I file di registro sono presenti su quasi tutti i computersistema o dispositivo di rete. Contengono dettagli sugli eventi che si verificano su ciascun sistema. Possono rivelarsi preziosi durante la risoluzione di vari problemi. Possono anche rivelare attività dannose e, pertanto, possono diventare un mezzo utile per garantire la sicurezza. Ma chi ha il tempo di guardare anche i file di registro? Con l'amministratore tipico che gestisce decine di dispositivi, alcuni dei quali registrano diversi eventi ogni secondo, non c'è modo che nessuno possa tenere traccia. Ecco perché sono stati inventati gli strumenti di monitoraggio dei log. Consolidano tutti i registri degli eventi in un'unica posizione e spesso forniscono strumenti e servizi di analisi che eseguiranno i registri e genereranno avvisi ogni volta che si osserva qualcosa di straordinario. Sono disponibili molti strumenti di monitoraggio dei log diversi e scegliere quello migliore può rivelarsi una sfida. Per aiutarti, abbiamo raccolto questo elenco di alcuni dei migliori strumenti di monitoraggio dei log.
Inizieremo la nostra discussione esplorandoregistri di sistema, cosa sono e come funzionano. Successivamente, parleremo dei log di monitoraggio. Proprio come prima, vedremo cosa significa e come è stato fatto. Ti forniremo quindi maggiori dettagli sull'analisi dei log in quanto questa è la funzione che rende gli strumenti di monitoraggio dei log più utili. Come in precedenza, descriveremo di cosa si tratta e le diverse forme di analisi disponibili. Infine, esamineremo alcuni dei migliori strumenti di monitoraggio dei log che potremmo trovare e ti parleremo delle loro caratteristiche principali.
Log di sistema in breve
In una frase, un file di registro o registro di sistema è afile che registra gli eventi che si verificano in un sistema operativo o altro software. La registrazione è l'atto di mantenere un registro di sistema. Nel caso più semplice, i messaggi vengono semplicemente scritti in un singolo file di registro. Mentre la maggior parte dei sistemi utilizza principalmente file di testo per la registrazione di eventi, alcuni sistemi moderni utilizzano una qualche forma di database per registrarli.
Indipendentemente da come e dove vengono registrati gli eventi, alcunii sistemi consentono di definire il livello di registrazione richiesto. Ciò è particolarmente vero con le apparecchiature di rete in cui ogni evento ha un livello di gravità e i parametri di registrazione possono essere impostati per registrare solo eventi di un certo livello di gravità o superiore. Anche altri tipi di sistemi offrono funzionalità simili.
Informazioni sui registri di monitoraggio
Il monitoraggio dei registri è un processo in due parti. La prima - e la più importante - parte è la raccolta di dati di registro da vari sistemi. Questo è realizzato in diversi modi. Alcuni sistemi possono essere configurati per inviare automaticamente i log a un server centralizzato tramite il protocollo Syslog. Gli strumenti di monitoraggio dei log in genere hanno un server syslog integrato per ricevere direttamente i dati degli eventi. Altri sistemi, come ad esempio Windows, funzionano in modo diverso. Esistono vari mezzi per acquisire i dati di registro da questi sistemi come l'uso della Strumentazione gestione Windows o l'utilizzo di agenti locali in esecuzione su host Windows. Indipendentemente da come è stato fatto, ogni sistema di monitoraggio dei registri include le funzionalità necessarie per ricevere e consolidare i dati dei registri da più fonti.
Il prossimo passo - Analisi dei log
La seconda attività di qualsiasi utile strumento di monitoraggio dei registriè l'analisi del registro. È qui che gli strumenti differiscono di più. Alcuni offriranno analisi molto semplici come l'attivazione di un avviso quando il numero di eventi per unità di tempo raggiunge una determinata soglia. Strumenti più avanzati esamineranno ogni evento e cercheranno indicazioni specifiche di problemi. Ad esempio, un gran numero di accessi non riusciti potrebbe essere un segno di un tentativo di intrusione in corso. Potremmo spendere pagine che descrivono le diverse forme di analisi dei log disponibili. Invece, ti invitiamo a dare un'occhiata alla diversa recensione di prodotto qui sotto per i dettagli su ciò che ognuno offre.
