A mai rendszerek sok naplózást generálnakadat. Sok platformon minden esemény, legyen az fontos vagy sem, valahova be van jelentkezve. A naplókat általában helyben tárolják. Ennek értelme van, mivel a naplók kapcsolódnak a forráshoz. Amikor a problémák elhárítására és a kiváltó okok feltárására kerül sor, ez gyakran azt jelenti, hogy számos eszközön több naplófájlt kell megnéznünk. Nem lenne jó, ha az összes eszköz összes naplóját egy helyen tárolnák? A naplókezelés ez és még sok más, amint ezt megtudja. És ma felülvizsgáljuk a felső naplókezelő rendszereket.
Először azzal próbáljuk megmagyarázni, hogy mi a naplóa menedzsment. Mint látni fogja, ez sokkal több lehet, mint pusztán a naplótárolás központosítása. Ezután a naplózási protokollokról fogunk beszélni. Ez meglehetősen fontos, mivel a naplókezelés nem lenne valószínűleg nélkülük. Ezután megpróbáljuk megkülönböztetni a syslog kiszolgálókat a naplókezelő rendszerektől. Sajnos nincs világos határ a közöttük. Követjük a biztonsági információs és eseménykezelő rendszerekről szóló vitát, mivel ez egy másik típusú rendszer, amelyet gyakran összekevernek a naplókezeléssel, az egyesek kissé homályos meghatározásának köszönhetően. És végül áttekintjük a nyolc legfontosabb naplókezelő rendszert, amelyet megtalálhattunk.
Naplókezelés - mi ez
Mielőtt beszélhetnénk a naplókezelésről, tegyük felnézd meg mi a napló. Egyszerűen definiálva, a napló az adott rendszerre vonatkozó események automatikusan előállított és időbélyegzett dokumentációja. Amikor egy esemény egy rendszeren zajlik, napló készül. A különböző rendszerek naplókat generálnak a különböző eseményekhez, és sok rendszer bizonyos mértékű ellenőrzést ad az adminisztrátorok számára arról, hogy mi generálja a naplót, és mi nem.
Amikor a naplókezelésről beszélünk, mi is vagyunkhivatkozva a nagy mennyiségű naplóadat létrehozására, továbbítására, elemzésére, tárolására, archiválására és esetleges megsemmisítésére, valamint ezek adminisztrációjára és megkönnyítésére alkalmazott folyamatokra és házirendekre. A naplókezelés egy központi rendszert jelent, ahol több forrásból származó naplókat gyűjtenek.
A naplókezelés nem csak a naplógyűjtés. A menedzsment rész a legfontosabb. A naplókezelő rendszereknek általában több funkciója van, a naplók gyűjtése csak egy.
Miután a naplókat a naplókezelő megkaptarendszert, azokat „át kell fordítani” egy közös formátumba. A különböző rendszerek különböző formátumú naplókat tartalmaznak, és különböző adatokat tartalmaznak a naplóikba. Egyesek naplót indítanak a dátummal és az idővel, mások az esemény számával kezdik. Néhányuk csak naplóazonosítót tartalmaz, míg mások az esemény teljes szöveges leírását tartalmazzák. A naplókezelő rendszerek egyik célja annak biztosítása, hogy az összes összegyűjtött naplóbejegyzést egységes formátumban tárolják. Ez sokkal könnyebbé teszi a keresést és az események korrelációját.
A keresésről és akár a korrelációról is beszélünk,ez sok naplókezelő rendszer másik fontos funkciója. Néhányuk egy hatalmas keresőmotorral rendelkezik, amely lehetővé teszi az adminisztrátorok számára, hogy pontosan mialatt nullára lépjenek be. A korrelációs funkciók automatikusan csoportosítják a kapcsolódó eseményeket, még akkor is, ha különböző forrásokból származnak. Hogyan és milyen sikeresen hajtják végre a különböző naplókezelő rendszereket, ez egy fő megkülönböztető tényező.
Naplózási protokollok
A naplókezelés sokkal nehezebb lenne, haegyáltalán lehetséges, ha nem naplózási protokollokhoz. Néhány közülük létezik, amely meghatározza, hogy mely adatokat kell belefoglalni a naplókba, hogyan kell ezeket formázni, és hogyan kell azokat a rendszerek között továbbítani.
