Današnji sustavi generiraju puno zapisapodaci. Na mnogim platformama svaki pojedinačni događaj, važan ili ne, negdje se bilježi. Zapisi se obično pohranjuju lokalno. To ima smisla jer su trupci povezani s njihovim izvorom. No, kada pokušavamo riješiti probleme i pronaći njihov osnovni uzrok, to često znači da moramo pregledati više datoteka dnevnika na brojnim uređajima. Ne bi li bilo lijepo kada bi se svi zapisi s svih uređaja bili pohranjeni na jednom mjestu? Upravljanje dnevnikom je to i puno više, o čemu ćete saznati. I danas pregledavamo vrhunske sustave upravljanja zapisnicima.
Počet ćemo pokušati objasniti koji dnevnikupravljanje je. Kao što ćete vidjeti, to može biti puno više od centralizacije pohrane dnevnika. Dalje ćemo govoriti o protokolima za bilježenje. Prilično je važno jer upravljanje njima ne bi postojalo bez njih. Potom ćemo pokušati razlikovati syslog servere od sustava upravljanja zapisnicima. Nažalost, ne postoji jasna razgraničenje između njih. Slijedit ćemo raspravu o sigurnosnim informacijama i sustavima za upravljanje događajima jer je ovo druga vrsta sustava koja se često brka s upravljanjem zapisnicima, zahvaljujući pomalo nejasnoj definiciji svakog od njih. I na kraju, pregledat ćemo prvih osam sustava za upravljanje zapisnicima koje smo mogli pronaći.
Upravljanje zapisima - što je to
Prije nego što možemo razgovarati o upravljanju zapisnicima, hajde dapogledajte što je zapisnik. Jednostavno definirano, zapisnik je automatski izrađena i vremenski označena dokumentacija događaja bitnih za određeni sustav. Kad god se događaj dogodi u sustavu, stvara se dnevnik. Različiti sustavi generirat će zapisnike za različite događaje i mnogi sustavi daju administratorima određenu kontrolu nad onim što generira zapisnik, a što ne.
Kada govorimo o upravljanju zapisnicima,pozivajući se na procese i politike koje se koriste za administriranje i olakšavanje generiranja, prijenosa, analize, pohrane, arhiviranja i eventualnog odlaganja velike količine podataka dnevnika. Upravljanje dnevnikom podrazumijeva centralizirani sustav u kojem se prikupljaju zapisnici iz više izvora.
Ali upravljanje zapisima nije samo prikupljanje dnevnika. Dio upravljanja je najvažniji. Sustavi za upravljanje dnevnicima obično imaju višestruke funkcionalnosti, a skupljanje zapisa je samo jedan od njih.
Jednom nakon što evidencija primi menadžment dnevnikasustav, treba ih "prevesti" u zajednički format. Različiti sustavi zapisnike različito oblikuju i u svoje zapisnike uključuju različite podatke. Neki pokreću dnevnik s datumom i vremenom, neki započnu s brojem događaja. Neki sadrže samo ID zapisnika, dok drugi sadrže potpuni tekstualni opis događaja. Jedna od svrha sustava upravljanja zapisnicima je osigurati da se svi prikupljeni unosi u dnevnik pohranjuju u jednoličnom formatu. To će olakšati pretraživanje i povezanost događaja mnogo lakše.
Govoreći o pretraživanju, pa čak i povezanosti,ovo je još jedna važna funkcija mnogih sustava upravljanja zapisnicima. Neki od njih imaju snažnu tražilicu koja omogućava administratorima da se uključe u ono što im je potrebno. Korelacijske funkcije automatski će grupirati povezane događaje, čak i ako su iz različitih izvora. Na koji način i kako uspješno postižu različite sustave upravljanja zapisnicima, to je glavni faktor koji razlikuje.
Zapisi protokola
Upravljanje zapisnicima bilo bi mnogo teže, akouopće moguće, ako nije bilo zapisivanja protokola. Nekoliko ih ima koji definiraju koje podatke treba uvrstiti u zapisnike, kako ih treba oblikovati i kako ih treba prenijeti između sustava.
