Les systèmes actuels génèrent beaucoup de journalisationLes données. Sur de nombreuses plateformes, chaque événement, important ou non, est enregistré quelque part. En règle générale, les journaux sont stockés localement. Cela a du sens car les journaux sont liés à leur source. Toutefois, lorsque nous essayons de résoudre les problèmes et de trouver la cause, cela signifie souvent que nous devons examiner plusieurs fichiers journaux sur de nombreux périphériques. Ne serait-il pas intéressant que tous les journaux de tous les périphériques soient stockés au même endroit? La gestion des journaux, c’est cela et bien d’autres encore, comme vous allez le savoir. Et aujourd'hui, nous examinons les principaux systèmes de gestion des journaux.
Nous allons commencer par essayer d’expliquer quel journalla gestion est. Comme vous le verrez, cela peut aller bien au-delà de la centralisation du stockage des journaux. Ensuite, nous parlerons des protocoles de journalisation. Il est plutôt important que la gestion des journaux n’existe probablement pas sans eux. Nous tenterons ensuite de différencier les serveurs syslog des systèmes de gestion des journaux. Malheureusement, il n'y a pas de démarcation claire entre eux. Nous aborderons ensuite les systèmes de gestion de la sécurité et des informations de sécurité car il s’agit d’un autre type de système souvent confondu avec la gestion des journaux, en raison de la définition quelque peu floue de chacun. Enfin, nous examinerons les huit principaux systèmes de gestion des journaux que nous avons pu trouver.
Gestion des journaux - Qu'est-ce que c'est?
Avant de pouvoir parler de la gestion des journaux, commençons parvoir ce qu'est un journal. Simplement défini, un journal est la documentation produite automatiquement et horodatée d'événements pertinents pour un système particulier. Chaque fois qu'un événement se produit sur un système, un journal est généré. Différents systèmes génèrent des journaux pour différents événements et de nombreux systèmes donnent aux administrateurs un certain degré de contrôle sur ce qui génère ou non un journal.
Lorsque nous parlons de gestion des journaux, nous sommesse référant aux processus et politiques utilisés pour administrer et faciliter la génération, la transmission, l'analyse, le stockage, l'archivage et l'élimination éventuelle de grands volumes de données de journaux. La gestion des journaux implique un système centralisé dans lequel les journaux de plusieurs sources sont collectés.
Mais la gestion des journaux ne consiste pas simplement en une collecte de journaux. La partie gestion est la plus importante. Les systèmes de gestion des journaux ont généralement plusieurs fonctionnalités, la collecte des journaux n'étant que l'une d'entre elles.
Une fois les journaux reçus par la gestion des journauxsystème, ils doivent être «traduits» dans un format commun. Les différents systèmes formulent les journaux de manière différente et incluent différentes données dans leurs journaux. Certains commencent un journal avec la date et l'heure, d'autres avec un numéro d'événement. Certains n'incluent qu'un ID de journal, tandis que d'autres incluent une description textuelle complète de l'événement. L'un des objectifs des systèmes de gestion des journaux est de garantir que toutes les entrées de journal collectées sont stockées dans un format uniforme. Cela facilitera grandement la recherche et la corrélation d'événements.
Parler de recherche et même de corrélation,C’est une autre fonction importante de nombreux systèmes de gestion des journaux. Certains d'entre eux disposent d'un puissant moteur de recherche qui permet aux administrateurs de cibler précisément ce dont ils ont besoin. Les fonctions de corrélation regroupent automatiquement les événements associés, même s'ils proviennent de sources différentes. Comment et avec quel succès différents systèmes de gestion des journaux y parviennent est un facteur de différenciation majeur.
Protocoles de journalisation
La gestion des grumes serait beaucoup plus difficile sipossible, s’il n’y avait pas de protocoles de journalisation. Il en existe quelques-uns qui définissent quelles données doivent être incluses dans les journaux, comment celles-ci doivent être formatées et comment elles doivent être transmises entre les systèmes.