A Syslog vitathatatlanul a leggyakrabban használt naplózási protokoll. A nyolcvanas évek elején találták ki, és az Unix-szerű rendszerek tényleges szabványává vált. A syslog protokoll egyik legnagyobb előnye, hogy hogyan választja el a naplókat generáló szoftvert, a rendszert, amely azokat tárolja, és a szoftvert, amely jelentést készít és elemzi őket. A Syslog protokoll használata sokkal könnyebbé teszi a naplókezelést. Számos nem Unix eszköz, például a forgalmazók útválasztói és más gyártók más hálózati berendezései használják a syslog protokoll egy változatát.
A Microsoft Windows, amint talán kitalálta, használjaegy másik naplózási rendszer. Lehetséges, hogy annak a ténynek a köze van, hogy a Windows operációs rendszereknek és alkalmazásoknak olyan naplói vannak, amelyek általában sokkal több információt tartalmaznak, mint a syslog lehetővé teszi. Szerencsére a Windows Event Collector funkciói lehetőséget nyújtanak a naplókezelő rendszerek számára az események fogadására a Windows gazdagépeitől.
Nem számít, milyen naplózási protokollt használnak, egyA naplókezelés fontos része az eszközök konfigurálása, hogy naplóikat küldjék a felügyeleti rendszernek. Ez különbözik a többi eszköztől, például a hálózati megfigyelő rendszerektől, ahol az eszköz adatokat tölt be a gazdagépektől.
Naplószerverek és naplókezelés
Mivel minden Unix-szerűen elérhető volta Syslog rendszert egy darabig, ha a Syslog gyakran naplószerverként használatos, és az egyik számítógép több naptól kapott syslog adatokat. Noha a naplóknak ez a központosított tárolása határozott előnyökkel jár, nem a naplókezelés.
A Naplókezelő Rendszer neve megérdemelése érdekében, aA terméknek tartalmaznia kell legalább néhány fejlettebb funkciót. A Wikipedia szerint a naplókezelés a következő funkciókból áll: naplógyűjtés, központosított naplóösszegzés, hosszú távú naplótárolás és -megtartás, naplóforgatás, naplóelemzés, naplókeresés és jelentéskészítés. A naplószerverek gyakran csak a naplógyűjtést és -tárolást kínálják, és ennél ritkábban. A felső listánk minden naplókezelő rendszere legalább néhány fejlettebb funkciót kínál.
Mi a helyzet a SIEM rendszerekkel?
Egy másik népszerű technológia, amely gyakrana naplókhoz társított és a naplókezelő rendszerekkel összekeverhető biztonsági információ és eseménykezelés, vagy SIEM. Ez egészen különbözik a naplókezeléstől, bár szorosan összefügg. Néhány naplókezelő rendszerként hirdetett termék valójában SIEM rendszerek, míg néhány alapvető SIEM rendszer nem más, mint naplókezelő rendszerek.
A zavar fő oka a naplóA menedzsment - vagy legalábbis a naplóelemzés - a SIEM rendszerek fontos eleme. Valójában a SIEM rendszerek általában a naplókezelést a következő szintre állítják, azáltal, hogy valamilyen intelligenciát adnak a folyamathoz. Ezek a rendszerek naplóelemzést végeznek a biztonsági kérdések azonosításának végső céljaként. Például a sikertelen bejelentkezések jeleit keresi, amelyek jogosulatlan behatolási kísérletre utalnak. Ezek a rendszerek automatikusan szkennelnek a naplóbejegyzéseket, bármi szokatlanul keresve.
A SIEM rendszerek inkább kapcsolódnak az informatikai biztonsághozmint az IT-menedzsment, és bár néhányuk kiterjedt naplókezelési funkciókat is tartalmaz, sokan használhatnak külső naplókezelő rendszereket is, és nem ritka, ha mindkét rendszert egymás mellett futtatják.
A legjobb naplókezelő szoftver
Most, hogy közösen értjük, mia naplókezelés van, és mi nem az, nézzük meg, mi elérhető. Megvizsgáltuk a piacon a legjobb naplókezelő rendszereket. Első megállapításunk szerint nagyon sok van és sokuk nagyon jó. De csak annyi helyünk van, hogy áttekintsük a nyolc legérdekesebbet, amelyeket megtalálhattunk.
