今日のシステムは大量のログを生成していますデータ。多くのプラットフォームでは、重要であるかどうかにかかわらず、すべてのイベントがどこかに記録されます。通常、ログはローカルに保存されます。ログはソースにリンクされているため、これは理にかなっています。ただし、問題のトラブルシューティングを行い、その根本原因を見つけようとすると、多くの場合、多くのデバイス上の複数のログファイルを調べる必要があります。すべてのデバイスのすべてのログが1か所に保存されていると便利ではないでしょうか?ログ管理は、これだけではありません。これからさらに詳しく説明します。そして今日、私たちはトップのログ管理システムをレビューしています。
どのログを説明しようとすることから始めます管理です。ご覧のとおり、ログストレージを集中管理するだけではありません。次に、ロギングプロトコルについて説明します。ログ管理はそれらなしでは存在しない可能性が高いため、かなり重要です。次に、syslogサーバーとログ管理システムを区別します。残念ながら、それらの間に明確な境界はありません。これは、セキュリティ情報とイベント管理システムについての議論で説明します。これは、それぞれの定義がやや不明確なため、ログ管理と混同されることが多い別のタイプのシステムだからです。最後に、見つけられる上位8つのログ管理システムを確認します。
ログ管理-それが何であるか
ログ管理について話す前に、ログが何であるかを参照してください。簡単に定義すると、ログとは、特定のシステムに関連するイベントのタイムスタンプが自動的に生成されたドキュメントです。システムでイベントが発生するたびに、ログが生成されます。さまざまなシステムがさまざまなイベントのログを生成し、多くのシステムは管理者にログを生成するものと生成しないものをある程度制御できます。
ログ管理について話しているとき、私たちは大量のログデータの生成、送信、分析、保存、アーカイブ、および最終的な廃棄を管理および促進するために使用されるプロセスとポリシーを参照します。ログ管理とは、複数のソースからログが収集される集中システムを意味します。
しかし、ログ管理は単なるログ収集ではありません。管理部分が最も重要です。通常、ログ管理システムには複数の機能があり、ログの収集はそのうちの1つにすぎません。
ログ管理によってログが受信されるとシステムでは、それらを共通の形式に「変換」する必要があります。システムごとにログの形式が異なり、ログに異なるデータが含まれます。日付と時刻でログを開始するものもあれば、イベント番号で開始するものもあります。ログIDのみを含むものもあれば、イベントの完全なテキスト説明を含むものもあります。ログ管理システムの目的の1つは、収集されたすべてのログエントリが統一された形式で保存されるようにすることです。これにより、検索とイベント相関がずっと簡単になります。
検索、さらには相関についても話しますが、これは、多くのログ管理システムのもう1つの重要な機能です。それらのいくつかは、管理者が必要なものを正確にゼロにすることができる強力な検索エンジンを備えています。相関関数は、異なるソースからのものであっても、関連するイベントを自動的にグループ化します。さまざまなログ管理システムがそれをどのように、そしてどのように成功させるかが主要な差別化要因です。
ロギングプロトコル
ログ管理は、次の場合にはるかに困難になります。ロギングプロトコル用でない場合は、可能な限り。それらのいくつかは、ログに含まれるデータ、フォーマットの方法、システム間でのデータの転送方法を定義するものです。
Syslogは、おそらく最もよく使用されるロギングプロトコルです。 80年代初期に発明され、Unixライクなシステムの事実上の標準になりました。 syslogプロトコルの最大の資産の1つは、ログを生成するソフトウェア、ログを保存するシステム、ログをレポートおよび分析するソフトウェアをどのように分離するかです。 Syslogプロトコルを使用すると、ログ管理がはるかに簡単になります。多くのベンダーのスイッチルーターやその他のネットワーク機器などの多くの非Unixデバイスは、syslogプロトコルのバリアントを使用しています。
ご想像のとおり、Microsoft Windowsは別のロギングシステム。 Windowsオペレーティングシステムとアプリケーションには、通常はsyslogが許可するよりもはるかに多くの情報を含むログがあるという事実に関係している可能性があります。幸いなことに、Windowsイベントコレクター機能は、ログ管理システムがWindowsホストからイベントを受信するために使用できる手段を提供します。
どのロギングプロトコルが使用されていても、ログ管理の重要な部分は、ログを管理システムに送信するようにデバイスを構成することです。これは、ホストからデータを取得するネットワーク監視システムなどの他のツールとは異なります。
ログサーバーとログ管理
すべてのUnixライクで利用できるのでシステムはかなり長い間使用されていましたが、1台のコンピューターが他の複数のシステムからSyslogデータを受信するログサーバーとして使用される場合があります。このログの集中ストレージには明確な利点がありますが、ログ管理ではありません。
ログ管理システム名に値するには、製品には、少なくともいくつかのより高度な機能が含まれている必要があります。ウィキペディアによると、ログ管理は次の機能で構成されています:ログの収集、集中ログの集約、長期的なログの保存と保持、ログのローテーション、ログの分析、ログの検索、レポート。多くの場合、ログサーバーはログの収集と保存のみを提供し、それ以上のログを提供することはほとんどありません。トップリストの各ログ管理システムは、少なくともいくつかのより高度な機能を提供します。
SIEMシステムはどうですか?
