המערכות של היום מייצרות רישום רבנתונים. בפלטפורמות רבות כל אירוע בודד, חשוב או לא, נרשם איפשהו. בדרך כלל, יומנים מאוחסנים באופן מקומי. זה הגיוני שכן היומנים קשורים למקור שלהם. אך כשמנסים לפתור בעיות ולמצוא את סיבת השורש שלהם, פירוש הדבר שלעיתים קרובות עלינו להסתכל על קבצי יומן מרובים במספר מכשירים. האם לא יהיה נחמד אם כל היומנים מכל המכשירים היו מאוחסנים במקום אחד? ניהול יומן זה והרבה יותר, כפי שאתה עומד לגלות. והיום אנו בוחנים את מערכות ניהול היומנים המובילות.
נתחיל בניסיון להסביר איזה יומןניהול הוא. כפי שתראה, זה יכול להיות הרבה יותר מאשר סתם לרכז את אחסון היומנים. בשלב הבא נדבר על פרוטוקולי רישום. זה די חשוב מכיוון שסביר להניח שניהול יומן לא יהיה קיים בלעדיהם. לאחר מכן ננסה להבדיל בין שרתי syslog לבין מערכות ניהול יומנים. לרוע המזל, אין ביניהם תיחום ברור. אנו נעקוב אחר הדיון במערכות מידע בנושא אבטחה וניהול אירועים מכיוון שמדובר בסוג אחר של מערכת שמתבלבלת לעיתים קרובות עם ניהול יומנים בזכות ההגדרה הלא ברורה של כל אחת מהן. ולבסוף, נסקור את שמונת מערכות ניהול היומנים המובילות שיכולנו למצוא.
ניהול יומן - מה זה
לפני שנוכל לדבר על ניהול יומנים, בואותראה מה זה יומן. בפשטות מוגדרת, יומן הוא התיעוד המיוצר אוטומטית וחותמת זמן של אירועים הרלוונטיים למערכת מסוימת. בכל פעם שאירוע מתרחש במערכת, נוצר יומן. מערכות שונות יפיקו יומנים לאירועים שונים ומערכות רבות מעניקות למנהלים מידה מסוימת של שליטה על מה שמייצר יומן ומה לא.
כשאנחנו מדברים על ניהול יומנים, אנחנובהתייחס לתהליכים והמדיניות המשמשים לניהול והקלה על ייצור, שידור, ניתוח, אחסון, ארכיב וסילוק סופי של כמויות גדולות של נתוני יומן. ניהול יומן מרמז על מערכת ריכוזית בה נאספים יומנים ממקורות מרובים.
אבל ניהול יומנים הוא לא רק איסוף יומנים. החלק הניהולי הוא החשוב ביותר. מערכות ניהול יומנים כוללות בדרך כלל פונקציות מרובות, איסוף יומנים הוא רק אחד מהם.
ברגע שמתקבלים יומנים על ידי הנהלת היומןהמערכת צריכה להיות "מתורגמת" לתבנית נפוצה. מערכות שונות מעצבות יומנים בצורה שונה וכוללות נתונים שונים ביומנים שלהם. חלקם מתחילים יומן עם התאריך והשעה, ויש המתחילים אותו עם מספר אירוע. חלקם כוללים מזהה יומן בלבד ואילו אחרים כוללים תיאור טקסטואלי מלא של האירוע. אחת המטרות של מערכות ניהול יומנים היא להבטיח שכל רשומות היומן שנאספו מאוחסנות בפורמט אחיד. זה יקל על חיפוש והתאמת אירועים בהמשך הקו.
מדברים על חיפוש ואפילו על מתאם,זוהי פונקציה חשובה נוספת של מערכות ניהול יומנים רבות. חלקם כוללים מנוע חיפוש רב עוצמה המאפשר למנהלי מערכת להכנס לאפס את מה שהם צריכים. פונקציות המתאם יקבצו באופן אוטומטי אירועים קשורים, גם אם הם ממקורות שונים. כיצד - וכמה בהצלחה - להשיג מערכות ניהול יומנים שונים זה גורם מובחן משמעותי.
פרוטוקולי רישום
ניהול יומן יהיה הרבה יותר קשה, אםבכלל אפשרי, אלמלא פרוטוקולי רישום. כמה מהם קיימים המגדירים אילו נתונים ייכללו ביומנים, כיצד יש לעצב אותם וכיצד יש להעבירם בין מערכות.