1. SolarWinds Papertrail
A SolarWinds egy általános név ahálózati adminisztrációs eszközök. Már majdnem 20 éve működik, és hozta nekünk az egyik legjobb sávszélesség-figyelő eszközt, valamint az egyik legjobb NetFlow elemzőt és gyűjtőt. A társaság közismert számos olyan ingyenes eszköz közzétételével, amely a hálózati rendszergazdák speciális igényeit kielégíti, például az alhálózati számológépet vagy a syslog szervert.
Néhány évvel ezelőtt a SolarWinds megvásárolta Papertrail, egy népszerű naplókezelő rendszer. Összesíti a népszerű termékek naplófájljait, például az Apache vagy a MySQL, valamint a Ruby on Rails alkalmazásokat, a különféle felhőtárhely-szolgáltatásokat és más szokásos szövegnaplófájlokat. Papertrail A felhasználók ezután a webalapú keresési felületet vagy a parancssori eszközöket használhatják a fájlok átkutatására a hibák és a teljesítményproblémák diagnosztizálásához. Papertrail integrálódik más SolarWinds termékekkel is, mint például a Librato és a Geckoboard az eredmények grafikonozására.
Papertrail felhőalapú, szoftver mint szolgáltatás (SaaS)kínálat a SolarWinds-től. Könnyen megvalósítható, használható és megérthető. És azonnali láthatóságot biztosít minden rendszerben perc alatt. Az eszköznek nagyon hatékony keresőmotorja van, amely tárolt és streaming naplókban is kereshet. És villámgyors.
Papertrail több terv alapján érhető el, köztük egy ingyenesterv. Ennek ellenére kissé korlátozott, és csak 100 MB naplókat engedélyez havonta. Azonban 16 GB naplót tesz lehetővé az első hónapban, ami megegyezik egy ingyenes, 30 napos próbaverzióval. A fizetett tervek havi 7 dollárról indulnak, ha 1 GB / hónap naplókat, 1 év archívumot és 1 hét indexet keresnek. A zajszűrés lehetővé teszi az eszköz számára az adatok megőrzését azáltal, hogy nem menti el a haszontalan naplókat.
2. SolarWinds Napló- és eseménykezelő (INGYENES PRÓBAVERZIÓ)
Következő bejegyzésünk a SolarWinds újabb terméke, az úgynevezett the SolarWinds Napló- és eseménykezelő. Előző bejegyzésünkkel ellentétben ez egyhelyileg telepített termék. És ez is sokkal több, mint egy naplókezelő rendszer. A termék sok fejlett tulajdonsága miatt a SIEM termékcsaládba került. Például valós idejű szellőzőkorrelációval és valós idejű helyreállítással rendelkezik.
Itt található a SolarWinds Napló- és eseménykezelőFőbb jellemzői. Gyorsan kiküszöböli a fenyegetéseket a gyanús tevékenységek azonnali észlelése és az automatikus válaszok segítségével. Ezenkívül biztonsági események kivizsgálását és kriminalisztikáját is elvégezheti az enyhítés és a megfelelés érdekében. És a megfelelőségről beszélve, a termék lehetővé teszi annak demonstrálását, többek között a HIPAA, a PCI DSS és a SOX által auditáltan bebizonyított jelentéseknek köszönhetően. Ez az eszköz rendelkezik a fájl integritásának megfigyelésével és az USB-eszközök megfigyelésével is, amelyek két olyan tulajdonsággal rendelkeznek, amelyek jóval meghaladják a naplókezelő rendszerekben általánosan megfigyelt jellemzőket.
Az árak a SolarWinds Napló- és eseménykezelő Kezdjen 4585 dollárból akár 30 megfigyelt csomópontra. Legfeljebb 2500 csomóponthoz licenceket lehet megvásárolni, így a termék nagyon skálázható. És ha azt akarja ellenőrizni, hogy a termék Önnek megfelelő-e, ingyenes, teljes értékű 30 napos próbaverzió áll rendelkezésre.
