Avec les systèmes actuels générant une tonne de journalisationdonnées, il n’est pas surprenant que les administrateurs recherchent en permanence des solutions de gestion des journaux. Les journaux sont, par défaut, souvent stockés localement. Cela a du sens car il est facile de les relier à leur source. Cependant, lorsque nous essayons de résoudre des problèmes et de trouver leur cause fondamentale, nous devons parfois consulter plusieurs fichiers journaux sur de nombreux périphériques. Ne serait-il pas intéressant que tous les journaux de tous les périphériques soient stockés dans un seul et même endroit centralisé? C'est le but de la gestion des journaux. Et si votre plate-forme de prédilection est Linux, de nombreuses options sont disponibles. Poursuivez votre lecture pour découvrir la meilleure gestion de journaux pour Linux.
Nous commencerons par définir la gestion des journaux. Vous verrez que cela peut être bien plus que simplement centraliser le stockage des journaux. Nous aborderons ensuite diverses technologies de journalisation. C’est la pierre angulaire de la gestion des journaux et elle n’existerait probablement pas sans eux. En continuant, nous distinguerons les serveurs syslog des systèmes de gestion des journaux et nous nous rendrons compte qu’il n’ya pas de démarcation claire entre eux. Nous nous arrêterons ensuite brièvement pour discuter des systèmes de gestion de la sécurité et des événements. Ils constituent un autre type de système souvent confondu avec la gestion des journaux, en raison de la définition peu claire de chacun. Enfin, nous examinerons la meilleure gestion des journaux pour Linux.
Qu'est-ce que la gestion des journaux?
Avant de pouvoir parler de la gestion des journaux, commençons pardéfinir ce qu'est un journal. Simplement défini, un journal est la documentation produite automatiquement et horodatée d'un événement pertinent pour un système particulier. En d'autres termes, chaque fois qu'un événement se produit sur un système, un journal est généré. Les systèmes et les appareils génèrent des journaux pour différents types d’événements. De nombreux systèmes donnent aux administrateurs un certain contrôle sur les événements qui génèrent un journal et ceux qui ne le font pas.
En ce qui concerne la gestion des journaux, il fait simplement référence àles processus et les politiques utilisés pour administrer et faciliter la génération, la transmission, l'analyse, le stockage, l'archivage et l'élimination éventuelle de grands volumes de données de journaux. Bien que cela ne soit pas clairement indiqué, la gestion des journaux implique un système centralisé dans lequel les journaux de plusieurs sources sont collectés. La gestion des journaux ne consiste pas simplement en une collecte de journaux. C'est la partie gestion qui est la plus importante. Et les systèmes de gestion des journaux ont souvent de multiples fonctionnalités, la collecte des journaux n'étant que l'une d'entre elles.
Une fois les journaux reçus par la gestion des journauxsystème, ils doivent être normalisés dans un format commun car différents formats de système enregistrent différemment et incluent des données différentes. Certains commencent un journal avec la date et l'heure, d'autres avec un numéro d'événement. Certains n'incluent qu'un ID d'événement alors que d'autres incluent une description de l'événement en texte intégral. L'un des objectifs des systèmes de gestion des journaux est de garantir que toutes les entrées de journal collectées sont stockées dans un format uniforme. Cela facilitera grandement la corrélation et la recherche éventuelle.
Même la corrélation et la recherche sont deux autresfonctions principales de plusieurs systèmes de gestion des journaux. Les meilleurs d'entre eux disposent d'un puissant moteur de recherche qui permet aux administrateurs de déterminer précisément ce dont ils ont besoin. Les fonctions de corrélation regroupent automatiquement les événements associés, même s'ils proviennent de sources différentes. Comment et avec quel succès différents systèmes de gestion des journaux y parviennent est un facteur de différenciation majeur.