多くの場合、別の人気のある技術ログに関連付けられ、ログ管理システムと混同されるのは、セキュリティ情報とイベント管理(SIEM)です。これは密接に関連していますが、ログ管理とはまったく異なります。実際、一部の基本的なSIEMシステムはログ管理システムにすぎませんが、ログ管理システムとして宣伝されている製品は実際にはSIEMシステムです。
その混乱の主な理由は、そのログです管理、または少なくともログ分析は、SIEMシステムの重要なコンポーネントです。実際、SIEMシステムは通常、プロセスに何らかのインテリジェンスを追加することにより、ログ管理を次のレベルに引き上げます。これらのシステムは、セキュリティの問題を特定するという究極の目的でログ分析を実行します。たとえば、不正な侵入の試みを示すログイン失敗の兆候を探します。これらのシステムは、ログエントリを自動的にスキャンして、異常なものを探します。
SIEMシステムはITセキュリティに関係していますIT管理よりも豊富なログ管理機能を含むものもありますが、多くは外部のログ管理システムを使用することもでき、両方のシステムが並んで実行されていることは珍しくありません。
最高のログ管理ソフトウェア
これで、共通の理解が得られました。ログ管理とそうでないものについては、利用可能なものを見てみましょう。最高のログ管理システムのいくつかを市場で検索しました。私たちの最初の発見は、それらの多くがあり、それらの多くは非常に良いことです。ただし、スペースがあまりないので、見つけることができる8つの最も興味深いものを確認します。
1. SolarWinds Papertrail
SolarWindsは、ネットワーク管理ツール。ほぼ20年前から存在し、最高の帯域幅監視ツールの1つと、最高のNetFlowアナライザーおよびコレクターの1つをもたらしました。同社は、サブネット計算機やsyslogサーバーなど、ネットワーク管理者の特定のニーズに対応するいくつかの無料ツールを公開していることでも有名です。
数年前、SolarWindsは買収しました ペーパートレイル、一般的なログ管理システム。 これは、ApacheやMySQLなどのさまざまな人気製品のログファイル、Ruby on Railsアプリ、さまざまなクラウドホスティングサービス、その他の標準テキストログファイルを集約します。 ペーパートレイル その後、ユーザーはWebベースの検索インターフェイスまたはコマンドラインツールを使用してこれらのファイルを検索し、バグやパフォーマンスの問題の診断に役立てることができます。 ペーパートレイル LibratoやGeckoboardなどの他のSolarWinds製品とも統合して、結果をグラフ化します。
ペーパートレイル クラウドベースのサービスとしてのソフトウェア(SaaS)SolarWindsから提供。実装、使用、理解が簡単です。また、すべてのシステムを数分で瞬時に可視化できます。このツールには、保存されたログとストリーミングログの両方を検索できる非常に効果的な検索エンジンがあります。そして、それは非常に高速です。
ペーパートレイル 無料を含むいくつかの計画の下で利用可能です計画。ただし、ある程度制限されており、毎月100 MBのログのみが許可されます。ただし、最初の月には16 GBのログが許可されます。これは、30日間の無料試用に相当します。有料プランは、1 GB /月のログ、1年間のアーカイブ、1週間のインデックスに対して、7ドル/月から始まります。ノイズフィルタリングにより、ツールは無駄なログを保存せずにデータを保存できます。
2. SolarWinds Log&Event Manager (無料トライアル)
次のエントリは、SolarWindsの別の製品です。 SolarWinds ログ&イベントマネージャー。前のエントリとは異なり、これはローカルにインストールされた製品。また、単なるログ管理システムではありません。この製品の多くの高度な機能により、SIEMの範囲に収まりました。たとえば、リアルタイムのベント相関とリアルタイムの修復があります。