3. ipswitch Naplókezelő csomag
A Naplókezelő csomag egy eszköz az Ipswitch-től, amely ugyanaz a céghozott nekünk a WhatsUp Gold-ot, egy rendkívül népszerű hálózati megfigyelő eszközt. Ez egy automatizált eszköz, amely gyűjti, tárolja, archiválja és menti a rendszernaplókat, a Windows eseményeket és a W3C / IIC naplókat. Ezenkívül a folyamatos naplófigyelés figyelmezteti Önt minden gyanús tevékenységre.
Gyakran ellenőrzött események, például hozzáférési jogokA fájl-, mappa- és objektumjogosultságok követhetők, szükség szerint riasztásokat generálva, és felhasználva a HIPAA, SOX, FISMA, PCI, MiFID vagy Basel II megfelelőségi jelentéseket. Az eszköz az automatikus szűrési, korrelációs, jelentési és konvertáló funkcióinak köszönhetően a nyers naplóadatokat a vezetők vagy az IT biztonsági csapatok számára értelmes adatokké alakíthatja.
Árképzési információk a Naplókezelő csomag nem elérhető az Ipswitch-től. A terméket megvásárolhatja közvetlenül a kiadótól vagy az Ipswitch viszonteladói hálózatán keresztül. Ingyenes próbaverzió is elérhető.
4. ManageEngine EventLog Analyzer
A ManageEngine, egy másik általános név a hálózati adminisztrátorokkal, kiváló naplókezelő rendszert alkot ManageEngine EventLog elemző. A termék több mint 700 forrás naplóadatait gyűjti, kezeli, elemzi, összekapcsolja és keresse meg a kombinált vagy ügynökök nélküli és ügynök alapú naplógyűjtést, valamint a naplóimportálást.
A sebesség az egyik ManageEngine EventLog elemzőErőssége. A naplóadatokat lenyűgöző 25 000 napló / másodpercenként képes feldolgozni, és valós időben észlelheti a támadásokat. Gyors kriminalisztikai elemzést is végezhet a jogsértés hatásának csökkentése érdekében. A rendszer ellenőrzési képességei kiterjednek a hálózati kerület eszköznaplóira, felhasználói tevékenységeire, szerverfiókjainak változásaira, felhasználói hozzáférésekre és egyebekre, segítve a biztonsági ellenőrzési igények kielégítésében.
A ManageEngine EventLog elemző elérhető egy szolgáltatás nélküli, ingyenes kiadásbanamely csak 5 naplóforrást támogat, vagy egy prémium kiadásban, amely 595 dollárral kezdődik, és az eszközök és alkalmazások számától függ. Ingyenes, teljes értékű 30 napos próbaverzió is rendelkezésre áll.
5. Nagios naplószerver
A Nagios a legismertebb kiváló hálózati megfigyelő szoftveréről, de a Log Server valószínűleg ugyanolyan érdekes. Rendszeresen hívják Nagios Log Server, központosított naplókezelést, megfigyelést és elemzést kínál. A Nagios Log Server leegyszerűsíti a naplóadatok keresésének folyamatát. Ezenkívül beállíthatja a figyelmeztetéseket, hogy értesüljenek a lehetséges fenyegetésekről. A szoftver magas rendelkezésre állású és beépített beépített hibákat is tartalmaz. Az egyszerű forrásbeállító varázslók segítségével gyorsan beállíthatja a kiszolgálókat az összes naplóadat elküldésére és a naplók figyelésére. .
A Nagios Log Server lehetővé teszi a naplóesemények könnyű korrelálását az összes közöttcsak néhány kattintással. És lehetővé teszi a naplóadatok valós időben történő megtekintését, lehetőséget adva a problémák elemzésére és megoldására, amikor azok felmerülnek. A termék lenyűgöző méretezhetőséggel rendelkezik, és a szervezet növekedésével továbbra is megfelel az Ön igényeinek. További Nagios Log Server példányok hozzáadhatók egy megfigyelő fürthez, lehetővé téve ezzel gyorsabb energiát, sebességet, tárolást és megbízhatóságot.
Az egypéldányos ár a Nagios Log Server 3 995 dollár, és bár úgy tűnik, hogy nem érhető el ingyenes próbaverzió, ingyenes online bemutatóra van szükség, ha inkább először szeretné megtekinteni a terméket.