A LIRE AUSSI: 15 meilleurs outils de surveillance du réseau (notre propre commentaire)
Technologies de journalisation
La gestion des journaux serait beaucoup plus difficile,peut-être même pas possible, s'il n'y avait pas de protocoles de journalisation. Quelques uns existent. Ils définissent quelles données doivent être incluses dans les journaux, comment elles doivent être formatées et, parfois, comment elles doivent être transmises entre les systèmes.
Syslog est sans doute la journalisation la plus utiliséeprotocole, en particulier dans le monde Linux. La technologie a été inventée au début des années 80 et est devenue le standard de facto pour tous les systèmes de type Unix. L'un des plus grands atouts de la technologie syslog est la facilité avec laquelle elle sépare le système ou le logiciel qui génère les journaux, le système qui les stocke et le logiciel qui les rapporte et les analyse. L'utilisation de la technologie Syslog facilite grandement la gestion des journaux. Et Syslog n'est pas une exclusivité Unix. De nombreux périphériques non-Unix tels que les commutateurs, les routeurs et toutes sortes d'équipements de nombreux fournisseurs utilisent une variante du protocole Syslog.
Il existe d'autres technologies de journalisation. Microsoft Windows, par exemple, utilise un système de journalisation différent. Cela est peut-être dû au fait que les systèmes d'exploitation Windows et leurs applications ont des journaux contenant généralement des informations plus détaillées que celles autorisées par la technologie Syslog. Heureusement, les fonctions du collecteur d’événements Windows fournissent un moyen de gestion des journaux que divers systèmes peuvent utiliser pour recevoir des événements provenant d’hôtes Windows. Cet article traite de la gestion des journaux Linux, alors ne perdons pas trop de temps sous Windows.
Quelle que soit la technologie de journalisation utilisée, unUne partie importante de la gestion des journaux consiste à configurer les périphériques pour qu’ils envoient leurs journaux au système de gestion. D'autres types d'outils, tels que les systèmes de surveillance du réseau, peuvent récupérer les données des systèmes qu'ils surveillent, mais avec la gestion des journaux, chaque périphérique doit être «informé» du lieu d'envoi de ses journaux. Il s’agit toutefois d’une tâche relativement simple qui est souvent accomplie par une commande simple.
LIRE AUSSI: Meilleur logiciel de cartographie de diagramme de réseau et de topologie
Serveurs de journaux ou gestion des journaux?
Depuis qu'il est disponible sur tous les Unix-likesystème - y compris Linux - pendant un bon bout de temps, Syslog est souvent utilisé comme serveur de journal, un ordinateur recevant des données Syslog de plusieurs autres. Bien que ce stockage centralisé de journaux présente des avantages certains, il ne suffit pas de s'appeler gestion des journaux.
Pour mériter le nom du système de gestion des journaux, unLe produit doit inclure au moins certaines des fonctions les plus avancées. Selon Wikipedia, «la gestion des journaux comprend les fonctions suivantes: collecte de journaux, agrégation centralisée de journaux, stockage et conservation à long terme des journaux, rotation des journaux, analyse des journaux, recherche de journaux et création de rapports». Hou la la! C’est beaucoup de fonctionnalités. Les serveurs de journaux, en revanche, ne proposent souvent que la collecte et le stockage des journaux et rarement plus que cela.
Un mot (ou deux) à propos de SIEM
Une autre technologie populaire qui est associéeavec les journaux et souvent confondu avec les systèmes de gestion des journaux est Information de sécurité et gestion des événements, ou SIEM. Ceci est différent de la gestion des journaux mais il est étroitement lié. La ligne est si mince entre eux que certains produits annoncés comme systèmes de gestion des journaux sont en réalité des systèmes SIEM, tandis que certains systèmes SIEM de base ne sont rien de plus que des systèmes de gestion des journaux avancés.