I migliori strumenti di monitoraggio dei log
Come abbiamo indicato in precedenza, ci sono molti diversistrumenti disponibili con vari gradi di funzionalità. Non tutti hanno bisogno di uno strumento con analisi approfondite e funzionalità ad alta sicurezza, quindi abbiamo incluso un mix di strumenti che forniscono vari set di funzionalità. Alcuni sono strumenti più semplici mentre altri sono più complessi. Sta a te determinare quale strumento offre la soluzione migliore per le tue esigenze. Fortunatamente, tutti gli strumenti sul nostro elenco hanno una prova gratuita disponibile, quindi nulla ti impedisce di provarne alcuni, qualcosa che consigliamo vivamente.
1. Log e gestore eventi di SolarWinds (Prova gratuita)
SolarWinds è un nome comune nel monitoraggiomondo. L'azienda esiste da oltre 20 anni e il suo prodotto di punta, chiamato Network Performance Monitor, è riconosciuto da molti come uno dei migliori strumenti di monitoraggio SNMP disponibili. E come se ciò non bastasse, SolarWinds è anche noto per i suoi numerosi strumenti gratuiti. Si tratta di strumenti più piccoli, ognuno dei quali risponde a un'esigenza specifica degli amministratori di rete. Advanced Subnet Calculator e il server TFTP di SolarWinds sono due eccellenti esempi di questi strumenti gratuiti.
Per quanto riguarda la Log & Event Manager (LEM) di SolarWinds, è esattamente ciò che implica il suo nome. Lo strumento è così ricco di funzionalità che molti lo considerano come uno strumento completo di gestione delle informazioni sulla sicurezza e degli eventi. Quando si tratta di monitorare e gestire i registri, è probabilmente uno degli strumenti di gestione dei registri più interessanti che si possano trovare. Dispone di funzioni di gestione dei log e di correlazione molto utili, nonché di un impressionante motore di reportistica.
- PROVA GRATUITA: Log e gestore eventi di SolarWinds
- Link per scaricare: https://www.solarwinds.com/log-event-manager-software/registration
Il Log e gestore eventi di SolarWinds può aiutare a migliorare la sicurezza e la conformità dirilevare attività sospette e identificare più rapidamente le minacce con il rilevamento in tempo reale di attività sospette. È inoltre possibile utilizzare lo strumento per condurre indagini sugli eventi di sicurezza e analisi forensi per la mitigazione e la conformità. Questa caratteristica è il motivo per cui molti considerano il prodotto come uno strumento SIEM. Inoltre, questo strumento aiuta a garantire la conformità alle normative. È possibile utilizzarlo per dimostrare la conformità, grazie alla sua reportistica comprovata da audit per HIPAA, PCI DSS, SOX, DISA STIG e altro.
Il Log e gestore eventi di SolarWindsLe funzioni di risposta agli eventi non lasciano nulladesiderato. Il sistema di risposta dettagliato in tempo reale reagirà attivamente a ogni minaccia. Essere basati sul comportamento piuttosto che sull'analisi delle firme significa che sei persino protetto da minacce sconosciute o future. Ma la dashboard dello strumento è forse la sua risorsa migliore. Con un design semplice, non avrai problemi a identificare rapidamente le anomalie.
Prezzi per il Log e gestore eventi di SolarWinds si basa sul numero di nodi monitorati. Sono disponibili vari livelli di licenze da 30 a 2500 nodi a partire da $ 4 665. E se si desidera provare il prodotto prima dell'acquisto, è disponibile per il download una versione di prova gratuita di 30 giorni completamente funzionale.
2. Log Manager di SolarWinds per Orion (Prova gratuita)
Il prossimo nella nostra lista è un altro prodotto di SolarWinds chiamato il Log Manager per Orion. Orion, nel caso in cui non hai familiaritàI prodotti SolarWinds erano la piattaforma principale dell'azienda alcuni anni fa. È ancora l'architettura sottostante su cui sono costruiti molti dei migliori prodotti di SolarWinds. Se stai utilizzando uno qualsiasi di Network Performance Monitor, NetFlow Traffic Analyzer, Network Configuration Manager, Virtualization Manager, Server and Application Monitor o Storage Resource Monitor, stai utilizzando Orion.
