今日のシステムでは大量のログが生成されますデータ、管理者が常にログ管理ソリューションを探しているのは当然のことです。ログはデフォルトで、多くの場合ローカルに保存されます。それらをソースに簡単にリンクできるので、これは理にかなっています。ただし、問題のトラブルシューティングを行って根本的な原因を見つけようとすると、多数のデバイスで複数のログファイルを確認する必要がある場合があります。すべてのデバイスからのすべてのログが1つの中央の場所に保存されていたらいいのではないでしょうか。これがログ管理の目的です。また、選択したプラットフォームがLinuxの場合、利用できるオプションはたくさんあります。 Linuxに最適なログ管理のいくつかを発見したら、読んでください
ログ管理を定義することから始めます。 ログのストレージを集中化するだけでは不十分な場合があります。次に、さまざまなロギングテクノロジーについて説明します。これらはログ管理の基礎であり、ログなしでは存在しません。引き続き、syslogサーバーとログ管理システムを区別し、それらの間に明確な境界がないことを認識します。次に、一時停止して、セキュリティ情報とイベント管理システムについて説明します。これらは、それぞれの定義がやや不明確なため、ログ管理と混同されることが多い別のタイプのシステムです。そして最後に、Linuxの最適なログ管理を確認します。
ログ管理とは?
ログ管理について説明する前に、ログとは何かを定義します。簡単に定義すると、ログは、特定のシステムに関連するイベントの自動的に生成され、タイムスタンプが付けられたドキュメントです。つまり、システムでイベントが発生するたびに、ログが生成されます。システムとデバイスは、さまざまな種類のイベントのログを生成します。多くのシステムは、管理者に、どのイベントがログを生成し、どのイベントがログを生成しないかをある程度制御させます。
ログ管理に関しては、それは単に参照しています大量のログデータの生成、送信、分析、保存、アーカイブ、および最終的な廃棄を管理および促進するために使用されるプロセスとポリシー。明確に述べられていませんが、ログ管理は、複数のソースからのログが収集される集中システムを意味します。ただし、ログ管理はログ収集だけではありません。最も重要なのは管理部分です。また、ログ管理システムは複数の機能を備えていることが多く、ログの収集はその1つにすぎません。
ログがログ管理によって受信されるとシステムでは、異なるシステムが異なる方法でログをフォーマットし、異なるデータを含むため、それらを共通のフォーマットに標準化する必要があります。ログを日付と時刻で開始するものもあれば、イベント番号で開始するものもあります。イベントIDのみを含むものもあれば、イベントのフルテキストの説明を含むものもあります。ログ管理システムの目的の1つは、収集されたすべてのログエントリが統一された形式で保存されるようにすることです。これにより、イベントの相関と最終的な検索が簡単になります。
相関と検索も2つ追加されますいくつかのログ管理システムの主な機能。それらの最高のものは、管理者が必要なものを正確に見つけることができる強力な検索エンジンを備えています。相関関数は、異なるソースからのものであっても、関連するイベントを自動的にグループ化します。さまざまなログ管理システムがどのように、そしてどのように成功するかが、それを実現する主要な差別化要因です。
また読む: 15最高のネットワーク監視ツール(私たち自身のレビュー)
ロギングテクノロジー
ログ管理ははるかに困難になります。ロギングプロトコルがなければ、おそらく不可能です。それらのいくつかが存在します。ログに含めるデータ、そのフォーマット方法、場合によってはシステム間での送信方法を定義します。
Syslogは間違いなく最もよく使用されるロギングですプロトコル、特にLinuxの世界では。このテクノロジーは80年代前半に発明され、すべてのUnixライクなシステムの事実上の標準となっています。 syslogテクノロジーの最大の資産の1つは、ログを生成するシステムまたはソフトウェア、ログを保存するシステム、およびログを報告して分析するソフトウェアの間の分離を容易にする方法です。 Syslogテクノロジーを使用すると、ログ管理がはるかに簡単になります。また、SyslogはUnix専用ではありません。スイッチ、ルーター、および多くのベンダーのあらゆる種類の機器などの非Unixデバイスの多くは、syslogプロトコルのバリアントを使用しています。
他のロギング技術があります。 たとえば、Microsoft Windowsは別のロギングシステムを使用しています。 Windowsオペレーティングシステムとアプリケーションには、通常、Syslogテクノロジが許可するよりも詳細な情報を含むログがあるという事実に関係している可能性があります。さいわい、Windowsイベントコレクター機能は、さまざまなシステムがWindowsホストからイベントを受信するために使用できるログ管理の手段を提供します。この投稿はLinuxのログ管理に関するものなので、Windowsに時間をかけすぎないようにしましょう。
使用されているロギング技術に関係なく、ログ管理の重要な部分は、ログを管理システムに送信するようにデバイスを構成することです。ネットワーク監視システムなどの他のタイプのツールは、監視するシステムからデータをフェッチできますが、ログ管理では、各デバイスがログを送信する場所を「通知」する必要があります。ただし、これは比較的単純なタスクであり、単純なコマンドを発行することで実行されることがよくあります。
参考文献: 最高のネットワークダイアグラムマッピングおよびトポロジソフトウェア
ログサーバーまたはログ管理?
