Les fichiers journaux sont présents sur presque tous les ordinateurssystème ou périphérique réseau. Ils contiennent des détails sur les événements se produisant sur chaque système. Ils peuvent s'avérer inestimables lors du dépannage de divers problèmes. Ils peuvent également révéler des activités malveillantes et peuvent donc devenir un moyen utile d'assurer la sécurité. Mais qui a le temps de regarder les fichiers de log? Avec un administrateur typique qui gère des dizaines de périphériques, certains enregistrant plusieurs événements toutes les secondes, personne ne peut en garder la trace. C'est pourquoi les outils de surveillance des journaux ont été inventés. Ils consolident tous les journaux d'événements en un seul endroit et fournissent souvent des outils d'analyse et des services qui parcourent les journaux et émettent des alertes chaque fois que quelque chose sortant de l'ordinaire est observé. De nombreux outils de surveillance des journaux sont disponibles et choisir le meilleur peut s'avérer être un défi. Pour vous aider, nous avons rassemblé cette liste de certains des meilleurs outils de surveillance des journaux.
Nous allons commencer notre discussion en explorantLes journaux système, ce qu’ils sont et comment ils fonctionnent. Ensuite, nous parlerons des journaux de surveillance. Comme auparavant, nous verrons ce que cela signifie et comment cela se passe. Nous vous fournirons ensuite plus de détails sur l'analyse des journaux, car c'est la fonctionnalité qui rend les outils de surveillance des journaux plus utiles. Comme précédemment, nous allons décrire ce qu’il en est et les différentes formes d’analyse disponibles. Enfin, nous allons passer en revue certains des meilleurs outils de surveillance des journaux que nous avons pu trouver et vous expliquer leurs principales fonctionnalités.
Le système se connecte en quelques mots
En une phrase, un fichier journal, ou journal système, est unfichier qui enregistre les événements qui se produisent dans un système d'exploitation ou un autre logiciel. La journalisation consiste à conserver un journal système. Dans le plus simple des cas, les messages sont simplement écrits dans un seul fichier journal. Alors que la plupart des systèmes utilisent principalement des fichiers texte pour consigner les événements, certains systèmes modernes utilisent une forme de base de données pour les consigner.
Peu importe comment et où les événements sont enregistrés, certainsLes systèmes vous permettent de définir le niveau de journalisation requis. Cela est particulièrement vrai avec les équipements de réseau où chaque événement a un niveau de gravité et les paramètres de journalisation peuvent être configurés pour enregistrer uniquement les événements d'un certain niveau de gravité ou plus. D'autres types de systèmes offrent également des fonctionnalités similaires.
À propos des journaux de surveillance
La surveillance des journaux est un processus en deux parties. La première partie, et la plus importante, est la collecte de données de journal provenant de divers systèmes. Ceci est accompli de différentes manières. Certains systèmes peuvent être configurés pour envoyer automatiquement les journaux à un serveur centralisé via le protocole Syslog. Les outils de surveillance des journaux ont généralement un serveur syslog intégré pour recevoir directement les données d'événement. D'autres systèmes, tels que Windows, par exemple, fonctionnent différemment. Il existe différents moyens d’acquérir des données de journal à partir de ces systèmes, tels que l’utilisation de Windows Management Instrumentation ou l’utilisation d’agents locaux exécutés sur des hôtes Windows. Quelle que soit sa réalisation, chaque système de surveillance de journalisation inclut les fonctionnalités requises pour recevoir et consolider les données de journalisation provenant de sources multiples.
La prochaine étape - Analyse du journal
La deuxième tâche de tout outil utile de surveillance des journauxest l'analyse du journal. C'est là que les outils diffèrent le plus. Certains n'offrent qu'une analyse très basique, telle que le déclenchement d'une alerte lorsque le nombre d'événements par unité de temps atteint un seuil donné. Des outils plus avancés examineront chaque événement et rechercheront des indications spécifiques sur les problèmes. Par exemple, un grand nombre de connexions échouées peut être le signe d’une tentative d’intrusion en cours. Nous pourrions passer des pages à décrire les différentes formes d’analyse de journal disponibles. Au lieu de cela, nous vous invitons à consulter les différentes critiques de produits ci-dessous pour plus de détails sur ce qu’elles offrent.