Syslog est sans doute le protocole de journalisation le plus utilisé. Inventé au début des années 80, il est devenu le standard de facto pour les systèmes de type Unix. L'un des plus grands atouts du protocole syslog est la façon dont il sépare le logiciel qui génère les journaux, le système qui les stocke et le logiciel qui les rapporte et les analyse. L'utilisation du protocole Syslog facilite grandement la gestion des journaux. De nombreux périphériques non-Unix, tels que les routeurs de commutateur et autres équipements réseau de nombreux fournisseurs, utilisent une variante du protocole Syslog.
Comme vous l'avez peut-être deviné, Microsoft Windows utiliseun système de journalisation différent. Cela peut avoir à voir avec le fait que les systèmes d'exploitation Windows et leurs applications ont des journaux qui contiennent généralement beaucoup plus d'informations que ce que permet syslog. Heureusement, les fonctions du collecteur d’événements Windows permettent aux systèmes de gestion des journaux de recevoir des événements à partir d’hôtes Windows.
Quel que soit le protocole de journalisation utilisé, unUne partie importante de la gestion des journaux consiste à configurer les périphériques pour qu’ils envoient leurs journaux au système de gestion. Ceci diffère des autres outils tels que les systèmes de surveillance réseau, dans lesquels l'outil récupère les données des hôtes.
Log Servers Vs Log Management
Depuis qu'il est disponible sur tous les Unix-likesystème pendant un certain temps, Syslog est souvent utilisé comme serveur de journal avec un ordinateur recevant des données Syslog de plusieurs autres. Bien que ce stockage centralisé des journaux présente des avantages certains, il ne s’agit pas de la gestion des journaux.
Pour mériter le nom du système de gestion des journaux, unLe produit doit inclure au moins certaines des fonctions les plus avancées. Selon Wikipedia, la gestion des journaux comprend les fonctions suivantes: collecte de journaux, agrégation centralisée de journaux, stockage et conservation à long terme des journaux, rotation des journaux, analyse des journaux, recherche de journaux et création de rapports. Les serveurs de journaux n'offrent souvent que la collecte et le stockage des journaux, et rarement plus. Chacun des systèmes de gestion des journaux de notre liste propose au moins certaines des fonctions les plus avancées.
Qu'en est-il des systèmes SIEM?
Une autre technologie populaire qui est souventassocié aux journaux et confondu avec les systèmes de gestion des journaux est Information de sécurité et gestion des événements, ou SIEM. Ceci est assez différent de la gestion des journaux bien qu’il soit étroitement lié. En fait, certains produits annoncés comme systèmes de gestion des journaux sont en réalité des systèmes SIEM, tandis que certains systèmes SIEM de base ne sont rien de plus que des systèmes de gestion des journaux.
La principale raison de cette confusion est que le journalla gestion, ou du moins l’analyse des journaux, est un élément important des systèmes SIEM. En fait, les systèmes SIEM amènent généralement la gestion des journaux à un niveau supérieur en ajoutant une certaine intelligence au processus. Ces systèmes effectuent une analyse des journaux dans le but ultime d'identifier les problèmes de sécurité. Par exemple, ils rechercheront des signes d'échec de connexion qui indiqueraient une tentative d'intrusion non autorisée. Ces systèmes analyseront automatiquement les entrées de journal à la recherche de tout élément inhabituel.
Les systèmes SIEM ont plus à voir avec la sécurité informatiqueque la gestion informatique et que certains incluent des fonctionnalités étendues de gestion des journaux, beaucoup peuvent également utiliser des systèmes de gestion des journaux externes et il n’est pas rare de voir les deux systèmes fonctionner en parallèle.
Le meilleur logiciel de gestion des journaux
Maintenant que nous avons une compréhension commune de ce queLa gestion des journaux est et n’est pas ce qu’elle est, regardons ce qui est disponible. Nous avons recherché sur le marché certains des meilleurs systèmes de gestion des journaux. Notre première constatation est qu’ils sont nombreux et très bons. Mais comme nous n’avons que très peu d’espace, nous allons examiner les huit plus intéressants que nous avons pu trouver.
