오늘날의 시스템은 많은 로깅을 생성합니다데이터. 많은 플랫폼에서 중요 여부에 관계없이 모든 단일 이벤트가 어딘가에 기록됩니다. 일반적으로 로그는 로컬로 저장됩니다. 이는 로그가 소스에 연결되어 있으므로 의미가 있습니다. 그러나 문제를 해결하고 근본 원인을 찾을 때 종종 수많은 장치에서 여러 로그 파일을 살펴 봐야합니다. 모든 장치의 모든 로그가 한 곳에 저장되어 있으면 좋지 않습니까? 로그 관리는 더 많은 정보를 제공합니다. 그리고 오늘, 우리는 최고의 로그 관리 시스템을 검토하고 있습니다.
어떤 로그를 설명하려고 시작하겠습니다.관리입니다. 보시다시피, 이는 중앙 집중식 로그 스토리지 이상의 의미를 가질 수 있습니다. 다음으로 로깅 프로토콜에 대해 이야기하겠습니다. 로그 관리가 없으면 로그 관리가 존재하지 않기 때문에 오히려 중요합니다. 그런 다음 syslog 서버와 로그 관리 시스템을 차별화하려고합니다. 불행히도 그들 사이에는 명확한 경계가 없습니다. 보안 정보 및 이벤트 관리 시스템에 대해서는 다음과 같이 설명 할 것입니다. 각각의 시스템이 다소 명확하지 않기 때문에 로그 관리와 혼동되는 다른 유형의 시스템이기 때문입니다. 마지막으로 우리가 찾을 수있는 상위 8 개 로그 관리 시스템을 검토합니다.
로그 관리 – 정의
로그 관리에 대해 이야기하기 전에로그가 무엇인지 확인하십시오. 간단히 정의하면 로그는 특정 시스템과 관련된 이벤트를 자동으로 생성하고 타임 스탬프가 기록 된 문서입니다. 시스템에서 이벤트가 발생할 때마다 로그가 생성됩니다. 다른 시스템은 다른 이벤트에 대한 로그를 생성하고 많은 시스템은 관리자에게 로그를 생성하는 대상과 그렇지 않은 대상을 어느 정도 제어 할 수있게합니다.
로그 관리에 대해 이야기 할 때대량의 로그 데이터의 생성, 전송, 분석, 저장, 아카이빙 및 최종 폐기를 관리하고 용이하게하는 데 사용되는 프로세스 및 정책을 말합니다. 로그 관리는 여러 소스의 로그가 수집되는 중앙 집중식 시스템을 의미합니다.
그러나 로그 관리는 단순한 로그 수집이 아닙니다. 관리 부분이 가장 중요합니다. 로그 관리 시스템에는 일반적으로 여러 기능이 있으며 그 중 하나 인 로그를 수집합니다.
로그 관리에서 로그를 받으면시스템을 공통 형식으로 "번역"해야합니다. 시스템마다 로그 형식을 다르게 지정하고 로그에 다른 데이터를 포함시킵니다. 일부는 날짜 및 시간으로 로그를 시작하고 일부는 이벤트 번호로 로그를 시작합니다. 일부는 로그 ID 만 포함하고 다른 일부는 이벤트에 대한 전체 텍스트 설명을 포함합니다. 로그 관리 시스템의 목적 중 하나는 수집 된 모든 로그 항목이 균일 한 형식으로 저장되도록하는 것입니다. 이를 통해 검색 및 이벤트 상관 관계 분석이 훨씬 쉬워집니다.
검색 및 상관 관계에 대해 이야기하면서이것은 많은 로그 관리 시스템의 또 다른 중요한 기능입니다. 그 중 일부는 강력한 검색 엔진을 갖추고있어 관리자가 필요한 것을 정확하게 파악할 수 있습니다. 상관 관계 함수는 서로 다른 소스에서 온 경우에도 관련 이벤트를 자동으로 그룹화합니다. 다른 로그 관리 시스템이이를 달성하는 방법과 성공은 중요한 차별화 요소입니다.
로깅 프로토콜
로그 관리가 더 어려울 경우프로토콜 로깅이 아닌 경우 가능합니다. 로그에 포함 할 데이터, 형식화 방법 및 시스템 간 전송 방법을 정의하는 몇 가지가 있습니다.
Syslog는 가장 많이 사용되는 로깅 프로토콜입니다. 80 년대 초에 발명 된이 시스템은 사실상 유닉스 계열 시스템의 표준이되었습니다. syslog 프로토콜의 가장 큰 자산 중 하나는 로그를 생성하는 소프트웨어, 로그를 저장하는 시스템 및이를보고하고 분석하는 소프트웨어를 분리하는 방법입니다. Syslog 프로토콜을 사용하면 로그 관리가 훨씬 쉬워집니다. 스위치 라우터 및 많은 공급 업체의 기타 네트워킹 장비와 같은 많은 비 유닉스 장치는 syslog 프로토콜의 변형을 사용합니다.