Syslog הוא, ככל הנראה, פרוטוקול הכניסה הנפוץ ביותר. הוא הומצא בראשית שנות השמונים, והוא הפך לתקן דה-פקטו למערכות דמויות יוניקס. אחד הנכסים הגדולים ביותר של פרוטוקול syslog הוא כיצד הוא מפריד בין התוכנה המייצרת יומנים, את המערכת המאחסנת אותם ואת התוכנה המדווחת ומנתחת אותם. השימוש בפרוטוקול Syslog הופך את ניהול היומן להרבה יותר קל. מכשירים רבים שאינם יוניקס, כגון נתבי בוררים וציוד רשת אחר של ספקים רבים משתמשים בגרסה של פרוטוקול syslog.
Microsoft Windows, כפי שאפשר לנחש, משתמשתמערכת כניסה אחרת. יכול להיות שזה קשור לעובדה שלמערכות ההפעלה והיישומים של Windows יש יומנים שמכילים בדרך כלל מידע רב יותר ממה שמאפשר syslog. למרבה המזל, הפונקציות של אספן האירועים של Windows מספקות אמצעים עבור מערכות ניהול יומנים בהן תוכלו להשתמש כדי לקבל אירועים ממארחי Windows.
לא משנה באיזה פרוטוקול רישום משתמשים,חלק חשוב בניהול יומני הוא קביעת התצורה של מכשירים לשליחת היומנים שלהם למערכת הניהול. זה שונה מכלים אחרים כמו מערכות ניטור רשת, בהן הכלי שולף נתונים מהמארחים.
שרתי יומן לעומת ניהול יומן
מאז הוא זמין בכל דמוי יוניקסמערכת לזמן מה, Syslog אם משמש לעתים קרובות כשרת יומן עם מחשב אחד המקבל נתוני syslog מכמה אחרים. אמנם לאחסון יומני מרכזי זה יש יתרונות מוגדרים, אך אין מדובר בניהול יומנים.
כדי לקבל את שם מערכת ניהול היומנים, אעל המוצר לכלול לפחות חלק מהפונקציות המתקדמות יותר. על פי ויקיפדיה, ניהול יומן מורכב מהפונקציות הבאות: איסוף יומנים, צבירת יומן מרכזית, אחסון ושמירת יומן ארוכת טווח, סיבוב יומן, ניתוח יומנים, חיפוש יומן ודיווח. שרתי יומן לעיתים קרובות מציעים רק את אוסף היומנים והאחסון ולעיתים רחוקות יותר מזה. כל אחת ממערכות ניהול היומנים ברשימה העליונה שלנו מציעה לפחות חלק מהפונקציות המתקדמות יותר.
מה דעתך על מערכות SIEM?
טכנולוגיה פופולרית נוספת שהיא לעתים קרובותהמשויך ליומנים ומבולבל עם מערכות ניהול יומנים הוא מידע אבטחה וניהול אירועים, או SIEM. זה שונה לחלוטין מניהול יומני אם כי זה קשור קשר הדוק. למעשה, מוצרים מסוימים המפורסמים כמערכות ניהול יומנים הם למעשה מערכות SIEM בעוד שחלק ממערכות SIEM בסיסיות אינן אלא מערכות ניהול יומנים.
הסיבה העיקרית לאותו בלבול היא היומן ההואניהול - או לפחות ניתוח יומנים - הוא מרכיב חשוב במערכות SIEM. למעשה, מערכות SIEM בדרך כלל לוקחות את ניהול היומנים לשלב הבא על ידי הוספת קצת אינטליגנציה לתהליך. מערכות אלה מבצעות ניתוח יומנים במטרה הסופית לזהות סוגיות אבטחה. הם, למשל, יחפשו סימנים של כניסות לא מוצלחות אשר יעידו על ניסיון חדירה בלתי מורשה. מערכות אלה יסרקו באופן אוטומטי רשומות ביומן המחפשות כל דבר חריג.
מערכות SIEM קשורות יותר לאבטחת ITמאשר ניהול IT ובעוד חלקם כוללים תכונות ניהול נרחב של יומנים, רבים יכולים גם להשתמש במערכות ניהול יומן חיצוניות ולא נדיר לראות ששתי המערכות פועלות זו לצד זו.