1. SolarWinds Papertrail
SolarWinds est un nom commun dans le domaine deoutils d'administration de réseau. Il existe depuis près de 20 ans et nous a fourni l’un des meilleurs outils de surveillance de la bande passante et l’un des meilleurs analyseurs et collecteurs NetFlow. La société est également connue pour la publication de plusieurs outils gratuits répondant à certains besoins spécifiques des administrateurs réseau, tels que la calculatrice de sous-réseau ou un serveur Syslog.
Il y a quelques années, SolarWinds a acquis Piste de papier, un système de gestion de journaux populaire. Il regroupe les fichiers journaux d'une grande variété de produits populaires tels qu'Apache ou MySQL, ainsi que les applications Ruby on Rails, différents services d'hébergement dans le cloud et d'autres fichiers journaux de texte standard. Piste de papier Les utilisateurs peuvent ensuite utiliser l'interface de recherche Web ou les outils de ligne de commande pour effectuer une recherche dans ces fichiers afin de faciliter le diagnostic des bogues et des problèmes de performances. Piste de papier s'intègre également avec d'autres produits SolarWinds tels que Librato et Geckoboard pour des résultats graphiques.
Piste de papier est un logiciel en tant que service (SaaS) basé sur le cloudoffre de SolarWinds. Il est facile à mettre en œuvre, à utiliser et à comprendre. Et cela vous donnera une visibilité instantanée sur tous les systèmes en quelques minutes. L'outil dispose d'un moteur de recherche très efficace, capable de rechercher à la fois des journaux stockés et en continu. Et c'est rapide comme l'éclair.
Piste de papier est disponible sous plusieurs plans, y compris un gratuitplan. Il est cependant quelque peu limité et n'autorise que 100 Mo de journaux par mois. Toutefois, il autorisera 16 Go de journaux au cours du premier mois, ce qui revient à vous donner un essai gratuit de 30 jours. Les forfaits payants commencent à 7 $ / mois pour 1 Go / mois de journaux, une année d’archives et une semaine d’index. Le filtrage du bruit permet à l’outil de conserver les données en ne sauvegardant pas les journaux inutiles.
2. Gestionnaire de journaux et d'événements SolarWinds (ESSAI GRATUIT)
Notre prochaine entrée est un autre produit de SolarWinds appelé SolarWinds Gestionnaire de journaux et d'événements. Contrairement à notre entrée précédente, ceci est unproduit installé localement. Et c’est aussi bien plus qu’un système de gestion des journaux. De nombreuses fonctionnalités avancées de ce produit le placent dans la gamme SIEM. Il dispose par exemple d'une corrélation d'évent en temps réel et d'une correction en temps réel.
Voici un aperçu de la Gestionnaire de journaux et d'événements SolarWindsPrincipales caractéristiques. Il élimine rapidement les menaces grâce à la détection instantanée d'activités suspectes et à des réponses automatisées. Il peut également effectuer des enquêtes sur les événements de sécurité et des analyses judiciaires aux fins d'atténuation et de conformité. Et en parlant de conformité, le produit vous permettra de le démontrer, grâce notamment à ses rapports d'audit éprouvés pour HIPAA, PCI DSS et SOX. Cet outil intègre également la surveillance de l’intégrité des fichiers et la surveillance des périphériques USB, deux fonctionnalités bien au-dessus de ce que nous voyons couramment dans les systèmes de gestion des journaux.
Prix pour le Gestionnaire de journaux et d'événements SolarWinds commencer à 4 585 USD pour un maximum de 30 nœuds surveillés. Vous pouvez acheter des licences pour 2 500 nœuds au maximum, ce qui rend le produit hautement évolutif. Et si vous souhaitez vérifier concrètement que le produit vous convient, une version d'essai gratuite et complète de 30 jours est disponible.