すべてのUnixライクで利用可能になっているためシステム(Linuxを含む)は長い間、1台のコンピューターが他のコンピューターからSyslogデータを受信するログサーバーとしてよく使用されます。このログの集中ストレージには明確な利点がありますが、ログ管理と呼ぶだけでは不十分です。
ログ管理システム名に値するためには、製品には、少なくとも一部の高度な機能が含まれている必要があります。 Wikipediaによると、「ログ管理は、ログ収集、集中型ログ集計、長期的なログの保存と保持、ログローテーション、ログ分析、ログ検索、レポート作成」で構成されています。うわー!それは多くの機能です。一方、ログサーバーは、ログの収集と保存のみを提供することが多く、それを超えることはめったにありません。
SIEMについての一言
関連付けられている別の人気のある技術ログには、ログ管理システムと混同されることが多いのが、セキュリティ情報とイベント管理、またはSIEMです。これはログ管理とは異なりますが、密接に関連しています。それらの間の線は非常に細いため、一部の基本的なSIEMシステムは高度なログ管理システムにすぎない一方で、ログ管理システムが実際にはSIEMシステムであると宣伝されている製品もあります。
混乱はログという事実から生じます管理、または少なくともログ分析は、SIEMシステムの重要なコンポーネントです。 SIEMシステムを差別化するのは、セキュリティ問題を特定するという最終的な目標でログ分析を実行することです。彼らは、例えば、不正な侵入の試みの明白な兆候である可能性のある、失敗したログインの兆候を探します。これらのシステムは、ログエントリを継続的にスキャンして、異常なものを探します。一部のSIEMシステムには広範なログ管理機能が含まれていますが、外部のログ管理システムを使用しているシステムもあり、両方のシステムが並行して実行されていることも珍しくありません。
関連する読書: Mac用のベストIPスキャナー
Linuxに最適なログ管理
うまくいけば、私たちは今、共通の理解を持っていますログ管理とは何か、そうでないか。それでは、Linuxで利用できる機能を見てみましょう。しかし、最初に、何かを明確にしましょう。 Linuxログ管理に言及する場合、私たちが意味するのは、Linuxログに対応でき、Linuxプラットフォームまたはクラウドで実行されるログ管理システムです。一部の選択肢、特にクラウドベースのシステムは、他のプラットフォームのログでも機能します。
1. SolarWinds Papertrail (無料プランが利用可能)
SolarWinds ネットワークの間で世帯の名前になりました管理者。 20年近くにわたって最高のツールのいくつかを生み出しており、優れた帯域幅監視ツールと、最高のNetFlowアナライザーおよびコレクターの1つをもたらしています。同社はまた、サブネット計算機やsyslogサーバーなど、ネットワーク管理者の特定のニーズに対応するいくつかの無料ツールを公開していることでも有名です。
- 無料プラン: SolarWinds Papertrail
- 公式ダウンロードリンク: https://papertrailapp.com/plans
少し前、 SolarWinds 獲得しました ペーパートレイル、人気のあるログ管理システム。 これは、ApacheやMySQLなどの一般的なさまざまな製品からのログファイルと、Ruby on Railsアプリ、さまざまなクラウドホスティングサービス、その他の標準のsyslogおよびテキストベースのログファイルからのログファイルを集約します。 ペーパートレイル ユーザーはWebベースの検索インターフェイスを使用できますまたは、コマンドラインツールを使用してこれらのファイルを検索し、さまざまな問題の診断に役立てます。 Papertrailは、結果をグラフ化するために、LibratoやGeckoboardなどの他のSolarWinds製品とも統合します。