ここに概要があります SolarWinds Log&Event Managerの主な機能。 不審なアクティビティの即時検出と自動応答を使用して、脅威を迅速に排除します。また、セキュリティイベントの調査と軽減とコンプライアンスのためのフォレンジックを実行できます。また、コンプライアンスについて話しますが、HIPAA、PCI DSS、SOXなどの監査実績のあるレポートのおかげで、製品はそれを実証することができます。このツールには、ファイルの整合性の監視とUSBデバイスの監視もあります。これらは、ログ管理システムでよく見られる2つの機能です。
の価格 SolarWinds Log&Event Manager 最大30個の監視対象ノードで$ 4,585から開始します。 最大2500ノードのライセンスを購入して、製品のスケーラビリティを高めることができます。また、製品がお客様に適していることを実際に確認したい場合は、無料のフル機能の30日間トライアルを利用できます。
3. ipswitchログ管理スイート
の ログ管理スイート 同じ会社であるIpswitchのツールです非常に人気のあるネットワーク監視ツールであるWhatsUp Goldをもたらしました。これは、システムログ、Windowsイベント、およびW3C / IICログを収集、保存、アーカイブ、および保存する自動化ツールです。さらに、継続的なログ監視により、疑わしいアクティビティが発生した場合にアラートが表示されます。
アクセス権などの頻繁に監査されるイベントファイル、フォルダー、およびオブジェクトの特権を追跡し、必要に応じてアラートを生成し、HIPAA、SOX、FISMA、PCI、MiFID、またはBasel IIコンプライアンスのコンプライアンスレポートを作成するために使用できます。このツールは、自動フィルタリング、相関、レポート、および変換機能により、生ログデータをマネージャーまたはITセキュリティチームにとって意味のあるデータに変換するのにも役立ちます。
の価格情報 ログ管理スイート Ipswitchから簡単に入手できません。製品は、出版社から直接購入するか、Ipswitchの再販業者ネットワークを通じて購入できます。無料の試用版も利用できます。
4. ManageEngine EventLog Analyzer
ネットワーク管理者の別の一般名であるManageEngineは、 ManageEngine EventLog Analyzer。この製品は、エージェントレスおよびエージェントベースのログ収集とログインポートの組み合わせを使用して、700を超えるソースのログデータを収集、管理、分析、相関、および検索します。
速度は ManageEngine EventLog Analyzerの強さ。 毎秒25,000ログという驚異的なログデータを処理し、リアルタイムで攻撃を検出できます。また、高速フォレンジック分析を実行して、侵害の影響を軽減できます。システムの監査機能は、ネットワーク境界デバイスのログ、ユーザーアクティビティ、サーバーアカウントの変更、ユーザーアクセスなどに拡張され、セキュリティ監査のニーズを満たすのに役立ちます。
の ManageEngine EventLog Analyzer 機能が制限された無料版で利用可能5つのログソースのみ、または595ドルからのプレミアムエディションのみをサポートし、デバイスとアプリケーションの数によって異なります。無料のフル機能の30日間試用版も利用できます。
5. Nagios Log Server
Nagiosは、その優れたネットワーク監視ソフトウェアで最もよく知られていますが、Log Serverもおそらく興味深いものです。適切に呼ばれる Nagios Log Server、一元化されたログ管理、監視、分析を提供します。の Nagios Log Server ログデータを検索するプロセスを簡素化します。 また、潜在的な脅威を通知するアラートを設定することもできます。さらに、ソフトウェアには高可用性とフェイルオーバーが組み込まれています。簡単なソースセットアップウィザードにより、すべてのログデータを送信し、数分でログの監視を開始するようにサーバーをすばやく構成できます。