Les meilleurs outils de surveillance des journaux
Comme nous l'avons indiqué précédemment, il existe de nombreuxoutils disponibles avec différents degrés de fonctionnalité. Tout le monde n’a pas besoin d’un outil offrant des fonctions d’analyse poussées et de haute sécurité, nous avons donc inclus une combinaison d’outils offrant divers jeux de fonctionnalités. Certains sont des outils plus simples alors que d'autres sont plus complexes. Il vous appartient de déterminer quel outil correspond le mieux à vos besoins. Heureusement, tous les outils de notre liste ont un essai gratuit disponible, donc rien ne vous empêche d’en essayer quelques-uns, ce que nous recommandons vivement.
1. Gestionnaire de journaux et d'événements SolarWinds (Essai gratuit)
SolarWinds est un nom commun dans la surveillancemonde. La société existe depuis plus de 20 ans et son produit phare, appelé Network Performance Monitor, est reconnu par beaucoup comme l’un des meilleurs outils de surveillance SNMP disponible. Et comme si cela ne suffisait pas, SolarWinds est également connu pour ses nombreux outils gratuits. Ce sont des outils plus petits, chacun répondant à un besoin spécifique des administrateurs réseau. La calculatrice avancée de sous-réseau et le serveur SolarWinds TFTP sont deux excellents exemples de ces outils gratuits.
En ce qui concerne la Gestionnaire de journaux et d'événements SolarWinds (LEM), c’est exactement ce que son nom implique. Cet outil est si riche en fonctionnalités que beaucoup le considèrent comme un outil à part entière pour la gestion des informations de sécurité et des événements. Lorsqu'il s'agit de surveiller et de gérer les journaux, il s'agit probablement de l'un des outils de gestion des journaux les plus intéressants que vous puissiez trouver. Il possède des fonctionnalités très utiles de gestion des journaux et de corrélation, ainsi qu'un moteur de génération de rapports impressionnant.
- ESSAI GRATUIT: Gestionnaire de journaux et d'événements SolarWinds
- Lien de téléchargement: https://www.solarwinds.com/log-event-manager-software/registration
le Gestionnaire de journaux et d'événements SolarWinds peut aider à améliorer la sécurité et la conformité endétecter les activités suspectes et identifier les menaces plus rapidement avec la détection des activités suspectes en temps voulu. Vous pouvez également utiliser l'outil pour mener des enquêtes sur les événements de sécurité et des analyses judiciaires à des fins d'atténuation et de conformité. C’est pour cette raison que beaucoup considèrent le produit comme un outil SIEM. De plus, cet outil aide à la préparation à la conformité réglementaire. Vous pouvez l'utiliser pour démontrer la conformité, grâce à ses rapports éprouvés en vérification pour HIPAA, PCI DSS, SOX, DISA STIG, etc.
le Gestionnaire de journaux et d'événements SolarWindsLes fonctions de réponse aux événements ne laissent rien êtrevoulu. Le système de réponse en temps réel détaillé réagira activement à chaque menace. Le fait d’être fondé sur le comportement plutôt que sur l’analyse de signature signifie que vous êtes même protégé contre les menaces inconnues ou futures. Mais le tableau de bord de l’outil est peut-être son meilleur atout. Avec une conception simple, vous n'aurez aucun mal à identifier rapidement les anomalies.
Prix pour le Gestionnaire de journaux et d'événements SolarWinds est basé sur le nombre de nœuds surveillés. Différents niveaux de licences, allant de 30 à 2500 nœuds, sont disponibles à partir de 4 665 USD. Et si vous souhaitez essayer le produit avant l’achat, une version d’essai gratuite et pleinement fonctionnelle de 30 jours est disponible au téléchargement.
2. Gestionnaire de journaux SolarWinds pour Orion (Essai gratuit)
Suivant sur notre liste est un autre produit de SolarWinds appelé le Gestionnaire de journaux pour Orion. Orion, au cas où vous ne connaissez pasProduits de SolarWinds, était la meilleure plate-forme de la société il y a quelques années. C’est toujours l’architecture sous-jacente sur laquelle sont construits bon nombre des meilleurs produits de SolarWinds. Si vous utilisez l’un des analyseurs de performances du réseau, NetFlow Traffic Analyzer, Network Configuration Manager, Virtualization Manager, Server et Application Monitor ou Storage Resource Monitor, vous utilisez Orion.