ペーパートレイル クラウドベースのサービスとしてのソフトウェア(SaaS)SolarWindsから提供しています。クラウドベースであることは、すべてのLinux環境で問題なく機能することを意味します。このプラットフォームは実装、使用、理解が簡単で、数分以内にすべてのシステムを瞬時に可視化します。さらに、この製品には、保存されたログとストリーミングログの両方を検索できる非常に効果的な検索エンジンがあります。そして、それは電光石火です。
ペーパートレイル 無料を含むいくつかの計画の下で利用可能です計画。ただし、ある程度制限されており、毎月100 MBのログのみが許可されます。ただし、最初の月には16 GBのログが許可されます。これは、30日間の無料試用に相当します。有料プランは、1 GB /月のログ、1年間のアーカイブ、1週間のインデックスに対して、7ドル/月から始まります。ノイズフィルタリングにより、ツールは無駄なログを保存せずにデータを保存できます。
2. Loggly
Loggly もう1つのクラウドベースのオンラインサービスです。 主にログ統合機能であり、ログ分析機能も提供します。クラウドベースであることの利点として、このシステムはインストールを必要とせず、サブスクライブした瞬間にすぐに使用できます。もちろん、システムとデバイスは、標準のログファイルを定期的にオンラインサーバーにアップロードするように構成する必要があります。
- 無料トライアル: Logglyプラン
- 公式リンク: https://www.loggly.com
Loggly 次に、受信したログデータをこれにより、アナライザーはさまざまなソースからのレコードを処理でき、オペレーティングシステムやロギングテクノロジーに関係なく、すべてのシステムでイベントの追跡と相関が可能になります。ログデータのソースは、オンプレミスサーバーに限定されません。もちろん、システムはAmazonのAWSなどのオンラインサーバーによって生成されたログを処理でき、ほんの数例を挙げると、DockerやLogstashなどの特定のアプリケーションによって作成されたメッセージを含めることができます。
の Loggly サービスは3つの異なるプランで利用できます。データ処理の制限と保持時間の増加に伴い。ログデータに十分なスペースを確保するには、適切なものを選択する必要があります。エントリーレベルのプランが呼び出されます Loggly ライト。使用は無料です。 このプランでは、1日あたり200 MBのログデータをアップロードでき、システムは各レコードを7日間保持します。次は、1日あたり1 GBのアップロードを許可し、30日間レコードを保持する標準プランです。有料プランでは、複数のユーザーアカウントを使用することもできます。標準パッケージでは、3つのユーザーアカウントを持つことができます。トップティアは Loggly 企業。 設定できるユーザーアカウントの数に制限はなく、料金はアップロード容量と必要な保持期間によって異なります。すべての有料プランの支払いは月次または年次のいずれかであり、標準プランでは14日間の無料試用が利用できます。
3. スプランク
スプランク システム管理内でよく知られているコミュニティ— Linux、Mac OS、およびWindows用の包括的なログ管理システム。単なる基本的なログ管理システムではなく、本格的な侵入防止システムであると考える人もいます。この製品には3つのバージョンがあります。上部は Splunk Enterprise これは単なるログ管理ツールではなく、ネットワーク管理システムです。価格は月額173ドルからで、多くの機能を利用できます。
の無料版もあります スプランク 基本的には同じツールですが、その最も高度な機能。本質的に、ログファイル分析に限定されます。標準のログファイルをフィードするか、ファイルを介してアナライザーにライブデータを送信できます。無料版にはいくつかの制限があります。たとえば、ユーザーアカウントは1つだけで、データスループットは1日あたり500 MBのログに制限されています。データの並べ替えとフィルタリングの機能はSplunkに組み込まれており、トラブルシューティングを容易にします。これらの機能を使用して、ログレコードを日付で分割し、各グループを新しいファイルに書き込むことができます。実際、この機能は非常に柔軟です。
4. Nagios Log Server