התוכנה הטובה ביותר לניהול יומן
עכשיו שיש לנו הבנה משותפת של מהניהול יומנים הוא ומה הוא לא, בואו נסתכל על מה שזמין. חיפשנו בשוק כמה ממערכות ניהול היומן הטובות ביותר. הממצא הראשוני שלנו הוא שיש הרבה כאלה ורבים מהם טובים מאוד. אבל יש לנו רק כל כך הרבה מקום, אז אנו עומדים לסקור את שמונה המעניינים ביותר שיכולנו למצוא.
1. SolarWinds Papertrail
SolarWinds הוא שם נפוץ בתחוםכלי ניהול רשת. זה קיים כמעט 20 שנה והביא לנו את אחד מכלי הניטור הטובים ביותר על רוחב הפס ואחד המנתחים והאספנים הטובים ביותר של NetFlow. החברה ידועה גם בזכות פרסום כמה כלים חינמיים העונים על צרכים ספציפיים של מנהלי רשת כגון מחשבון רשת משנה או שרת syslog.
לפני מספר שנים רכשה חברת SolarWinds שובל נייר, מערכת ניהול יומן פופולרית. זה צובר קבצי יומן ממגוון רחב של מוצרים פופולריים כמו אפאצ'י או MySQL כמו גם אפליקציות Ruby on Rails, שירותי אירוח ענן שונים וקבצי יומן טקסט רגילים אחרים. שובל נייר לאחר מכן משתמשים יכולים להשתמש בממשק החיפוש מבוסס האינטרנט או בכלי שורת הפקודה כדי לחפש קבצים אלה כדי לאבחן באגים ובעיות ביצועים. שובל נייר משתלב גם עם מוצרים אחרים של SolarWinds כמו ליברטו ו- Geckoboard לקבלת תוצאות גרף.
שובל נייר היא תוכנה כשירות מבוססת ענן (SaaS)מציע מ- SolarWinds. קל ליישם, להשתמש ולהבין. וזה ייתן לך ראות מיידית בכל המערכות תוך דקות. לכלי יש מנוע חיפוש יעיל מאוד שיכול לחפש ביומני שמור וגם בזרימה. וזה מהיר.
שובל נייר זמין בכמה תוכניות כולל בחינםתכנית. עם זאת, היא מוגבלת במקצת, ומאפשרת רק 100 מגה בייט של יומנים בכל חודש. עם זאת, הדבר יאפשר 16 GB של יומני רישום בחודש הראשון, דבר שווה ערך לניסיון חינם של 30 יום. תוכניות בתשלום מתחילות ב- $ 7 לחודש עבור יומני 1GB / חודש, שנת ארכיב ושבוע של אינדקס. סינון רעשים מאפשר לכלי לשמור על נתונים על ידי אי שמירת יומנים חסרי תועלת.
2. SolarWinds יומן ומנהל אירועים (ניסיון חינם)
הרשומה הבאה שלנו היא מוצר נוסף של SolarWinds שנקרא SolarWinds מנהל יומן ואירועים. בניגוד לערך הקודם שלנו, זה אמוצר המותקן באופן מקומי. וזה גם הרבה יותר מסתם מערכת לניהול יומנים. רבים מהתכונות המתקדמות של מוצר זה מכניסים אותו לטווח SIEM. יש לזה מתאם פוריות בזמן אמת ותיקון בזמן אמת, למשל.
הנה סקירה כללית של SolarWinds יומן ומנהל אירועיםהתכונות העיקריות. זה מבטל איומים במהירות תוך גילוי מיידי של פעילות חשודה ותגובות אוטומטיות. זה יכול גם לבצע בירור אירועי אבטחה ופלילי פלילים לצורך הפחתה ותאימות. ואם כבר מדברים על תאימות, המוצר יאפשר לכם להפגין זאת, הודות לדיווחים המוכחים על ידי ביקורת עבור HIPAA, PCI DSS ו- SOX, בין היתר. כלי זה כולל גם ניטור שלמות קבצים וניטור התקני USB, שתי תכונות הנמצאות הרבה מעבר למה שאנו רואים במערכות ניהול יומנים.
מחירים עבור SolarWinds יומן ומנהל אירועים התחל ב -4,585 דולר עבור עד 30 צמתים מנוטרים. ניתן לרכוש רישיונות של עד 2500 צמתים והופכים את המוצר למדרג ביותר. ואם ברצונך לוודא שהמוצר מתאים לך, ניתן לקבל ניסיון חינם למשך 30 יום בחינם, המלא.