6. Alert Logic Log Manager
Az Alert Logic elsődleges hangsúlya a biztonság és a megfelelés. Mivel a naplókezelés szorosan kapcsolódik mindkettőhöz, nem meglepő, hogy a cég a Alert Logic Log Manager. Ez a felhőalapú eszköz automatizált ésegységes naplókezelés az összes környezetben. Összegyűjti és összegyűjti és keresse a naplóadatokat a felhőből, kiszolgálóból, alkalmazásból, biztonságból és hálózati eszközökből.
A Alert Logic Log Manager magában foglalja a napló megfigyelését és elemzését, valamintnapló áttekintés, amelyet élő elemzők végeznek. A Alert Logic szakértői évente 365 nappal figyelmeztetnek az esetleges fenyegetésekre. Ez a szolgáltatás hozzájárul az SOC 2, HIPAA és SOX naplófájl-áttekintési követelményeinek teljesítéséhez, valamint a naplók áttekintésének és az események nyomon követésének a PCI / DSS 10.6, 10.6.1, 10.6.3
Árképzési információk a Alert Logic Log Manager nem elérhető az interneten, és hivatalos árajánlat kéréséhez kapcsolatba kell lépnie az Alert Logic értékesítésével. Ingyenes próbaverzió szintén nem érhető el, de az ingyenes bemutató a Alert Logic kapcsolatfelvételével megszervezhető.
7. LogDNA
2015-ben alapították, LogDNA az új gyerek a blokkban. A társaság azt állítja, hogy “LogDNA a leggyorsabb, leg intuitívabb ésköltséghatékony naplókezelő rendszer ”. Mindez a telepítéssel kezdődik, amely csak néhány percet vesz igénybe, mielőtt megkezdi a naplók figyelését. Nem számít a naplók létrehozásának és továbbításának módja, több száz egyedi integrációs séma áll rendelkezésre a naplók egyetlen panelen történő központosításához.
LogDNA lehet felhőalapú vagy önálló házigazda, attól függőenaz Ön preferenciája. Nagyon skálázható, és napi százezres naplókat és ügyfelenként több tucat terabyte-ot képes kezelni napi teljes biztonságban, valósidejű naplóelemzéssel. A társaság és termékei SOC2, PCI és HIPAA-kompatibilisek, valamint a Privacy Shield tanúsítvánnyal rendelkeznek.
Az egyszerű, pay-per-GB árképzési modell, amelykiküszöböli a szerződéseket és a rögzített adatvödröket, a társaság az egyik legalacsonyabb birtoklási összköltséggel rendelkezik. Számos előfizetési terv érhető el egyre növekvő funkciókkal. Az alsó szintű terv ingyenes, és a fizetett programok 1,50 USD / GB / hónap és 3 USD / GB / hónap között változnak, a megőrzési időtartamtól és a felhasználók számától függően. Ingyenes, teljes értékű 14 napos próbaverzió is rendelkezésre áll.
8. Szürkelog
Utoljára a listánk egy nevű termék Graylog. A termék számos érdekes funkcióval rendelkezik. Az eszköz elemzi és gazdagítja a naplókat és az eseményadatokat bármilyen adatforrásból. A feldolgozási csővezetékek bizonyos rugalmasságot biztosítanak az üzenetek valós időben történő irányításában, feketelistázásában, módosításában és gazdagításában. Graylog terabyte naplózási adatokat fog keresni a fontos információk felfedezéséhez és elemzéséhez. A hatékony keresési szintaxis segítségével pontosan megtalálhatja azt, amit keres.
Val vel Graylog, létrehozhat irányítópultot a metrikák megjelenítéséhezés figyelje meg a tendenciákat egy központi helyen. A terepi statisztikák, a gyors értékek és a keresési eredményoldal diagramjai segítségével belemerülhet az adatok mélyebb elemzésébe. A rendszernek lehetősége van arra is, hogy műveleteket indítson vagy értesítéseket bocsásson ki olyan eseményekről, mint például a sikertelen bejelentkezési kísérletek, kivételek vagy a teljesítmény romlása.
Graylog ingyenes és nyílt forráskódként is elérhető,szolgáltatás korlátozott verzió, amely szintén korlátozott támogatással rendelkezik, vagy vállalati verzió, kibővített szolgáltatásokkal és korlátlan támogatással. Kísérleti engedélyt kaphat a kapcsolatfelvétellel is Graylog értékesítés.
Hozzászólások