La confusion provient du fait que logla gestion - ou, à tout le moins, l'analyse des journaux - est une composante importante des systèmes SIEM. Ce qui différencie les systèmes SIEM, c'est qu'ils effectuent une analyse des journaux dans le but ultime d'identifier les problèmes de sécurité. Par exemple, ils rechercheront des signes d'échec de connexion qui pourraient indiquer une tentative d'intrusion non autorisée. Ces systèmes analysent en permanence les entrées de journal à la recherche de quelque chose sortant de l'ordinaire. Certains systèmes SIEM incluent des fonctionnalités étendues de gestion des journaux, mais certains utilisent un système de gestion des journaux externe et il n’est pas rare de voir les deux systèmes fonctionner en parallèle.
LECTURE CONNEXE: Meilleurs scanners IP pour Mac
La meilleure gestion des journaux pour Linux
Espérons que nous avons maintenant une compréhension commune deQu'est-ce que la gestion des journaux et ce que ce n'est pas. Voyons donc ce qui est disponible pour Linux. Mais d’abord, clarifions quelque chose. Lorsque nous parlons de gestion des journaux Linux, nous entendons par systèmes de gestion des journaux pouvant prendre en charge les journaux Linux et pouvant être exécutés sur la plate-forme Linux ou dans le cloud. Certaines de nos sélections, notamment les systèmes en nuage, fonctionneront également avec les journaux d’autres plates-formes.
1. SolarWinds Papertrail (PLAN GRATUIT DISPONIBLE)
SolarWinds est devenu un nom familier parmi le réseauadministrateurs. C’est l’un des meilleurs outils depuis près de 20 ans, ce qui nous offre d’excellents outils de contrôle de la bande passante et l’un des meilleurs analyseurs et collecteurs NetFlow. La société est également connue pour la publication de plusieurs outils gratuits répondant à certains besoins spécifiques des administrateurs réseau, tels que la calculatrice de sous-réseau ou un serveur Syslog.
- PLAN GRATUIT: SolarWinds Papertrail
- Lien de téléchargement officiel: https://papertrailapp.com/plans
Il n'y a pas si longtemps, SolarWinds acquis Piste de papier, un système de gestion de journaux populaire. Il regroupe les fichiers journaux d'une grande variété de produits populaires tels qu'Apache ou MySQL, ainsi que les applications Ruby on Rails, différents services d'hébergement dans le cloud et d'autres fichiers journaux standard syslog et textuels. Piste de papier les utilisateurs peuvent ensuite utiliser l'interface de recherche Webou des outils en ligne de commande pour rechercher dans ces fichiers afin de vous aider à diagnostiquer divers problèmes. Papertrail s'intègre également à d'autres produits SolarWinds tels que Librato et Geckoboard pour des résultats graphiques.
Piste de papier est un logiciel en tant que service (SaaS) basé sur le cloudoffre de SolarWinds. Etre basé sur le cloud signifie que cela fonctionnera correctement dans un environnement entièrement Linux. La plate-forme est facile à mettre en œuvre, à utiliser et à comprendre. Elle vous donnera une visibilité instantanée sur tous les systèmes en quelques minutes. En outre, le produit dispose d'un moteur de recherche très efficace, capable de rechercher à la fois des journaux stockés et en streaming. Et c'est rapide comme l'éclair.
Piste de papier est disponible sous plusieurs plans, y compris un gratuitplan. Il est cependant quelque peu limité et n'autorise que 100 Mo de journaux par mois. Toutefois, il autorisera 16 Go de journaux au cours du premier mois, ce qui revient à vous donner un essai gratuit de 30 jours. Les forfaits payants commencent à 7 $ / mois pour 1 Go / mois de journaux, une année d’archives et une semaine d’index. Le filtrage du bruit permet à l’outil de conserver les données en ne sauvegardant pas les journaux inutiles.
