Uz današnje sustave koji generiraju tonu sječe drvaPodaci, nije iznenađujuće da administratori uvijek traže rješenja za upravljanje zapisnicima. Zapisi se prema zadanim postavkama često pohranjuju lokalno. To ima smisla jer ih je lako povezati s njihovim izvorom. No, kada pokušavamo riješiti probleme i pronaći njihov osnovni uzrok, ponekad moramo pogledati više datoteka dnevnika na brojnim uređajima. Ne bi li bilo lijepo kad bi se svi zapisi s svih uređaja pohranili na jedno, centralizirano mjesto? To je svrha upravljanja zapisnicima. A ako je vaša platforma izbora Linux, na raspolaganju vam je puno opcija. Čitajte dalje dok otkrivamo neke od najboljih načina upravljanja zapisnicima za Linux
Započet ćemo definiranjem upravljanja zapisnikom. Vidjet ćete da to može biti prilično malo više od samo centraliziranja pohrane dnevnika. Zatim ćemo razgovarati o različitim tehnologijama zapisivanja. Oni su kamen temeljac za upravljanje zapisnicima i bez njih vjerovatno ne bi postojali. U nastavku ćemo razlikovati syslog servere od sustava upravljanja zapisnicima i shvatiti da između njih ne postoji jasna razgraničenje. Zatim ćemo nakratko zastati i razgovarati o sigurnosnim informacijama i sustavima za upravljanje događajima. Oni su druga vrsta sustava koji se često miješa s upravljanjem zapisnikom, zahvaljujući pomalo nejasnoj definiciji svakog od njih. I na kraju, pregledat ćemo najbolje upravljanje dnevnicima za Linux.
Što je upravljanje dnevnikom?
Prije nego što možemo razgovarati o upravljanju zapisnicima, hajde dadefinirajte što je zapisnik. Jednostavno definirano, zapisnik je automatski izrađena i vremenski označena dokumentacija događaja relevantnog za određeni sustav. Drugim riječima, svaki put kada se događaj dogodi u sustavu, generira se dnevnik. Sustavi i uređaji generirat će zapisnike za različite vrste događaja i mnogi sustavi daju administratorima određenu kontrolu nad događajima koji generiraju zapisnik, a koji ne.
Što se tiče upravljanja zapisnikom, to se jednostavno odnosiprocesi i politike korišteni za administriranje i olakšavanje generiranja, prijenosa, analize, pohrane, arhiviranja i eventualnog odlaganja velike količine podataka dnevnika. Iako nije jasno navedeno, upravljanje zapisima podrazumijeva centralizirani sustav u kojem se prikupljaju zapisnici iz više izvora. Upravljanje zapisima nije samo prikupljanje dnevnika. Upravni dio je najvažniji. A sustavi za upravljanje zapisnicima često imaju višestruke funkcionalnosti, a skupljanje trupaca samo je jedan od njih.
Jednom nakon što evidencija primi menadžment dnevnikasustav, oni moraju biti standardizirani u zajednički format, jer se različiti sustavi zapisa evidentiraju različito i uključuju različite podatke. Neki započinju zapisnik s datumom i vremenom, neki započnu s brojem događaja. Neki sadrže samo ID događaja, dok drugi sadrže opis cijelog teksta. Jedna od svrha sustava upravljanja zapisnicima je osigurati da se svi prikupljeni unosi u dnevnik pohranjuju u jednoličnom formatu. Ovo će dovesti do korelacije događaja i lakšeg pretraživanja.
Čak su i korelacija i traženje dvije dodatneglavne funkcije nekoliko sustava upravljanja zapisnicima. Najbolji od njih imaju moćnu tražilicu koja omogućava administratorima da se uključe u ono što im je potrebno. Korelacijske funkcije automatski će grupirati povezane događaje, čak i ako su iz različitih izvora. Na koji način i kako uspješno postižu različite sustave upravljanja zapisnicima, to je glavni faktor koji razlikuje.