3. חבילת ניהול יומני ipswitch
ה סוויטת ניהול יומן הוא כלי של Ipswitch, אותה חברה שהביא לנו את WhatsUp Gold, כלי לפיקוח רשת מאוד פופולרי. זהו כלי אוטומטי האוסף, מאחסן, ארכיב ושומר יומני מערכות, אירועי חלונות ויומני W3C / IIC. יתר על כן, מעקב יומן מתמשך שלה יתריע בפניך על כל פעילות חשודה.
אירועים מבוקרים לעתים קרובות כגון זכויות גישהוניתן לעקוב אחר הרשאות קבצים, תיקיות ואובייקטים, תוך יצירת התראות לפי הצורך ומשמשות לבניית דוחות תאימות לתאימות HIPAA, SOX, FISMA, PCI, MiFID או Basel II. הכלי יכול גם לעזור לך להפוך את נתוני היומן הגולמי שלך לנתונים משמעותיים עבור מנהלים או צוותי אבטחת IT, הודות לתכונות סינון, התאמה, דיווח והמרה אוטומטיים שלו.
מידע על תמחור עבור סוויטת ניהול יומן אינו זמין בקלות מ- Ipswitch. ניתן לרכוש את המוצר ישירות מהמפרסם או דרך רשת המשווקים של Ipswitch. קיימת גם גרסת ניסיון בחינם.
4. ManageEngine EventLog Analyzer
ManageEngine, שם נפוץ נוסף עם מנהל רשת, הופך מערכת ניהול יומן מעולה הנקראת ManageEngine EventLog Analyzer. המוצר יאסוף, ינהל, ינתח, יתאם וחפש את נתוני היומן של למעלה מ- 700 מקורות באמצעות שילוב או איסוף יומנים נטול סוכן וסוכן וכן ייבוא יומן.
המהירות היא אחת מה- ManageEngine EventLog Analyzerכוחו. הוא יכול לעבד נתוני רישום במהירות 25,000 יומנים / שניים ולגלות התקפות בזמן אמת. זה יכול גם לבצע ניתוח משפטי מהיר כדי להפחית את ההשפעה של הפרה. יכולות הביקורת של המערכת משתרעות על יומני התקני ההיקף של הרשת, פעילויות המשתמש, שינויים בחשבון השרת, גישות משתמשים ועוד, ומסייעות לך לענות על צרכי ביקורת האבטחה.
ה ManageEngine EventLog Analyzer זמין במהדורה חופשית מופחתת על ידי תכונותהתומך רק ב -5 מקורות יומן או במהדורה מובחרת שמתחילה ב -595 דולר ומשתנה בהתאם למספר המכשירים והיישומים. זמינה גם גרסת ניסיון של 30 יום בחינם במלואם.
5. שרת Nagios Log
Nagios ידועה בעיקר בזכות תוכנת ניטור הרשת המצוינת אך שרת היומן שלה מעניין באותה מידה. נקרא בצורה נקודה שרת יומן Nagiosהוא מציע ניהול, פיקוח וניתוח ריכוזיים. ה שרת יומן Nagios מפשט את תהליך חיפוש נתוני היומן שלך. זה גם מאפשר לך להגדיר התראות כדי לקבל הודעה על איומים פוטנציאליים. יתר על כן, לתוכנה יש זמינות גבוהה ומכניסת fail-over שנבנתה ממש. אשפי התקנת המקור הקלים שלה יעזרו לך להגדיר במהירות את השרתים לשלוח את כל נתוני היומן ולהתחיל לעקוב אחר יומניך תוך דקות. .
ה שרת יומן Nagios מאפשר לך לתאם בקלות אירועי יומן בכלשרתי רק בלחיצות בודדות. וזה מאפשר לך להציג נתוני יומן בזמן אמת, ומאפשר לך לנתח ולפתור בעיות בזמן שהם מתרחשים. המוצר כולל מדרגיות מרשימה והוא ימשיך לענות על הצרכים שלך ככל שהארגון שלך יגדל. נוסף שרת יומן Nagios ניתן להוסיף מקרים לאשכול ניטור המאפשר להוסיף במהירות יותר כוח, מהירות, אחסון ואמינות.
מחיר המופע היחיד עבור שרת יומן Nagios המחיר הוא 3 995 דולר ולמרות שייתכן כי תקופת ניסיון ללא תשלום זמינה, הדגמה מקוונת היא בחינם, אם תעדיף לבדוק את המוצר ממקור ראשון.