- ESSAI GRATUIT: Gestionnaire de journaux SolarWinds pour Orion
- Lien de téléchargement: https://www.solarwinds.com/log-manager-for-orion-software/registration
le Gestionnaire de journaux SolarWinds pour Orion ajoute des fonctionnalités de gestion des journaux à l’un desOutils de surveillance et de gestion basés sur Orion. En résumé, le produit propose une agrégation, un balisage, un filtrage et une alerte des journaux puissants et intuitifs. Son intégration aux produits de la plateforme Orion offre une vue unifiée de la surveillance de l’infrastructure informatique et des journaux associés. Le produit a été créé en collaboration avec des ingénieurs réseau et systèmes afin de s’assurer de la compréhension de leurs problèmes et de la manière de les résoudre.
Malgré son intégration avec la plateforme Orion, le Gestionnaire de journaux peut être installé seul et ne nécessite pastout autre outil Orion à installer. Le prix commence à 1 495 USD et une version d'essai gratuite de 30 jours est disponible si vous souhaitez tester le produit et voir comment il répond à vos besoins.
3. Piste de papier (Plan gratuit disponible)
Suivant est encore un autre produit de SolarWinds appelé Piste de papier. Celui-ci est très différent du précédentdeux car il s’agit d’une offre SaaS (Software as a Service) basée sur le cloud. Le puissant outil jouissait déjà d’une certaine popularité lorsque SolarWinds l’a acquis il ya quelques années. Il regroupe les fichiers journaux d'une multitude de produits tels qu'Apache ou MySQL, ainsi que les applications Ruby on Rails, plusieurs services d'hébergement dans le cloud et d'autres fichiers journaux de texte standard.
- Inscrivez-vous ici: https://papertrailapp.com/plans
Pour aider à diagnostiquer les bogues et les problèmes de performances, vous pouvez utiliser le Piste de papier moteur de recherche très efficace et rapidequi peut rechercher à la fois les journaux stockés et en streaming. Le produit s'intègre à quelques autres produits SolarWinds tels que Librato et Geckoboard pour des résultats graphiques. Piste de papier est également facile à mettre en œuvre, à utiliser et à comprendre. Il vous fournira une visibilité instantanée sur tous les systèmes en quelques minutes.
Piste de papier est disponible sous plusieurs plans, y compris un gratuitplan. Il est quelque peu limité et n'autorise que 50 Mo de journaux par mois. Toutefois, il autorisera 16 Go de journaux au cours du premier mois, ce qui revient à vous donner un essai gratuit et illimité de 30 jours. Les forfaits payants commencent à 7 $ / mois pour 1 Go / mois de journaux, une année d’archives et une semaine d’index. Le forfait à 75 $ par mois avec 8 Go de journaux est le plus populaire. Le filtrage du bruit permet à l’outil de conserver les données en ne sauvegardant pas les journaux inutiles.
4. PRTG Network Monitor
le PRTG Network Monitor de Paessler AG est une solution intégrée tout-en-unsystème de surveillance qui peut être utilisé pour surveiller presque tout, grâce à son architecture intelligente à base de capteurs. L'une des meilleures caractéristiques de ce produit d'entreprise est certainement sa vitesse d'installation. Selon Paessler, le PRTG Network Monitor peut être mis en place en quelques minutes. Bien que cela ne soit pas si rapide pour tout le monde, il reste l’un des outils de surveillance les plus simples et les plus rapides à configurer, en partie grâce à son processus de découverte automatique.
le PRTG Network Monitor est un produit riche en fonctionnalités. À la base, il s'agit principalement d'un outil de surveillance réseau qui utilise SNMP pour interroger les périphériques et afficher leur utilisation des interfaces sur des graphiques chronologiques. Cependant, grâce à l’utilisation de capteurs supplémentaires, PRTG peut surveiller à peu près tout. Les capteurs ressemblent quelque peu aux add-ons, à la différence qu’ils sont inclus avec le produit. Et des capteurs sont disponibles pour différents serveurs, services et applications. Au total, le produit comprend plus de 200 capteurs.