- PROVA GRATUITA: Log Manager di SolarWinds per Orion
- Link per scaricare: https://www.solarwinds.com/log-manager-for-orion-software/registration
Il Log Manager di SolarWinds per Orion aggiunge funzionalità di gestione dei registri a uno qualsiasi dei fileStrumenti di monitoraggio e gestione basati su Orion. In breve, il prodotto offre aggregazione, codifica, filtro e avvisi di registro potenti e intuitivi. La sua integrazione con i prodotti della piattaforma Orion offre una visione unificata del monitoraggio dell'infrastruttura IT e dei log associati. Il prodotto è stato creato in collaborazione con ingegneri di rete e di sistemi per garantire che i loro problemi e come risolverli fossero compresi.
Nonostante la sua integrazione con la piattaforma Orion, il Log Manager può essere installato da solo e non richiedequalsiasi altro strumento Orion da installare. Il prezzo parte da $ 1 495 ed è disponibile una versione di prova gratuita di 30 giorni se si desidera provare il prodotto e vedere come si adatta alle proprie esigenze.
3. PaperTrail (Piano gratuito disponibile)
Il prossimo è l'ennesimo prodotto di SolarWinds chiamato Papertrail. Questo è molto diverso dal precedentedue in quanto è un'offerta SaaS (Software as a Service) basata su cloud. Il potente strumento stava già godendo un po 'di popolarità quando SolarWinds lo acquistò, qualche anno fa. Aggrega i file di registro da una moltitudine di prodotti come Apache o MySQL, nonché le app Ruby on Rails, numerosi servizi di cloud hosting e altri file di registro di testo standard.
- Iscriviti qui: https://papertrailapp.com/plans
Per diagnosticare bug e problemi di prestazioni, è possibile utilizzare Papertrail motore di ricerca molto efficace e velocissimoche può cercare nei registri memorizzati e in streaming. Il prodotto si integra con alcuni altri prodotti SolarWinds come Librato e Geckoboard per la rappresentazione grafica dei risultati. Papertrail è anche facile da implementare, utilizzare e comprendere. Ti fornirà visibilità istantanea su tutti i sistemi in pochi minuti.
Papertrail è disponibile in diversi piani, incluso uno gratuitoPiano. È in qualche modo limitato e consente solo 50 MB di log al mese. Tuttavia, consentirà 16 GB di log nel primo mese, il che equivale a fornire una prova gratuita e illimitata di 30 giorni. I piani pagati partono da $ 7 / mese per 1 GB / mese di registri, 1 anno di archivio e 1 settimana di indice. Il piano da $ 75 al mese con 8 GB di registri è il più popolare. Il filtro antirumore consente allo strumento di conservare i dati non salvando registri inutili.
4. PRTG Network Monitor
Il PRTG Network Monitor di Paessler AG è un prodotto integrato, tutto in unosistema di monitoraggio che può essere utilizzato per monitorare quasi tutto, grazie alla sua intelligente architettura basata su sensori. Una delle migliori caratteristiche di questo prodotto di livello enterprise è sicuramente la sua velocità di installazione. Secondo Paessler, il PRTG Network Monitor può essere installato in un paio di minuti. Anche se potrebbe non essere così veloce per tutti, è ancora uno degli strumenti di monitoraggio più facili e veloci da installare, grazie in parte al suo processo di auto-rilevamento.
Il PRTG Network Monitor è un prodotto ricco di funzionalità. Alla base, è principalmente uno strumento di monitoraggio della rete che utilizza SNMP per eseguire il polling dei dispositivi e visualizzare l'utilizzo delle loro interfacce su grafici cronologici. Tuttavia, attraverso l'uso di sensori aggiuntivi, PRTG può monitorare praticamente qualsiasi cosa. I sensori sono in qualche modo simili ai componenti aggiuntivi, tranne per il fatto che sono inclusi nel prodotto. E ci sono sensori disponibili per vari server, servizi e applicazioni. Complessivamente, il prodotto include oltre 200 sensori.