2. Loggly
Loggly est un autre service en ligne basé sur un nuage. Principalement un consolidateur de journaux, il offre également une fonctionnalité d'analyse des journaux. En tant que vertu d'être basé sur le cloud, ce système ne nécessite aucune installation et est prêt à être utilisé dès que vous vous abonnez. Bien entendu, vos systèmes et vos périphériques devront être configurés pour télécharger périodiquement leurs fichiers journaux standard sur le serveur en ligne.
- ESSAI GRATUIT: Plans loggly
- Lien officiel: https://www.loggly.com
Loggly convertit ensuite les données de journal reçues en unformat standard, permettant ainsi à l’analyseur de traiter les enregistrements de diverses sources et permettant le suivi et la corrélation des événements sur tous les systèmes, quel que soit leur système d’exploitation ou leur technologie de journalisation. Les sources des données de journal ne se limitent pas à vos serveurs sur site. Le système est bien sûr capable de traiter les journaux générés par les serveurs en ligne, tels que AWS d’Amazon, et peut inclure des messages créés par des applications spécifiques telles que Docker et Logstash, pour ne nommer que ceux-là.
le Loggly le service est disponible sous trois plans différents,avec l'augmentation des limites de traitement des données et des temps de rétention. Vous devez choisir celui qui vous convient le mieux pour vous laisser suffisamment d’espace pour vos données de journal. Le plan de base est appelé Loggly Léger. C'est gratuit à utiliser. Avec ce plan, vous pouvez télécharger 200 Mo de données de journal par jour et le système conservera chaque enregistrement pendant sept jours. Suivant est le plan standard qui vous donne une allocation de téléchargement de 1 Go par jour et conserve des enregistrements pendant 30 jours. Les forfaits payants vous permettent également d'utiliser plusieurs comptes d'utilisateurs. Avec le package Standard, vous pouvez avoir trois comptes d'utilisateur. Le niveau supérieur s'appelle Loggly Entreprise. Il n'y a pas de limite au nombre de comptes d'utilisateurs que vous pouvez configurer et les prix varient en fonction de la capacité de chargement et de la période de rétention requise. Le paiement de tous les plans payés peut être mensuel ou annuel. Un essai gratuit de 14 jours est disponible sur le plan Standard.
3. Splunk
Splunk est bien connu - au sein de l'administration du systèmecommunauté - système complet de gestion des journaux pour Linux, Mac OS et Windows. Plus qu'un simple système de gestion de journaux, certains considèrent qu'il s'agit d'un système de prévention des intrusions à part entière. Le produit est disponible en trois versions. Au sommet est Splunk Enterprise qui est plus d’un système de gestion de réseau que d’un simple outil de gestion des journaux. Les prix commencent à 173 $ par mois et vous obtenez beaucoup de fonctionnalités.
Il existe également une version gratuite de Splunk qui est fondamentalement le même outil sans une partie deses fonctionnalités les plus avancées. Essentiellement, l’analyse des fichiers journaux est limitée. Vous pouvez alimenter n'importe lequel de vos fichiers journaux standard ou envoyer des données en temps réel via un fichier à l'analyseur. La version gratuite a quelques limitations. Par exemple, il ne peut avoir qu'un seul compte utilisateur et son débit de données est limité à 500 Mo de journaux par jour. La fonctionnalité de tri et de filtrage des données est intégrée à Splunk, ce qui facilite vos efforts de dépannage. Vous pouvez utiliser ces fonctionnalités pour diviser les enregistrements de journal par date et écrire chaque groupe dans de nouveaux fichiers. En fait, cette fonctionnalité est très flexible.