Pour la surveillance et la gestion des journaux, deux capteurs différents sont disponibles. le API Windows du journal des événements capteur capture tous les messages de journal que Windowsgénère. Ce capteur surveille le débit des messages du journal plutôt que leur contenu et génère une alarme si le débit des messages du journal des événements atteint un seuil critique.
L’autre capteur intéressant, le Syslog Receiver capteur, reçoit, surveille et enregistre syslogmessages de tout appareil. Cependant, il ne s'agira pas simplement d'agréger les journaux de différentes sources. Sa fonctionnalité de surveillance déclenche des alarmes chaque fois que des conditions inquiétantes se présentent, telles qu'une augmentation du taux de réception des journaux.
le PRTG Network Monitor est disponible en deux versions. La version gratuite est complète mais elle limitera votre capacité de surveillance à 100 capteurs. Lors de l'utilisation de SNMP, chaque paramètre surveillé compte pour un capteur. Par exemple, si vous surveillez deux interfaces sur un routeur, cela comptera pour deux capteurs. Chaque instance d'un capteur de surveillance spécifique compte également pour un. Si vous avez besoin de plus de 100 capteurs, vous devrez acheter une licence dont le prix commence à 1 600 USD pour 500 capteurs. Une version d'essai gratuite de 30 jours, illimitée de capteurs et complète, est disponible.
5. Analyseur ManageEngine EventLog
ManageEngine est un autre fabricant d’outils d’administration de réseau bien connu des professionnels de l’informatique. La société propose un système de gestion des journaux appelé le Analyseur ManageEngine EventLog. Le produit collecte, gère, analyse, corrèle et recherche dans les données de journal de plus de 700 sources à l'aide d'une collecte de journaux combinée ou sans agent et basée sur agent, ainsi que d'une importation de journal.
le Analyseur ManageEngine EventLogLa capacité est impressionnante. Il peut traiter les données de journal à une vitesse pouvant atteindre 25 000 journaux / seconde et détecter les attaques en temps réel. L'outil peut également effectuer rapidement une analyse médico-légale, réduisant ainsi l'impact potentiel d'une violation. Les fonctions d’audit du système s’étendent aux journaux des périphériques de périmètre réseau, aux activités des utilisateurs, aux modifications du compte serveur, aux accès des utilisateurs, etc., vous permettant ainsi de répondre aux besoins en matière d’audit de sécurité.
Corrélation du journal des événements en temps réel de l'outildétecte instantanément les tentatives d'attaque et détecte les menaces potentielles pour la sécurité en mettant en corrélation les données de journal avec plus de 30 règles prédéfinies pour détecter les attaques par force brute, les verrouillages de compte, le vol de données, les attaques de serveur Web, etc. Il comporte également un analyseur de journal personnalisé pouvant extraire des champs à partir de n'importe quel format de journal lisible par l'homme. Le produit fournit véritablement une console unique pour afficher toutes vos données de journal de sécurité.
le Analyseur ManageEngine EventLog est disponible dans une édition gratuite avec moins de fonctionnalitésqui ne prend en charge que 5 sources de journal ou dans une édition premium qui commence à 595 $ et varie en fonction du nombre d'appareils et d'applications. Une version d'essai gratuite et complète de 30 jours est également disponible.
6. Graylog
Graylog est une plate-forme de gestion de journaux open-source gratuiteavec beaucoup de fonctionnalités intéressantes. L'outil peut analyser et enrichir les journaux et les données d'événement de presque toutes les sources de données. Ses pipelines de traitement offrent une certaine flexibilité pour l'acheminement, la liste noire, la modification et l'enrichissement des messages en temps réel. L'outil effectuera une recherche dans des téraoctets de données de journal pour découvrir et analyser des informations importantes. Sa syntaxe de recherche puissante et plutôt unique vous permet de trouver exactement ce que vous recherchez.
Avec Graylog, vous avez la possibilité de créer desdes tableaux de bord vous permettant de visualiser des métriques spécifiques et d'observer les tendances à partir d'un emplacement central. Vous pouvez utiliser les statistiques de champ, les valeurs rapides et les graphiques de la page de résultats de la recherche pour explorer plus en profondeur vos données. En outre, le produit offre la possibilité de déclencher des actions ou d'émettre des notifications lors d'événements tels que des tentatives de connexion infructueuses, des exceptions ou une dégradation des performances.