Per il monitoraggio e la gestione dei registri, sono disponibili due diversi sensori. Il API di Windows del registro eventi sensore acquisisce tutti i messaggi di registro che Windowsgenera. Questo sensore monitora la frequenza dei messaggi di registro anziché il loro contenuto e genererà un allarme se la velocità dei messaggi di registro eventi raggiunge una soglia critica.
L'altro sensore interessante, il Ricevitore Syslog sensore, riceve, monitora e salva syslogmessaggi da qualsiasi dispositivo. Tuttavia, non solo registri aggregati da varie fonti. La sua funzionalità di monitoraggio innescherà allarmi ogni volta che si presentano condizioni preoccupanti, come un aumento della velocità di ricezione del registro.
Il PRTG Network Monitor è disponibile in due versioni. La versione gratuita è completa ma limiterà la tua capacità di monitoraggio a 100 sensori. Quando si utilizza SNMP, ogni parametro monitorato conta come un sensore. Ad esempio, se si monitorano due interfacce su un router, verranno conteggiati come due sensori. Ogni istanza di un sensore di monitoraggio specifico conta anche come una. Se hai bisogno di più di 100 sensori, dovrai acquistare una licenza che parte da $ 1 600 per 500 sensori. È disponibile una versione di prova gratuita, illimitata per sensori e completa di 30 giorni.
5. ManageEngine EventLog Analyzer
ManageEngine è un altro noto produttore di strumenti di amministrazione di rete tra i professionisti IT. L'azienda offre un sistema di gestione dei registri chiamato ManageEngine EventLog Analyzer. Il prodotto raccoglie, gestisce, analizza, correla e cerca tra i dati di registro di oltre 700 fonti utilizzando una combinazione di registri combinata o senza agenti e basata su agenti, nonché l'importazione dei registri.
Il ManageEngine EventLog AnalyzerLa capacità è impressionante. Può elaborare i dati di registro a una velocità massima di 25000 registri / secondo e rilevare gli attacchi in tempo reale. Lo strumento può anche eseguire rapidamente analisi forensi riducendo così il potenziale impatto di una violazione. Le capacità di controllo del sistema si estendono ai registri dei dispositivi perimetrali di rete, alle attività degli utenti, alle modifiche dell'account del server, agli accessi degli utenti e altro, aiutandoti a soddisfare le esigenze di controllo della sicurezza.
Correlazione del registro eventi in tempo reale dello strumentorileva istantaneamente i tentativi di attacco e traccia le potenziali minacce alla sicurezza correlando i dati di registro con oltre 30 regole predefinite per rilevare attacchi di forza bruta, blocchi di account, furto di dati, attacchi di server Web e molti altri. Dispone inoltre di un parser di log personalizzato in grado di estrarre campi da qualsiasi formato di registro leggibile dall'uomo. Il prodotto offre davvero un'unica console per visualizzare tutti i dati del registro di sicurezza.
Il ManageEngine EventLog Analyzer è disponibile in un'edizione gratuita ridotta di funzionalitàche supporta solo 5 origini log o in un'edizione premium che parte da $ 595 e varia in base al numero di dispositivi e applicazioni. È inoltre disponibile una versione di prova gratuita di 30 giorni con funzionalità complete.
6. Graylog
Graylog è una piattaforma di gestione dei log open source gratuitacon molte caratteristiche interessanti. Lo strumento può analizzare e arricchire registri e dati di eventi da quasi tutte le fonti di dati. Le pipeline di elaborazione consentono una certa flessibilità nell'instradamento, nella lista nera, nella modifica e nell'arricchimento dei messaggi in tempo reale. Lo strumento cercherà tra terabyte di dati di registro per scoprire e analizzare informazioni importanti. La sua sintassi di ricerca potente e piuttosto unica ti consente di trovare esattamente quello che stai cercando.
Con Graylog, hai la possibilità di creare personalizzatidashboard che ti consentono di visualizzare metriche specifiche e osservare le tendenze da un'unica posizione centrale. È possibile utilizzare statistiche sul campo, valori rapidi e grafici dalla pagina dei risultati della ricerca per eseguire il drill down per un'analisi più approfondita dei dati. Inoltre, il prodotto offre la possibilità di attivare azioni o inviare notifiche su eventi quali tentativi di accesso non riusciti, eccezioni o degrado delle prestazioni.
