkaile suuntauksia yhdessä keskeisessä paikassa. Voit käyttää kenttätilastoja, nopeita arvoja ja kaavioita hakutulossivulta sukeltaaksesi syvemmälle analyysillesi. Järjestelmällä on myös mahdollisuus käynnistää toimenpiteitä tai antaa ilmoituksia tapahtumista, kuten epäonnistuneet kirjautumisyritykset, poikkeukset tai suorituskyvyn heikkeneminen.
Graylog on saatavana joko ilmaisena ja avoimena lähteenä,ominaisuuksilla rajoitettu versio, jolla on myös rajoitettu tuki, tai yritysversiona, jolla on laajennetut ominaisuudet ja rajoittamaton tuki. Koeluvan voi hankkia myös ottamalla yhteyttä Graylog myynti.
Kommentit