Graylog est disponible en version libre et open sourceversion limitée qui a également un support limité. Il existe également une version d'entreprise avec des fonctionnalités étendues et un support illimité. Il est également gratuit pour un maximum de 5 Go de journaux par jour. En fonction de la taille et de la densité de votre réseau. Cela pourrait suffire à vos besoins. Les prix des licences et de l’assistance peuvent être obtenus en contactant Graylog Ventes.
7. WhatsUp Log Management Suite
le WhatsUp Log Management Suite est un excellent outil d'Ipswitch. Ipswitch, faut-il le rappeler, est la société derrière WhatsUp Gold, le très populaire outil de surveillance du réseau. Celui-ci est un outil automatisé qui collecte, stocke, archive et enregistre les journaux système, les événements Windows et les journaux W3C / IIC. Il ne s'agit pas simplement d'agréger les journaux et les événements. Cependant, sa surveillance et son analyse en continu des journaux vous alerteront de toute activité anormale.
le WhatsUp Log Management Suite suivra des événements fréquemment audités tels queles droits d’accès et les privilèges de fichiers, de dossiers et d’objets et générer des alertes si nécessaire. Il utilise également les événements collectés pour créer des rapports de conformité pour la conformité HIPAA, SOX, FISMA, PCI, MiFID ou Bâle II. Ce logiciel peut également aider à transformer vos données de journal brutes en informations utiles pour les responsables ou les équipes de sécurité informatique, grâce à ses puissantes fonctionnalités de filtrage, de corrélation, de création de rapports et de conversion automatisées.
le WhatsUp Log Management Suite est en fait un ensemble d’applications comprenant les outils suivants:
- Archiveur d'événement: Cet outil automatise la collecte, la suppression et la consolidation des journaux.
- Alarme d'événement: Un outil pour surveiller les fichiers journaux et recevoir une notification en temps réel sur les événements clés.
- Analyste d'événement: Analyses et rapports sur les données de journal et les tendances; distribuer automatiquement les rapports à la direction, aux responsables de la sécurité, aux auditeurs et aux autres parties prenantes.
- Rover d'événement: Une console unifiée pour une expertise judiciaire approfondie sur tous les serveurs et stations de travail afin d'accroître l'efficacité et de gagner du temps.
Informations tarifaires pour le Log Management Suite n'est pas facilement disponible auprès d'Ipswitch. Le produit peut être acheté directement auprès de l'éditeur ou via le réseau de revendeurs Ipswitch. Une version d'essai gratuite est bien sûr également disponible.
8. LogDNA
On dit que LogDNA est “le système de gestion des journaux le plus rapide, le plus intuitif et le plus économique” Cela tend à être vrai. Dès le début, l’installation du produit ne prend que quelques minutes avant que vous puissiez commencer à collecter et à surveiller les journaux. Quelle que soit la manière dont les journaux sont générés et transmis, des centaines de schémas d'intégration personnalisés sont disponibles dans le produit pour vous aider à centraliser les journaux dans un emplacement unique.
LogDNA est disponible sous forme de nuage ou deversion auto-hébergée, selon vos préférences. C'est un produit hautement évolutif capable de gérer des centaines de milliers de journaux par seconde et des dizaines de téraoctets par jour tout en offrant une sécurité maximale ainsi qu'une analyse des journaux en temps réel. La société et ses produits sont conformes aux normes SOC2, PCI et HIPAA, ainsi qu’à la certification Privacy Shield.
Le modèle de tarification simple au paiement par Go de LogDNAélimine les contrats et les allocations de données fixes, ce qui représente l'un des coûts de possession les plus bas de toute solution de surveillance et de gestion des journaux payante. Plusieurs abonnements sont disponibles avec des fonctionnalités croissantes. Le plan de niveau inférieur est gratuit et les prix des plans payants varient de 1,50 USD / Go / mois à 3 USD / Go / mois, en fonction de la durée de conservation et du nombre d'utilisateurs. Un essai gratuit, complet et illimité de 14 jours est également disponible.
commentaires