TAKO PROČITAJTE: 15 najboljih mrežnih nadzornih alata (naša vlastita recenzija)
Tehnologije sječe
Upravljanje zapisnicima bilo bi mnogo teže,možda čak i nije moguće da nije bilo zapisivanja protokola. Nekoliko ih postoji. Oni definiraju koje podatke treba uvrstiti u zapisnike, kako ih treba oblikovati i ponekad kako će se prenositi između sustava.
Syslog je vjerojatno najkorištenija sječa drvaprotokola, posebno u Linux svijetu. Tehnologija je izumljena početkom osamdesetih godina i postala je de-facto standard za sve sustave slične Unixu. Jedno od najvećih bogatstva syslog tehnologije je kako olakšava razdvajanje između sustava ili softvera koji generiraju zapisnike, sustava koji ih pohranjuje, i softvera koji ih izvještava i analizira. Korištenje Syslog tehnologije znatno olakšava upravljanje zapisnicima. A Syslog nije Unix ekskluzivan. Mnogi uređaji koji nisu Unix, kao što su prekidači, usmjerivači i sve vrste opreme od mnogih proizvođača koriste varijantu protokola syslog.
Postoje i druge tehnologije sječe drva. Microsoft Windows, na primjer, koristi drugi sustav prijavljivanja. To bi moglo imati veze s činjenicom da Windows operativni sustavi i aplikacije imaju zapisnike koji obično sadrže detaljnije informacije nego što to dopušta tehnologija Syslog. Srećom, funkcije Windows Event Collector nude način upravljanja zapisima koji različiti sustavi mogu koristiti za primanje događaja od Windows domaćina. Ovaj je post o upravljanju zapisnikom u Linuxu, tako da ipak ne gubimo previše vremena na Windows.
Bez obzira na to koja se tehnologija zapisanja koristi,važan dio upravljanja dnevnikom je konfiguriranje uređaja za slanje dnevnika u sustav upravljanja. Ostale vrste alata kao što su mrežni sustavi za nadzor mogu dohvaćati podatke iz sustava koje prate, ali s upravljanjem zapisnikom, svakom uređaju mora biti "rečeno" gdje treba poslati svoje zapisnike. No, to je, međutim, relativno jednostavan zadatak koji se često vrši jednostavnom naredbom.
DALJNJE ČITANJE: Najbolji softver za mapiranje i topologiju dijagrama mreže
Poslužitelji dnevnika ili upravljanje dnevnikom?
Otkad je dostupan na svim Unix-ovimasustav - uključujući Linux - već duže vrijeme Syslog se često koristi kao poslužitelj dnevnika s jednim računalom koji prima Syslog podatke od nekoliko drugih. Iako ova centralizirana pohrana trupaca ima određene prednosti, nije dovoljno nazvati upravljanje zapisima.
Da biste zaslužili naziv Sustava upravljanja zapisima, aproizvod mora sadržavati barem neke naprednije funkcije. Prema Wikipediji, "upravljanje dnevnikom sastoji se od sljedećih funkcija: prikupljanje dnevnika, centralizirano združivanje zapisnika, dugoročno pohranjivanje i zadržavanje dnevnika, rotacija zapisa, analiza dnevnika, pretraživanje dnevnika i izvještavanje". Wow! To je puno funkcionalnosti. S druge strane, poslužitelji dnevnika često nude samo prikupljanje i pohranu zapisa i rijetko više od toga.
Riječ (ili dvije) o SIEM-u
Još jedna popularna tehnologija koja je povezanas zapisnicima i često zbunjuju sa sustavima upravljanja zapisnicima je Sigurnosne informacije i upravljanje događajima ili SIEM. Ovo se razlikuje od upravljanja zapisnicima, ali je usko povezano. Linija je tako tanka da su neki proizvodi oglašeni kao sustavi upravljanja zapisnicima zapravo SIEM sustavi, dok neki osnovni SIEM sustavi nisu ništa drugo do napredni sustavi upravljanja zapisnicima.