Syslog je vjerojatno najčešće korišteni protokol prijavljivanja. Izumljen početkom osamdesetih godina, postao je de-facto standard za sustave slične Unixu. Jedna od najvećih svojstava protokola syslog jest kako razdvaja softver koji generira evidenciju, sustav koji ih pohranjuje i softver koji ih izvještava i analizira. Korištenje protokola Syslog znatno olakšava upravljanje zapisnicima. Mnogi uređaji koji nisu Unix, kao što su preklopnici i ostali mrežni uređaji mnogih proizvođača koriste varijantu protokola syslog.
Microsoft Windows, kao što ste pretpostavljali, koristidrugačiji sustav prijavljivanja. To bi moglo imati veze s činjenicom da Windows operativni sustavi i aplikacije imaju zapisnike koji obično sadrže mnogo više podataka nego što dopušta syslog. Srećom, funkcije Windows Event Collector nude sredstvo za sustave upravljanja zapisima koji se mogu koristiti za primanje događaja od Windows domaćina.
Bez obzira na to koji se protokol zapisivanja koristi,važan dio upravljanja dnevnikom je konfiguriranje uređaja za slanje dnevnika u sustav upravljanja. To se razlikuje od ostalih alata kao što su sustavi mrežnog nadzora, gdje alat dohvaća podatke od domaćina.
Poslužitelji dnevnika vs Upravljanje dnevnikom
Otkad je dostupan na svim Unix-ovimasustav već duže vrijeme, Syslog ako se često koristi kao poslužitelj dnevnika, a jedno računalo prima syslog podatke od nekoliko drugih. Iako ova centralizirana pohrana trupaca ima određene prednosti, to nije upravljanje dnevnikom.
Da biste zaslužili naziv Sustava upravljanja zapisima, aproizvod mora sadržavati barem neke naprednije funkcije. Prema Wikipediji, upravljanje dnevnikom sastoji se od sljedećih funkcija: prikupljanje dnevnika, centralizirano združivanje zapisnika, dugoročno spremanje i zadržavanje dnevnika, rotacija zapisa, analiza dnevnika, pretraživanje dnevnika i izvješćivanje. Poslužitelji dnevnika često nude samo prikupljanje i pohranu zapisa i rijetko više od toga. Svaki od sustava upravljanja zapisnicima s našeg gornjeg popisa nudi barem neke naprednije funkcije.
Kako je s SIEM sustavima?
Još jedna popularna tehnologija koja je čestopovezan s zapisnicima i zbrkan sa sustavima upravljanja zapisnicima je Sigurnosne informacije i upravljanje događajima ili SIEM. To se prilično razlikuje od upravljanja zapisnicima iako je usko povezano. U stvari, neki proizvodi oglašeni kao sustavi upravljanja zapisnicima zapravo su SIEM sustavi, dok neki osnovni SIEM sustavi nisu ništa drugo do sustavi upravljanja zapisnicima.
Glavni razlog te zbrke je dnevnikupravljanje - ili barem analiza dnevnika - važna je sastavnica SIEM sustava. U stvari, SIEM sustavi obično vode na novu razinu dodavanjem neke inteligencije u proces. Ovi sustavi obavljaju analizu dnevnika s krajnjim ciljem identificiranja sigurnosnih problema. Oni će, na primjer, tražiti znakove neuspješne prijave koji bi ukazivali na neovlašteni pokušaj upada. Ovi će sustavi automatski skenirati unose u zapisnike tražeći sve neobično.
SIEM sustavi imaju više veze sa IT sigurnošćuod IT upravljanja, a neki uključuju opsežne značajke upravljanja zapisima, mnogi mogu koristiti i vanjske sustave za upravljanje zapisima, a nije neuobičajeno da oba sustava vide jedan uz drugi.
Najbolji softver za upravljanje dnevnikom
Sada kada imamo zajedničko razumijevanje onogaupravljanje dnevnikom je, a što nije, pogledajmo što je na raspolaganju. Pretražili smo na tržištu neke od najboljih sustava upravljanja zapisnicima. Naše prvobitno otkriće je da ih ima puno i mnogo ih je jako dobro. Ali imamo samo toliko prostora, pa ćemo pregledati osam najzanimljivijih koje bismo mogli pronaći.