4. Nagios Log Server
Nagios est surtout connu pour son excellent logiciel de surveillance réseau, mais son serveur de journalisation est tout aussi intéressant. Le produit s'appelle simplement le Nagios Log Server et il offre une gestion centralisée des journaux,surveillance et analyse. Cet outil peut grandement simplifier le processus de recherche de vos données de journal. Il vous permet également de définir des alertes pour être averti des menaces potentielles. En outre, le logiciel intègre une haute disponibilité et un basculement. En outre, ses assistants de configuration de source faciles vous aideront à configurer rapidement les serveurs pour qu'ils envoient toutes les données de journal et commencent à surveiller vos journaux en quelques minutes.
le Nagios Log Server permet une corrélation facile des événements de journalsur tous les serveurs en quelques clics. Le système vous permettra d’afficher les données du journal en temps réel, vous permettant d’analyser et de résoudre les problèmes au fur et à mesure qu’ils se produisent. Le produit présente une évolutivité impressionnante et continuera à répondre à vos besoins à mesure que votre entreprise se développe. Additionnel Nagios Log Server des instances peuvent être ajoutées à un cluster de surveillance, ce qui vous permet d'ajouter rapidement plus de puissance, de vitesse, de stockage et de fiabilité.
Le prix unique pour le Nagios Log Server s’élève à 3 995 $ et, bien qu’un essai gratuit ne semble pas être disponible, une démo gratuite en ligne l’est, si vous préférez consulter de près le produit.
5. Graylog
Suivant sur notre liste est un produit appelé Graylog. Le produit offre de nombreuses fonctionnalités intéressantes. L'outil analysera et enrichira les journaux et les données d'événement à partir de n'importe quelle source de données. Ses pipelines de traitement permettent une certaine flexibilité en matière d'acheminement, de mise en liste noire, de modification et d'enrichissement des messages en temps réel. Graylog effectuera une recherche dans des téraoctets de données de journal pour découvrir et analyser des informations importantes. La syntaxe de recherche puissante vous permet de trouver exactement ce que vous recherchez.
Avec Graylog, vous pouvez créer des tableaux de bord pour visualiser les métriqueset observez les tendances dans un endroit central. Vous pouvez utiliser les statistiques de champ, les valeurs rapides et les graphiques de la page des résultats de la recherche pour vous plonger dans une analyse plus approfondie de vos données. Le système a également la possibilité de déclencher des actions ou d'émettre des notifications sur des événements tels que les tentatives de connexion infructueuses, les exceptions ou la dégradation des performances.
Graylog est un système libre basé sur des fichiers journaux open-source quipeut vous donner beaucoup plus de fonctionnalités qu'un simple utilitaire d'archivage de journaux. Cet analyseur de journaux possède une interface utilisateur graphique et peut fonctionner sous Ubuntu, Debian, CentOS et SUSE Linux. Vous pouvez également l'exécuter sur une machine virtuelle sous Microsoft Windows et vous pouvez installer le système Graylog sur Amazon AWS.
6. Analyseur ManageEngine EventLog
Moteur de gestion, un autre nom courant parmi les administrateurs réseau, constitue un excellent système de gestion des journaux appelé Analyseur ManageEngine EventLog. Le produit va collecter, gérer, analyser, mettre en corrélation et rechercher dans les données de journal de plus de 700 sources à l'aide d'une combinaison de collecte de journaux sans agent et basée sur agent, ainsi que d'importation de journal.
La vitesse est l'un des Analyseur ManageEngine EventLogLa force de Il peut traiter les données de journal à une vitesse impressionnante de 25 000 journaux / seconde et détecter les attaques en temps réel. Il peut également effectuer une analyse médico-légale rapide pour réduire l'impact d'une violation. Les fonctions d’audit du système s’étendent aux journaux des périphériques de périmètre réseau, aux activités des utilisateurs, aux modifications du compte serveur, aux accès des utilisateurs, etc., vous permettant ainsi de répondre aux besoins en matière d’audit de sécurité.
le Analyseur ManageEngine EventLog est disponible dans une édition gratuite avec moins de fonctionnalitésqui ne prend en charge que 5 sources de journal ou dans une édition premium qui commence à 595 $ et varie en fonction du nombre d'appareils et d'applications. Une version d'essai gratuite et complète de 30 jours est également disponible.
commentaires