Konfuzija proizlazi iz činjenice da je zapisnikupravljanje - ili u najmanju ruku analiza dnevnika - važna je sastavnica SIEM sustava. Ono što razlikuje sustave SIEM je da oni provode analizu dnevnika s krajnjim ciljem identificiranja sigurnosnih problema. Oni će, na primjer, tražiti znakove neuspješne prijave koji bi mogli biti znak signala neovlaštenog pokušaja provale. Ovi sustavi kontinuirano skeniraju unose u zapisnike tražeći išta neobično. Iako neki sustavi SIEM-a sadrže opsežne značajke upravljanja zapisnicima, neki koriste vanjski sustav upravljanja zapisnikom i nije neuobičajeno da oba sustava vide jedan uz drugi.
ODNOSNO ČITANJE: Najbolji IP skeneri za Mac
Najbolje upravljanje zapisima za Linux
Nadamo se da sada imamo zajedničko razumijevanješto je upravljanje zapisnikom, a što nije. Dakle, pogledajmo što je na raspolaganju za Linux. No prvo, razjasnimo nešto. Kada govorimo o upravljanju Linux logom, podrazumijevamo sustave upravljanja dnevnicima koji mogu smjestiti Linux zapisnike i koji će se pokrenuti na Linux platformi ili u oblaku. Neki će naš izbor, posebno sustavi utemeljeni na oblaku, također raditi s zapisnicima s drugih platformi.
1. SolarWinds Papertrail (BESPLATNI PLAN DOSTUPAN)
SolarWinds je postalo kućno ime među mrežamaadministratori. Izrađuje neke od najboljih alata gotovo 20 godina, donoseći nam sjajne alate za praćenje propusnosti i jedan od najboljih NetFlow analizatora i sakupljača. Tvrtka je također poznata po objavljivanju nekoliko besplatnih alata koji rješavaju neke specifične potrebe mrežnih administratora, kao što su kalkulator podmreže ili syslog poslužitelj.
- BESPLATNI PLAN: SolarWinds Papertrail
- Službena veza za preuzimanje: https://papertrailapp.com/plans
Ne tako davno, SolarWinds stečena Papertrail, popularan sustav upravljanja zapisnicima. Ona objedinjuje datoteke dnevnika iz širokog spektra popularnih proizvoda poput Apache ili MySQL, kao i Ruby on Rails aplikacija, različitih usluga hostinga u oblaku i drugih standardnih datoteka i datoteka sa slogom i tekstom. Papertrail tada korisnici mogu upotrebljavati internetsko sučelje za pretraživanjeili alatima naredbenog retka za pretraživanje ovih datoteka kako bi se dijagnosticirale različite poteškoće. Papertrail se također integrira s ostalim proizvodima SolarWinds kao što su Librato i Geckoboard za rezultate grafikona.
Papertrail je softver utemeljen na oblaku kao usluga (SaaS)ponuda od SolarWinds. Budući da se temelje u oblaku znači da će to raditi u all-Linux okruženju. Platformu je lako implementirati, koristiti i razumjeti, a dat će vam trenutnu vidljivost na svim sustavima u roku od nekoliko minuta. Nadalje, proizvod ima vrlo učinkovitu tražilicu koja može pretraživati i pohranjene i strujne zapisnike. I to munjevito brzo.
Papertrail je dostupan u nekoliko planova, uključujući besplatnoplan. Međutim, nešto je ograničeno i omogućuje samo 100 MB zapisnika mjesečno. Međutim, to će vam omogućiti 16 GB zapisnika u prvom mjesecu, što je jednako besplatnoj probnoj verziji od 30 dana. Plaćeni planovi počinju od 7 USD mjesečno za 1GB / month zapisnika, 1 godinu arhiva i 1 tjedan indeksa. Pročišćavanje buke omogućuje alatu da sačuva podatke ne štedeći beskorisne zapise.