짐작 하시겠지만 Microsoft Windows는다른 로깅 시스템. Windows 운영 체제 및 응용 프로그램에는 일반적으로 syslog 허용보다 훨씬 많은 정보가 포함 된 로그가 있다는 사실과 관련이있을 수 있습니다. 다행히 Windows Event Collector 기능은 로그 관리 시스템이 Windows 호스트로부터 이벤트를 수신하는 데 사용할 수있는 수단을 제공합니다.
어떤 로깅 프로토콜을 사용하든로그 관리의 중요한 부분은 로그를 관리 시스템으로 보내도록 장치를 구성하는 것입니다. 이는 도구가 호스트에서 데이터를 가져 오는 네트워크 모니터링 시스템과 같은 다른 도구와 다릅니다.
로그 서버 및 로그 관리
모든 유닉스 계열에서 사용할 수 있기 때문에Syslog는 종종 한 대의 컴퓨터가 여러 대의 syslog 데이터를 수신하는 로그 서버로 사용되는 경우가 많습니다. 이 중앙 집중식 로그 저장소에는 확실한 이점이 있지만 로그 관리는 아닙니다.
로그 관리 시스템 이름을 얻으려면제품에는 적어도 일부 고급 기능이 포함되어 있어야합니다. Wikipedia에 따르면 로그 관리는 로그 수집, 중앙 집중식 로그 집계, 장기 로그 저장 및 보유, 로그 회전, 로그 분석, 로그 검색 및보고 기능으로 구성됩니다. 로그 서버는 종종 로그 수집 및 스토리지 만 제공하며 그 이상은 거의 없습니다. 최상위 목록에있는 각 로그 관리 시스템은 적어도 몇 가지 고급 기능을 제공합니다.
SIEM 시스템은 어떻습니까?
종종 인기있는 또 다른 기술로그와 연관되고 로그 관리 시스템과 혼동되는 것은 SIEM (Security Information and Event Management)입니다. 밀접한 관련이 있지만 로그 관리와는 상당히 다릅니다. 실제로 로그 관리 시스템으로 보급 된 일부 제품은 실제로 SIEM 시스템이며 일부 기본 SIEM 시스템은 로그 관리 시스템에 지나지 않습니다.
그 혼란의 주된 이유는 그 로그관리 또는 최소한 로그 분석은 SIEM 시스템의 중요한 구성 요소입니다. 실제로 SIEM 시스템은 일반적으로 프로세스에 일부 인텔리전스를 추가하여 다음 단계로 로그 관리를 수행합니다. 이러한 시스템은 보안 문제를 식별하는 궁극적 인 목표로 로그 분석을 수행합니다. 예를 들어, 무단 침입 시도를 나타내는 로그인 실패의 징후를 찾습니다. 이 시스템은 로그 항목을 자동으로 스캔하여 비정상적인 것을 찾습니다.
SIEM 시스템은 IT 보안과 더 관련이 있습니다IT 관리보다 일부는 광범위한 로그 관리 기능을 포함하지만 대부분은 외부 로그 관리 시스템을 사용할 수 있으며 두 시스템이 나란히 실행되는 경우는 드물지 않습니다.
최고의 로그 관리 소프트웨어
이제 우리는로그 관리 기능과 그렇지 않은 기능에 대해 살펴 보겠습니다. 우리는 최고의 로그 관리 시스템을 찾기 위해 시장을 조사했습니다. 우리의 초기 발견은 그것들이 많고 그들 중 많은 수가 매우 훌륭하다는 것입니다. 그러나 우리는 공간이 너무 커서 찾을 수있는 가장 흥미로운 8 가지를 검토하려고합니다.
1. 솔라 윈드 페이퍼 트레일
SolarWinds는네트워크 관리 도구. 거의 20 년 동안 사용되어 왔으며 최고의 대역폭 모니터링 도구와 최고의 NetFlow 분석기 및 수집기 중 하나를 제공했습니다. 이 회사는 서브넷 계산기 또는 syslog 서버와 같은 네트워크 관리자의 특정 요구를 해결하는 몇 가지 무료 도구를 게시하는 것으로도 유명합니다.
몇 년 전에 SolarWinds는 페이퍼 트레일널리 사용되는 로그 관리 시스템입니다. Ruby 또는 Rails 앱, 다양한 클라우드 호스팅 서비스 및 기타 표준 텍스트 로그 파일뿐만 아니라 Apache 또는 MySQL과 같은 널리 사용되는 다양한 제품의 로그 파일을 집계합니다. 페이퍼 트레일 그런 다음 웹 기반 검색 인터페이스 또는 명령 줄 도구를 사용하여 이러한 파일을 검색하여 버그 및 성능 문제를 진단 할 수 있습니다. 페이퍼 트레일 또한 그래프 결과를 위해 Librato 및 Geckoboard와 같은 다른 SolarWinds 제품과 통합됩니다.