の Nagios Log Server すべてのログイベントを簡単に関連付けることができます数回クリックするだけでサーバー。また、ログデータをリアルタイムで表示できるため、発生した問題を分析して解決することができます。この製品は優れた拡張性を備えており、組織の成長に合わせてニーズを満たし続けます。追加 Nagios Log Server インスタンスを監視クラスターに追加して、電力、速度、ストレージ、信頼性をすばやく追加できます。
の単一インスタンス価格 Nagios Log Server は3,995ドルで、無料試用版は利用できないようですが、無料のオンラインデモは、製品を直接見てみたい方におすすめです。
6.アラートロジックログマネージャー
Alert Logicの主な焦点は、セキュリティとコンプライアンスです。また、ログ管理は両方に密接に関連しているため、会社が提供するのは驚くことではありません アラートロジックログマネージャー。このクラウドベースのツールは、自動化されたすべての環境にわたる統合ログ管理。クラウド、サーバー、アプリケーション、セキュリティ、およびネットワーク資産からログデータを収集、集約、および検索します。
の アラートロジックログマネージャー ログの監視と分析だけでなく、ヒューマンアナライザーによってライブで行われるログレビュー。 Alert Logicの専門家は、1年365日、潜在的な脅威活動について警告します。このサービスは、SOC 2、HIPAA、およびSOXのログレビュー要件を満たし、ログのレビューとイベントのフォローアップの負担を軽減して、PCI / DSS 10.6、10.6.1、10.6.3に準拠するのにも役立ちます。
の価格情報 アラートロジックログマネージャー Webから簡単に入手することはできません。正式な見積もりを入手するには、Alert Logicの営業担当者に連絡する必要があります。無料トライアルも利用できませんが、アラートロジックに連絡して無料デモを手配できます。
7. LogDNA
2015年に設立され、 LogDNA ブロック上の新しい子供です。同社は、「LogDNA 最も速く、最も直感的で、費用対効果の高いログ管理システム」。すべてのインストールは、ログの監視を開始できるようになるまで数分しかかかりません。ログの生成および送信方法に関係なく、数百のカスタム統合スキームを使用して、ログを単一のペインに集中化できます。
LogDNA に応じて、クラウドベースまたは自己ホスト型にすることができますあなたの好み。非常にスケーラブルであり、リアルタイムのログ分析により、トータルセキュリティで1日あたり数十万のログと1顧客あたり数十テラバイトを処理できます。同社とその製品は、SOC2、PCI、およびHIPAAに準拠し、プライバシーシールドの認定を受けています。
シンプルなGB単位の課金モデルにより、契約と固定データバケットが不要になるため、同社は総所有コストが最も低い企業の1つになります。増加する機能を備えたいくつかのサブスクリプションプランを利用できます。最下層のプランは無料で、有料プランは保持期間とユーザー数に応じて、1か月あたり1.50ドルから1か月あたり3ドルまで異なります。無料のフル機能の14日間トライアルも利用できます。
8.グレイログ
リストの最後にある製品は グレイログ。この製品には多くの興味深い機能があります。 このツールは、任意のデータソースからのログとイベントデータを解析および強化します。その処理パイプラインにより、リアルタイムでのメッセージのルーティング、ブラックリスト登録、変更、および強化がある程度柔軟になります。 グレイログ テラバイトのログデータを検索して、重要な情報を見つけて分析します。強力な検索構文により、探しているものを正確に見つけることができます。
と グレイログ、ダッシュボードを作成してメトリックを視覚化できます1つの中心的な場所で傾向を観察します。検索結果ページのフィールド統計、クイック値、およびチャートを使用して、データをより深く分析することができます。システムには、ログイン試行の失敗、例外、パフォーマンス低下などのイベントでアクションをトリガーしたり、通知を発行したりするオプションもあります。
グレイログ 無料のオープンソースとして利用できますが、サポートが制限されている機能限定版、または拡張機能と無制限のサポートを備えたエンタープライズ版として。トライアルライセンスは、次の連絡先でも取得できます。 グレイログ 販売。
コメント