1. SolarWinds Papertrail
SolarWinds je uobičajeni naziv na područjualati za mrežnu administraciju. To je već skoro 20 godina i donio nam je jedan od najboljih alata za praćenje propusnosti i jedan od najboljih NetFlow analizatora i sakupljača. Tvrtka je također poznata po objavljivanju nekoliko besplatnih alata koji rješavaju neke specifične potrebe mrežnih administratora, kao što su kalkulator podmreže ili syslog poslužitelj.
Prije nekoliko godina stekli su SolarWinds Papertrail, popularan sustav upravljanja zapisnicima. To objedinjuje datoteke dnevnika iz velikog broja popularnih proizvoda poput Apache ili MySQL, kao i Ruby on Rails aplikacija, različitih usluga hostinga u oblaku i drugih standardnih tekstualnih datoteka. Papertrail tada korisnici mogu koristiti internetsko sučelje za pretraživanje ili alate naredbenog retka za pretraživanje po ovim datotekama kako bi se dijagnosticirali problemi i performanse. Papertrail se također integrira s ostalim proizvodima SolarWinds kao što su Librato i Geckoboard za rezultate grafikona.
Papertrail je softver utemeljen na oblaku kao usluga (SaaS)ponuda od SolarWinds. Lako je implementirati, koristiti i razumjeti. I dat će vam trenutnu vidljivost u svim sustavima za nekoliko minuta. Alat ima vrlo učinkovitu tražilicu koja može pretraživati i pohranjene i streaming zapisnike. I to munjevito brzo.
Papertrail je dostupan u nekoliko planova, uključujući besplatnoplan. Međutim, nešto je ograničeno i omogućuje samo 100 MB zapisnika mjesečno. Međutim, to će vam omogućiti 16 GB zapisnika u prvom mjesecu, što je jednako besplatnoj probnoj verziji od 30 dana. Plaćeni planovi počinju od 7 USD mjesečno za 1GB / month zapisnika, 1 godinu arhiva i 1 tjedan indeksa. Pročišćavanje buke omogućuje alatu da sačuva podatke ne štedeći beskorisne zapise.
2. SolarWinds Log & Event Manager (BESPLATNO ISPITIVANJE)
Naš sljedeći unos je još jedan proizvod iz SolarWinds koji se zove SolarWinds Log & Event Manager, Suprotno našem prethodnom unosu, ovo jelokalno instalirani proizvod. A to je i puno više od samo sustava upravljanja zapisnicima. Mnoge napredne značajke ovog proizvoda stavljaju ga u raspon SIEM. Primjerice, ona ima korelaciju u stvarnom vremenu i sanaciju u stvarnom vremenu.
Evo pregleda nad SolarWinds Log & Event ManagerGlavne značajke. Brzo se uklanja prijetnja koristeći trenutačno otkrivanje sumnjivih aktivnosti i automatizirane reakcije. Također može provesti istragu sigurnosnih događaja i forenzičke lijekove za ublažavanje i poštivanje. A što se tiče usklađenosti, proizvod će vam omogućiti da ga demonstrirate, zahvaljujući revizijskom izvještaju za HIPAA, PCI DSS i SOX, među ostalim. Ovaj alat također ima nadzor praćenja integriteta datoteka i nadzor USB uređaja, dvije značajke koje su mnogo iznad onoga što obično vidimo u sustavima upravljanja zapisnicima.
Cijene za SolarWinds Log & Event Manager započnite s 4,585 USD za do 30 nadziranih čvorova. Licence za do 2500 čvorova mogu se kupiti što čini proizvod vrlo skalabilnim. A ako želite provjeriti da li je proizvod prikladan za vas, na raspolaganju je besplatno, cjelovito 30-dnevno probno razdoblje.
3. ipswitch Log Suite Suite
To. Suite za upravljanje zapisima je alat tvrtke Ipswitch, iste tvrtke kojadonio nam je WhatsUp Gold, neizmjerno popularan alat za nadzor mreže. Ovo je automatizirani alat koji prikuplja, pohranjuje, arhivira i sprema evidencije sustava, Windows događaje i W3C / IIC zapisnike. Nadalje, kontinuirani nadzor dnevnika upozoravat će vas na sumnjive aktivnosti.