2. Loggly
Loggly je još jedna internetska usluga utemeljena na oblaku. Prvenstveno konsolidator zapisa, on također nudi funkciju analize dnevnika. Zbog toga što je utemeljen u oblaku, ovaj sustav ne zahtijeva instalaciju i spreman je iskoristiti minutu na koju se pretplatite. Naravno da će se vaši sustavi i uređaji trebati konfigurirati da povremeno prenose svoje standardne datoteke dnevnika na mrežni poslužitelj.
- BESPLATNO ISPITIVANJE: Loggly planovi
- Službena veza: https://www.loggly.com
Loggly zatim pretvara primljene podatke dnevnika u astandardni format, omogućujući analizatoru da obrađuje zapise iz različitih izvora i omogućava praćenje i korelaciju događaja u svim sustavima, bez obzira na njihov operativni sustav ili tehnologiju zapisivanja. Izvori podataka dnevnika nisu ograničeni na vaše lokalne poslužitelje. Sustav je, naravno, u stanju obraditi zapisnike generirane na mrežnim poslužiteljima, poput Amazonovog AWS-a, a može sadržavati i poruke kreirane od određenih aplikacija kao što su Docker i Logstash.
To. Loggly usluga je dostupna u okviru tri različita plana,s povećanjem ograničenja obrade podataka i vremena zadržavanja. Trebate odabrati pravi koji će vam osigurati dovoljno prostora za vaše zapisnike. Naziva se plan ulazne razine Loggly Lite. Besplatna je upotreba. Prema ovom planu možete dnevno prenijeti 200 MB podataka zapisnika i sustav će svaki zapis zadržati sedam dana. Slijedi Standardni plan koji vam daje naknadu za prijenos od 1 GB dnevno i čuva evidenciju 30 dana. Plaćeni planovi omogućavaju vam i korištenje više korisničkih računa. S paketom Standard možete imati tri korisnička računa. Naziva se gornji sloj Loggly Poduzeće. Nema ograničenja u broju korisničkih računa koje možete postaviti, a cijene se razlikuju ovisno o količini učitavanja i vremenu zadržavanja koji vam je potreban. Plaćanje za sve plaćene planove može biti mjesečno ili godišnje, a na standardnom planu dostupno je besplatno 14-dnevno probno razdoblje.
3. Splunk
Splunk je dobro poznato unutar administracije sustavazajednica - sveobuhvatni sustav upravljanja zapisnicima za Linux, Mac OS i Windows. Nešto više od osnovnog sustava upravljanja zapisnicima, neki smatraju da je to cjelovit sustav za sprječavanje provale. Proizvod je dostupan u tri verzije. Na vrhu je Splunk Enterprise koji je više sustav upravljanja mrežom, a ne samo alat za upravljanje zapisnikom. Cijene počinju od 173 USD mjesečno i dobivate puno funkcionalnosti.
Postoji i besplatna verzija Splunk koji je u osnovi isti alat bez nekihnjegove najnaprednije funkcionalnosti. U osnovi je ograničen na analizu datoteka datoteka. Možete hraniti bilo koju standardnu datoteku dnevnika ili ih poslati uživo putem datoteke u analizator. Besplatna verzija ima nekoliko ograničenja. Na primjer, može imati samo jedan korisnički račun, a protok podataka mu je ograničen na 500 MB dnevnika dnevno. Funkcija razvrstavanja i filtriranja podataka ugrađena je u Splunk, olakšavajući vaše napore u rješavanju problema. Ovim značajkama možete koristiti za dijeljenje zapisa zapisa po datumu i pisanje svake grupe u nove datoteke. U stvari, ova je funkcionalnost vrlo fleksibilna.
4. Nagios Log Server
Nagios najpoznatiji je po izvrsnom softveru za nadzor mreže, ali njegov Log Server jednako je zanimljiv. Proizvod se jednostavno naziva Nagios Log Server i nudi centralizirano upravljanje dnevnicima,praćenje i analiza. Ovaj alat može uvelike pojednostaviti postupak pretraživanja podataka dnevnika. Također vam omogućuje postavljanje upozorenja kako biste bili obaviješteni o potencijalnim prijetnjama. Osim toga, softver ima visoku dostupnost i ugrađen propust u njega. Nadalje, čarobnjaci za jednostavno postavljanje izvora pomoći će vam da brzo konfigurirate poslužitelje za slanje svih podataka dnevnika i započnete nadzor nad zapisnicima u nekoliko minuta.