ナギオス 優れたネットワーク監視ソフトウェアで最もよく知られていますが、そのLog Serverも同様に興味深いものです。製品は単にと呼ばれます Nagios Log Server 集中ログ管理を提供し、モニタリングと分析。このツールを使用すると、ログデータの検索プロセスを大幅に簡略化できます。また、潜在的な脅威を通知するアラートを設定することもできます。さらに、ソフトウェアには高可用性とフェイルオーバーが組み込まれています。さらに、簡単なソースセットアップウィザードにより、すべてのログデータを送信し、数分でログの監視を開始するようにサーバーをすばやく構成できます。
の Nagios Log Server ログイベントを簡単に関連付けることができます数回クリックするだけで、すべてのサーバーにわたって。このシステムでは、ログデータをリアルタイムで表示できるため、問題が発生したときに分析して解決することができます。この製品は優れたスケーラビリティを備えており、組織の成長に合わせて引き続きニーズを満たします。追加 Nagios Log Server インスタンスを監視クラスターに追加して、電力、速度、ストレージ、信頼性をすばやく追加できます。
の単一インスタンス価格 Nagios Log Server は$ 3 995で、無料の試用版は入手できないようですが、製品を直接見てみたい場合は、無料のオンラインデモを利用できます。
5. グレイログ
私たちのリストの次はと呼ばれる製品です グレイログ。この製品には多くの興味深い機能があります。 このツールは、任意のデータソースからのログとイベントデータを解析および強化します。その処理パイプラインにより、リアルタイムでのメッセージのルーティング、ブラックリスト登録、変更、および強化がある程度柔軟になります。 グレイログ テラバイトのログデータを検索して、重要な情報を見つけて分析します。強力な検索構文により、探しているものを正確に見つけることができます。
と グレイログ、ダッシュボードを作成してメトリックを視覚化できます中央の1つの場所で傾向を観察します。検索結果ページのフィールド統計、クイック値、およびグラフを使用して、データをより深く分析することができます。システムには、ログイン試行の失敗、例外、パフォーマンスの低下などのイベントに対してアクションをトリガーしたり、通知を発行したりするオプションもあります。
グレイログ 無料のオープンソースのログファイルベースのシステムであり、ログアーカイブユーティリティよりもはるかに多くの機能を提供できます。このログアナライザーにはグラフィカルユーザーインターフェイスがあり、Ubuntu、Debian、CentOS、およびSUSE Linuxで実行できます。 Microsoft Windows上の仮想マシンで実行したり、Amazon AWSにGraylogシステムをインストールしたりすることもできます。
6. ManageEngine EventLog Analyzer
ManageEngineは、ネットワーク管理者の間でもう1つの一般的な名前であり、 ManageEngine EventLog Analyzer。この製品は、エージェントレスおよびエージェントベースのログ収集とログインポートの組み合わせを使用して、700以上のソースのログデータを収集、管理、分析、関連付け、検索します。
速度は ManageEngine EventLog Analyzerの強み。 目を見張る25,000ログ/秒でログデータを処理し、リアルタイムで攻撃を検出できます。また、高速なフォレンジック分析を実行して、侵害の影響を軽減することもできます。システムの監査機能は、ネットワーク境界デバイスのログ、ユーザーアクティビティ、サーバーアカウントの変更、ユーザーアクセスなどに拡張され、セキュリティ監査のニーズを満たすのに役立ちます。
の ManageEngine EventLog Analyzer 機能が制限された無料版で利用可能5つのログソースのみ、または595ドルからのプレミアムエディションのみをサポートし、デバイスとアプリケーションの数によって異なります。無料のフル機能の30日間試用版も利用できます。
コメント