Često revidirani događaji, poput prava pristupai privilegije za datoteke, mape i objekte mogu se pratiti, po potrebi generirajući upozorenja i upotrijebiti za izradu izvješća o usklađenosti za usklađenost s HIPAA, SOX, FISMA, PCI, MiFID ili Basel II. Alat vam također može pomoći da transformirate svoje neobrađene podatke u značajne podatke za menadžere ili IT sigurnosne timove zahvaljujući automatiziranim značajkama filtriranja, povezivanja, izvještavanja i pretvaranja.
Podaci o cijenama za Suite za upravljanje zapisima nije lako dostupan od Ipswitch-a. Proizvod se može kupiti izravno od izdavača ili preko Ipswitch mreže prodavača. Dostupna je i besplatna probna verzija.
4. ManageEngine EventLog Analyzer
ManageEngine, još jedno uobičajeno ime s mrežnim administratorom, čini izvrstan sustav upravljanja zapisnikom koji se zove ManageEngine EventLog Analyzer, Proizvod će prikupljati, upravljati, analizirati, korelirati i pretraživati podatke dnevnika više od 700 izvora koristeći kombiniranu kolekciju dnevnika temeljenih na agentima i na agentima kao i uvoz dnevnika.
Brzina je jedna od ManageEngine EventLog AnalyzerSnagu. Može obraditi podatke dnevnika pri impresivnih 25 000 zapisa / sekundi i otkriti napade u realnom vremenu. Također može obaviti brzu forenzičku analizu kako bi se smanjio utjecaj kršenja. Mogućnosti revizije sustava proširuju se na zapise mrežnih perimetričnih uređaja, korisničke aktivnosti, promjene računa na poslužitelju, korisničke pristupe i više, pomažući vam u ispunjavanju potreba revizije sigurnosti.
To. ManageEngine EventLog Analyzer dostupan je u besplatnom izdanju s smanjenim značajkamakoji podržava samo 5 izvora dnevnika ili u premium izdanju koji počinje od 595 USD i varira ovisno o broju uređaja i aplikacija. Dostupna je i besplatna probna probna inačica od 30 dana.
5. Nagios Log Server
Nagios je najpoznatiji po izvrsnom softveru za nadgledanje mreže, ali njegov Log Server možda je jednako zanimljiv. Aptly nazvao Nagios Log Server, nudi centralizirano upravljanje, nadzor i analizu dnevnika. Nagios Log Server pojednostavljuje postupak pretraživanja podataka dnevnika. Također vam omogućuje postavljanje upozorenja kako biste bili obaviješteni o potencijalnim prijetnjama. Osim toga, softver ima visoku dostupnost i ugrađen neuspjeh. Čarobnjaci za lako postavljanje izvora pomoći će vam da brzo konfigurirate poslužitelje za slanje svih podataka dnevnika i započnete nadgledanje vaših zapisnika u nekoliko minuta ,
To. Nagios Log Server omogućuje vam da lako povežete događaje dnevnika sa svimposlužitelja u samo nekoliko klikova. Omogućuje vam pregledavanje podataka dnevnika u stvarnom vremenu, što vam daje mogućnost analize i rješavanja problema dok se pojave. Proizvod ima impresivnu skalabilnost i nastavit će zadovoljavati vaše potrebe s rastom vaše organizacije. dodatni Nagios Log Server primjerci se mogu dodati grupi za praćenje, omogućujući vam brzo dodavanje više snage, brzine, pohrane i pouzdanosti.
Cijena za jedan primjerak Nagios Log Server iznosi 3 995 USD i iako se čini da besplatna proba nije dostupna, besplatni mrežni demo je slučaj da biste radije pogledali proizvod iz prve ruke.