To. Nagios Log Server omogućuje jednostavnu korelaciju događaja dnevnikana svim poslužiteljima u samo nekoliko klikova. Sustav će vam omogućiti da pregledavate podatke dnevnika u stvarnom vremenu, dajući vam mogućnost analize i rješavanja problema dok se pojave. Proizvod ima impresivnu skalabilnost i nastavit će zadovoljavati vaše potrebe s rastom vaše organizacije. dodatni Nagios Log Server primjerci se mogu dodati grupi za praćenje, omogućujući vam brzo dodavanje više snage, brzine, pohrane i pouzdanosti.
Cijena za jedan primjerak Nagios Log Server iznosi 3 995 USD i iako se čini da besplatna proba nije dostupna, besplatna mrežna demonstracija je, ako biste radije pogledali proizvod iz prve ruke.
5. Graylog
Sljedeći na našem popisu je proizvod pod nazivom Graylog, Proizvod nudi mnogo zanimljivih značajki. Alat će raščistiti i obogatiti zapisnike i podatke o događajima iz bilo kojeg izvora podataka. Njegovi cjevovodi za obradu omogućuju određenu fleksibilnost u usmjeravanju, crnom popisu, izmjeni i obogaćivanju poruka u stvarnom vremenu. Graylog pretražit će kroz terabajte podataka dnevnika kako bi otkrio i analizirao važne podatke. Snažna sintaksa pretraživanja omogućuje vam da pronađete upravo ono što tražite.
S Graylog, možete izraditi nadzorne ploče za vizualizaciju mjernih podatakai promatrati trendove na jednom središnjem mjestu. Možete koristiti statistiku na terenu, brze vrijednosti i grafikone sa stranice rezultata pretraživanja za ulazak u dublju analizu podataka. Sustav također ima mogućnost pokretanja radnji ili izdavanja obavijesti o događajima kao što su neuspjeli pokušaji prijave, iznimke ili pogoršanje performansi.
Graylog je besplatni, open-source sustav temeljen na datoteci dnevnika kojimože vam dati puno više funkcionalnosti nego samo uslužni program za arhiviranje zapisnika. Ovaj analizator dnevnika ima grafičko korisničko sučelje i može se izvoditi na Ubuntu, Debian, CentOS i SUSE Linuxu. Možete ga pokrenuti i na virtualnom računalu u sustavu Microsoft Windows, a sustav Graylog možete instalirati na Amazon AWS.
6. ManageEngine EventLog Analyzer
ManageEngine, još jedno uobičajeno ime među mrežnim administratorom, čini odličan sustav upravljanja zapisnikom nazvan ManageEngine EventLog Analyzer, Proizvod će prikupljati, upravljati, analizirati, korelirati i pretraživati podatke dnevnika iz preko 700 izvora koristeći kombinaciju zbirke dnevnika temeljenih na agentima i na agentu kao i uvoz dnevnika.
Brzina je jedna od ManageEngine EventLog AnalyzerSnagu. Može obraditi podatke dnevnika pri impresivnih 25 000 zapisa / sekundi i otkriti napade u stvarnom vremenu. Također može obaviti brzu forenzičku analizu kako bi umanjio utjecaj kršenja. Mogućnosti revizije sustava proširuju se na zapise mrežnih perimetričnih uređaja, korisničke aktivnosti, promjene računa na poslužitelju, korisničke pristupe i još mnogo toga, pomažući vam u ispunjavanju potreba revizije sigurnosti.
To. ManageEngine EventLog Analyzer dostupan je u besplatnom izdanju s smanjenim značajkamakoji podržava samo 5 izvora dnevnika ili u premium izdanju koji počinje od 595 USD i varira ovisno o broju uređaja i aplikacija. Dostupna je i besplatna probna probna inačica od 30 dana.
komentari