3. ipswitch Log Management Suite
le Log Management Suite est un outil d'Ipswitch, la même société quenous a apporté WhatsUp Gold, un outil de surveillance du réseau extrêmement populaire. Il s'agit d'un outil automatisé qui collecte, stocke, archive et enregistre les journaux système, les événements Windows et les journaux W3C / IIC. De plus, sa surveillance continue des journaux vous alertera de toute activité suspecte.
Événements fréquemment audités tels que les droits d'accèset les privilèges de fichier, de dossier et d'objet peuvent être suivis, générant des alertes si nécessaire et utilisés pour créer des rapports de conformité pour la conformité HIPAA, SOX, FISMA, PCI, MiFID ou Bâle II. Cet outil peut également vous aider à transformer vos données de journal brutes en données significatives pour les responsables ou les équipes de sécurité informatique, grâce à ses fonctionnalités de filtrage, de corrélation, de création de rapports et de conversion automatisées.
Informations tarifaires pour le Log Management Suite n'est pas facilement disponible auprès d'Ipswitch. Le produit peut être acheté directement auprès de l'éditeur ou via le réseau de revendeurs Ipswitch. Une version d'essai gratuite est également disponible.
4. ManageEngine EventLog Analyzer
ManageEngine, un autre nom commun utilisé par un administrateur réseau, constitue un excellent système de gestion des journaux appelé Analyseur ManageEngine EventLog. Le produit va collecter, gérer, analyser, mettre en corrélation et rechercher dans les données de journal de plus de 700 sources à l'aide d'une collecte de journaux combinée ou sans agent et basée sur agent, ainsi que d'une importation de journal.
La vitesse est l'un des Analyseur ManageEngine EventLogLa force de Il peut traiter les données de journal à une vitesse impressionnante de 25 000 journaux / seconde et détecter les attaques en temps réel. Il peut également effectuer une analyse médico-légale rapide pour réduire l'impact d'une violation. Les fonctions d’audit du système s’étendent aux journaux des périphériques de périmètre réseau, aux activités des utilisateurs, aux modifications du compte serveur, aux accès des utilisateurs, etc., vous permettant ainsi de répondre aux besoins en matière d’audit de sécurité.
le Analyseur ManageEngine EventLog est disponible dans une édition gratuite avec moins de fonctionnalitésqui ne prend en charge que 5 sources de journal ou dans une édition premium qui commence à 595 $ et varie en fonction du nombre d'appareils et d'applications. Une version d'essai gratuite et complète de 30 jours est également disponible.
5. Nagios Log Server
Nagios est surtout connu pour son excellent logiciel de surveillance réseau, mais son serveur de journalisation est probablement tout aussi intéressant. Bien appelé le Nagios Log Server, il offre une gestion, une surveillance et une analyse centralisées des journaux. le Nagios Log Server simplifie le processus de recherche de vos données de journal. Il vous permet également de définir des alertes pour être averti des menaces potentielles. De plus, le logiciel est doté d'une haute disponibilité et d'un basculement. Les assistants de configuration de source simples vous aideront à configurer rapidement les serveurs pour qu'ils envoient toutes les données de journal et qu'ils commencent à surveiller vos journaux en quelques minutes. .
le Nagios Log Server vous permet de corréler facilement les événements de journal sur tous lesserveurs en quelques clics. Il vous permet également d’afficher les données du journal en temps réel, ce qui vous permet d’analyser et de résoudre les problèmes au fur et à mesure qu’ils se produisent. Le produit présente une évolutivité impressionnante et continuera à répondre à vos besoins à mesure que votre entreprise se développe. Additionnel Nagios Log Server des instances peuvent être ajoutées à un cluster de surveillance, ce qui vous permet d'ajouter rapidement plus de puissance, de vitesse, de stockage et de fiabilité.
Le prix unique pour le Nagios Log Server s’élève à 3 995 $ et, bien qu’un essai gratuit ne semble pas être disponible, une démonstration en ligne est gratuite si vous préférez jeter un coup d’œil au produit.