6. Obavijesti upravitelja logičkog dnevnika
Glavni fokus Alert Logic je sigurnost i usklađenost. Budući da je upravljanje zapisnikom usko povezano s obojicom, ne čudi što tvrtka nudi Alarm Logic Log Manager, Ovaj alat temeljen na oblaku nudi automatizirane iobjedinjeno upravljanje zapisnicima u svim vašim okruženjima. Prikupljat će, objedinjavati i pretraživati podatke dnevnika pretraživanja iz oblaka, poslužitelja, aplikacija, sigurnosti i mrežnih sredstava.
To. Alarm Logic Log Manager uključuje nadzor i analizu dnevnika, kao ipregled dnevnika koji obavljaju ljudski analizatori. Stručnjaci Alert Logic upozoravat će vas na moguće prijetnje 365 dana u godini. Usluga će također pomoći u ispunjavanju zahtjeva za pregled dnevnika SOC 2, HIPAA i SOX i ukloniti teret pregleda dnevnika i praćenja događaja, u skladu s PCI / DSS 10.6, 10.6.1, 10.6.3
Podaci o cijenama za Alarm Logic Log Manager nije lako dostupan s interneta i morat ćete se obratiti prodaji Alert Logic da biste dobili formalni zahtjev. Besplatna probna verzija također nije dostupna, ali se besplatni demo može dogovoriti kontaktiranjem Alert Logic.
7. LogDNA
Godina osnivanja 2015, LogDNA je novo dijete u bloku. Tvrtka tvrdi da „LogDNA je najbrži, najintimitivniji iekonomičan sustav upravljanja zapisnicima “. Sve započinje instalacijom koja traje samo nekoliko minuta prije nego što započnete nadzirati zapisnike. Bez obzira na način generiranja i prijenosa zapisa, stotine prilagođenih shema integracije dostupne su za centraliziranje zapisa u jedno okno.
LogDNA mogu biti temeljeni na oblaku ili samoposluženi, ovisno o tometvoja sklonost. To je vrlo skalabilan i može obraditi stotine tisuća trupaca u sekundi i desetine terabajta po kupcu, dnevno u potpunoj sigurnosti s analizom dnevnika u stvarnom vremenu. Tvrtka i njeni proizvodi su u skladu sa SOC2, PCI i HIPAA, kao i Privacy Shield.
Svojim jednostavnim modelom cijene s naplatom po GBeliminira ugovore i nepokretne skupove podataka, tvrtka ima jedan od najnižih ukupnih troškova vlasništva. Na raspolaganju je nekoliko pretplatničkih planova s povećanim značajkama. Plan niže razine je besplatan, a plaćeni planovi variraju od 1,50 USD / GB mjesečno do 3 USD / GB mjesečno, ovisno o trajanju zadržavanja i broju korisnika. Dostupno je i besplatno, cjelodnevno 14-dnevno probno razdoblje.
8. Graylog
Posljednji na našem popisu je proizvod pod nazivom Graylog, Proizvod nudi mnogo zanimljivih značajki. Alat će raščistiti i obogatiti zapisnike i podatke o događajima iz bilo kojeg izvora podataka. Njegovi cjevovodi za obradu omogućuju određenu fleksibilnost u usmjeravanju, crnom popisu, izmjeni i obogaćivanju poruka u stvarnom vremenu. Graylog pretražit će kroz terabajte podataka dnevnika kako bi otkrio i analizirao važne podatke. Snažna sintaksa pretraživanja omogućuje vam da pronađete upravo ono što tražite.
S Graylog, možete izraditi nadzorne ploče za vizualizaciju mjernih podatakai promatrati trendove na jednom središnjem mjestu. Možete koristiti statistiku na terenu, brze vrijednosti i grafikone sa stranice rezultata pretraživanja za ulazak u dublju analizu podataka. Sustav također ima mogućnost pokretanja radnji ili izdavanja obavijesti o događajima poput neuspjelih pokušaja prijave, iznimke ili pogoršanja performansi.
Graylog je dostupan i kao besplatni i s otvorenim kodom,inačica s ograničenom značajkom koja također ima ograničenu podršku ili kao poslovna verzija s proširenim značajkama i neograničenom podrškom. Probna licenca se također može dobiti kontaktiranjem Graylog prodajni.
komentari