Graylog è disponibile come gratuito e open-sourceversione limitata che ha anche un supporto limitato. Esiste anche una versione aziendale con funzionalità estese e supporto illimitato. È gratuito anche per un massimo di 5 GB di log al giorno. A seconda di quanto è grande e occupata la tua rete. Potrebbe essere abbastanza per le tue necessità. I prezzi di licenza e supporto possono essere ottenuti contattando Graylog i saldi.
7. WhatsUp Log Management Suite
Il WhatsUp Log Management Suite è uno strumento eccellente di Ipswitch. Ipswitch, c'è bisogno di ricordartelo, è la società dietro WhatsUp Gold, lo strumento di monitoraggio della rete super popolare. Questo è uno strumento automatizzato che raccoglie, archivia, archivia e salva registri di sistema, eventi di Windows e registri W3C / IIC. Non si tratta solo di registri ed eventi aggregati, tuttavia, la sua continua sorveglianza e analisi dei registri ti avviserà di qualsiasi attività anomala.
Il WhatsUp Log Management Suite seguirà eventi frequentemente controllati comediritti di accesso e privilegi di file, cartelle e oggetti e generazione di avvisi secondo necessità. Utilizza inoltre gli eventi raccolti per creare report di conformità per la conformità HIPAA, SOX, FISMA, PCI, MiFID o Basilea II. Questo software può anche aiutare a trasformare i dati di log non elaborati in informazioni significative per manager o team di sicurezza IT, utilizzando le sue potenti funzionalità di filtro automatizzato, correlazione, creazione di report e conversione.
Il WhatsUp Log Management Suite è in realtà un insieme di applicazioni che includono i seguenti strumenti:
- Archiviatore di eventi: Questo strumento automatizza la raccolta, la cancellazione e il consolidamento dei registri.
- Allarme evento: Uno strumento per monitorare i file di registro e ricevere notifiche in tempo reale sugli eventi chiave.
- Analista di eventi: Analizza e riporta i dati di registro e le tendenze; distribuire automaticamente rapporti a dirigenti, responsabili della sicurezza, revisori e altre parti interessate.
- Evento Rover: Una console unificata per analisi forensi approfondite su tutti i server e le workstation per aumentare l'efficienza e risparmiare tempo.
Informazioni sui prezzi per il Log Management Suite non è prontamente disponibile da Ipswitch. Il prodotto può essere acquistato direttamente dall'editore o tramite la rete di rivenditori Ipswitch. Naturalmente è anche disponibile una versione di prova gratuita.
8. LogDNA
Si dice che LogDNA sia “il sistema di gestione dei log più rapido, intuitivo ed economico”. Questo tende ad essere vero. Fin dall'inizio, l'installazione del prodotto richiede solo un paio di minuti prima che tu possa iniziare a raccogliere e monitorare i log. Indipendentemente dal modo in cui i log vengono generati e trasmessi, all'interno del prodotto sono disponibili centinaia di schemi di integrazione personalizzati che consentono di centralizzare i log in un'unica posizione.
LogDNA è disponibile in cloud o aversione self-hosted, a seconda delle tue preferenze. È un prodotto altamente scalabile in grado di gestire centinaia di migliaia di registri al secondo e dozzine di terabyte al giorno offrendo la massima sicurezza e analisi dei registri in tempo reale. Sia l'azienda che i suoi prodotti sono conformi a SOC2, PCI e HIPAA, nonché certificati Privacy Shield.
Il semplice modello di prezzi pay-per-GB di LogDNAelimina i contratti e le allocazioni fisse di dati, il che rende uno dei costi di gestione totali più bassi di qualsiasi soluzione di gestione e monitoraggio dei registri pagati. Sono disponibili diversi piani di abbonamento con funzionalità in aumento. Il piano di livello inferiore è gratuito e i prezzi per i piani a pagamento variano da $ 1,50 / GB / mese a $ 3 / GB / mese a seconda della durata della conservazione e del numero di utenti. È inoltre disponibile una versione di prova gratuita, completa e illimitata di 14 giorni.
Commenti