6. מנהל לוגי התראה
המיקוד העיקרי של Logic Logic הוא אבטחה ותאימות. ומאחר שניהול יומני קשור קשר הדוק לשניהם, אין זה מפתיע שהחברה מציעה את זה מנהל יומן התראה. כלי מבוסס ענן זה מציע אוטומטיות ו-ניהול יומן אחיד בכל הסביבות שלך. הוא אוסף, צובר ומחפש נתוני יומן מהענן, השרת, היישום, האבטחה ורשת הנכסים.
ה מנהל יומן התראה כולל ניטור וניתוח יומנים וכןסקירת יומן אשר נעשית בשידור חי על ידי מנתחי אנוש. המומחים של Alert Logic יתריעו בפעילות איום אפשרית 365 יום בשנה. השירות יסייע גם לעמוד בדרישות בדיקת היומנים של SOC 2, HIPAA ו- SOX ויוריד את הנטל של בדיקת יומנים ומעקב אחר אירועים, כדי לעמוד בדרישות PCI / DSS 10.6, 10.6.1, 10.6.3
מידע על תמחור עבור מנהל יומן התראה אינו זמין מהאינטרנט ותצטרך ליצור קשר עם מכירות Alert Logic כדי לקבל הצעת מחיר רשמית. ניסיון חינם אינו זמין אך ניתן לתאם הדגמה חינם על ידי יצירת קשר עם Alert Logic.
7. LogDNA
נוסדה בשנת 2015, LogDNA הוא הילד החדש שנמצא ברחוב. החברה טוענת כי "LogDNA הוא המהיר ביותר, האינטואיטיבי ביותר ו-מערכת ניהול יומן חסכונית ". הכל מתחיל בהתקנה שנמשכת מספר דקות בלבד לפני שתוכל להתחיל לעקוב אחר היומנים שלך. לא משנה כמה יומנים נוצרים ומועברים, מאות ערכות שילוב מותאמות אישית זמינות כדי לרכז יומנים בחלונית יחידה.
LogDNA יכול להיות מבוסס ענן או אירוח עצמי, תלויהעדפתך. זה ניתן להרחבה ויכול להתמודד עם מאות אלפי יומני שנייה ועשרות טרה-בייט ללקוח, ליום בביטחון מוחלט באמצעות ניתוח יומני בזמן אמת. החברה ומוצריה הם תואמי SOC2, PCI ו- HIPAA, כמו גם אישור מגן פרטיות.
עם מודל התמחור הפשוט, תשלום לפי GB, אשרמבטל חוזים ודלי נתונים קבועים, לחברה יש את עלות הבעלות הכוללת הנמוכה ביותר. מספר תוכניות מנויים זמינות עם הגדלת התכונות. התוכנית של השכבה התחתונה היא בחינם והתכניות בתשלום משתנות בין $ 1.50 / GB / חודש ל- $ 3 / GB / חודש, בהתאם למשך השמירה ומספר המשתמשים. ניתן למצוא גם ניסיון ללא תשלום, הכולל 14 יום מלא.
8. גריילוג
אחרון ברשימה שלנו הוא מוצר שנקרא גריילוג. המוצר מציע תכונות מעניינות רבות. הכלי ינתח ויעשיר יומנים ונתוני אירועים מכל מקור נתונים. צינורות העיבוד שלו מאפשרים גמישות מסוימת בניתוב, רישום שחור, שינוי והעשרת הודעות בזמן אמת. גריילוג יחפש טרה-בתים של נתוני יומן כדי לגלות ולנתח מידע חשוב. תחביר החיפוש החזק מאפשר לך למצוא בדיוק את מה שאתה מחפש.
עם גריילוג, אתה יכול ליצור לוחות מחוונים כדי להמחיש מדדיםולבחון מגמות במיקום מרכזי אחד. אתה יכול להשתמש בסטטיסטיקה של שדות, ערכים מהירים ותרשימים מדף תוצאות החיפוש כדי לצלול פנימה לניתוח מעמיק יותר של הנתונים שלך. למערכת יש גם אפשרות להפעיל פעולות או להוציא הודעות על אירועים כמו למשל ניסיונות כניסה נכשלים, חריגים או השפלת ביצועים.
גריילוג זמין כמקור חופשי וקוד פתוח,גרסה מוגבלת-תכונות אשר גם לה יש תמיכה מוגבלת או כגרסה ארגונית עם תכונות מורחבות ותמיכה ללא הגבלה. ניתן לקבל רישיון לניסיון גם באמצעות יצירת קשר גריילוג מכירות.
הערות