6. Alert Logic Log Manager
L’objectif principal d’Alert Logic est la sécurité et la conformité. Et comme la gestion des grumes est étroitement liée aux deux, il n’est pas surprenant que la société offre la Gestionnaire de journaux Alert Logic. Cet outil basé sur le cloud offre des fonctionnalités automatisées etgestion unifiée des journaux dans tous vos environnements. Il collectera, regroupera et recherchera des données de journal à partir des actifs du cloud, du serveur, des applications, de la sécurité et du réseau.
le Gestionnaire de journaux Alert Logic comprend la surveillance et l'analyse des journaux, ainsi queexamen du journal qui est effectué en direct par des analyseurs humains. Les experts d’Alert Logic vous préviendront des menaces potentielles 365 jours par an. Le service aidera également à répondre aux exigences de révision des journaux de SOC 2, HIPAA et SOX et à décharger le fardeau de la révision des journaux et du suivi des événements, conformément aux normes PCI / DSS 10.6, 10.6.1 et 10.6.3.
Informations tarifaires pour le Gestionnaire de journaux Alert Logic n’est pas facilement accessible sur le Web et vous devrez contacter le service commercial d’Alert Logic pour obtenir un devis officiel. Un essai gratuit n'est pas non plus disponible, mais une démo gratuite peut être organisée en contactant Alert Logic.
7. LogDNA
Fondée en 2015, LogDNA est le petit nouveau sur le bloc. La société affirme que «LogDNA est le plus rapide, le plus intuitif etsystème de gestion des journaux rentable ». Tout commence par l'installation qui ne prend que quelques minutes avant que vous puissiez commencer à surveiller vos journaux. Quelle que soit la manière dont les journaux sont générés et transmis, des centaines de schémas d'intégration personnalisés sont disponibles pour les centraliser dans un seul volet.
LogDNA peut être basé sur le cloud ou auto-hébergé, selonvotre préférence. Il est hautement évolutif et peut gérer des centaines de milliers de journaux par seconde et des dizaines de téraoctets par client et par jour en toute sécurité grâce à l'analyse des journaux en temps réel. La société et ses produits sont conformes aux normes SOC2, PCI et HIPAA, ainsi qu’à Privacy Shield.
Avec son modèle de tarification simple, au paiement par Go, quiélimine les contrats et les compartiments de données fixes, le coût total de possession est l’un des plus bas du marché. Plusieurs abonnements sont disponibles avec des fonctionnalités croissantes. Le plan de niveau inférieur est gratuit et les plans payants varient de 1,50 USD / Go / mois à 3 USD / Go / mois en fonction de la durée de conservation et du nombre d'utilisateurs. Un essai gratuit et complet de 14 jours est également disponible.
8. Graylog
Le dernier sur notre liste est un produit appelé Graylog. Le produit offre de nombreuses fonctionnalités intéressantes. L'outil analysera et enrichira les journaux et les données d'événement à partir de n'importe quelle source de données. Ses pipelines de traitement permettent une certaine flexibilité en matière d'acheminement, de mise en liste noire, de modification et d'enrichissement des messages en temps réel. Graylog effectuera une recherche dans des téraoctets de données de journal pour découvrir et analyser des informations importantes. La syntaxe de recherche puissante vous permet de trouver exactement ce que vous recherchez.
Avec Graylog, vous pouvez créer des tableaux de bord pour visualiser les métriqueset observez les tendances dans un endroit central. Vous pouvez utiliser les statistiques de champ, les valeurs rapides et les graphiques de la page des résultats de la recherche pour vous plonger dans une analyse plus approfondie de vos données. Le système a également la possibilité de déclencher des actions ou d'émettre des notifications sur des événements tels que des tentatives de connexion infructueuses, des exceptions ou une dégradation des performances.
Graylog est disponible en version libre et open source,version à fonctionnalités limitées qui offre également une prise en charge limitée ou en tant que version d'entreprise avec fonctionnalités étendues et support illimité. Une licence d'essai peut également être obtenue en contactant Graylog Ventes.
commentaires