페이퍼 트레일 클라우드 기반의 SaaS (Software as a Service)SolarWinds에서 제공합니다. 구현, 사용 및 이해가 쉽습니다. 또한 몇 분 안에 모든 시스템에서 즉각적인 가시성을 제공합니다. 이 도구에는 저장된 로그와 스트리밍 로그를 모두 검색 할 수있는 매우 효과적인 검색 엔진이 있습니다. 그리고 번개가 빠르다.
페이퍼 트레일 무료를 포함한 몇 가지 계획에 따라 사용할 수 있습니다계획. 그러나 다소 제한적이며 매월 100MB의 로그 만 허용합니다. 그러나 첫 달에 16GB의 로그를 허용하며 이는 30 일 무료 평가판을 제공하는 것과 같습니다. 유료 요금제는 1GB / 월의 로그, 1 년의 아카이브 및 1 주일의 인덱스에 대해 월 $ 7에서 시작합니다. 노이즈 필터링을 통해 도구는 쓸모없는 로그를 저장하지 않음으로써 데이터를 보존 할 수 있습니다.
2. SolarWinds 로그 및 이벤트 관리자 (무료 시험판)
다음 항목은 SolarWinds의 또 다른 제품입니다. 태양풍 로그 및 이벤트 관리자. 이전 항목과 달리 이것은로컬로 설치된 제품. 또한 로그 관리 시스템 그 이상입니다. 이 제품의 많은 고급 기능이 SIEM 범위에 있습니다. 예를 들어 실시간 벤트 상관 및 실시간 치료가 있습니다.
개요는 다음과 같습니다. SolarWinds 로그 및 이벤트 관리자의 주요 기능. 의심스러운 활동을 즉시 탐지하고 자동 대응을 통해 위협을 신속하게 제거합니다. 또한 완화 및 준수를 위해 보안 이벤트 조사 및 법의학을 수행 할 수 있습니다. 또한 규정 준수에 관해 이야기하면 HIPAA, PCI DSS 및 SOX에 대한 검증 된보고 덕분에 제품에서이를 입증 할 수 있습니다. 이 도구에는 파일 무결성 모니터링 및 USB 장치 모니터링 기능이 있으며,이 기능은 로그 관리 시스템에서 일반적으로 볼 수있는 것보다 두 가지 기능이 있습니다.
의 가격 SolarWinds 로그 및 이벤트 관리자 최대 30 개의 모니터링 노드에 대해 $ 4,585에서 시작합니다. 최대 2500 개의 노드에 대한 라이센스를 구매하여 제품의 확장 성을 높일 수 있습니다. 제품이 자신에게 적합한 지 직접 확인하려면 30 일 무료 평가판을 무료로 사용할 수 있습니다.
3. ipswitch 로그 관리 제품군
그만큼 로그 관리 스위트 Ipswitch의 도구입니다.대단히 인기있는 네트워크 모니터링 도구 인 WhatsUp Gold를 소개했습니다. 시스템 로그, Windows 이벤트 및 W3C / IIC 로그를 수집, 저장, 보관 및 저장하는 자동화 된 도구입니다. 또한 지속적인 로그 감시는 의심스러운 활동을 경고합니다.
액세스 권한과 같은 자주 감사되는 이벤트파일, 폴더 및 개체 권한을 따를 수 있으며 필요에 따라 경고를 생성하고 HIPAA, SOX, FISMA, PCI, MiFID 또는 Basel II 준수에 대한 준수 보고서를 작성하는 데 사용됩니다. 이 도구는 자동화 된 필터링, 상관,보고 및 변환 기능을 통해 원시 로그 데이터를 관리자 또는 IT 보안 팀에 의미있는 데이터로 변환 할 수 있도록 도와줍니다.
에 대한 가격 정보 로그 관리 스위트 Ipswitch에서 쉽게 구할 수 없습니다. 제품은 게시자 또는 Ipswitch의 리셀러 네트워크를 통해 직접 구입할 수 있습니다. 무료 평가판도 제공됩니다.
4. ManageEngine EventLog 분석기
네트워크 관리자의 또 다른 일반적인 이름 인 ManageEngine은 뛰어난 로그 관리 시스템을 ManageEngine EventLog 분석기. 이 제품은 로그 가져 오기뿐만 아니라 조합 또는 에이전트없는 에이전트 기반 로그 수집을 사용하여 700 개가 넘는 소스의 로그 데이터를 수집, 관리, 분석, 상관 및 검색합니다.
속도는 ManageEngine EventLog 분석기의 힘. 초당 25,000 로그의 로그 데이터를 처리하고 실시간으로 공격을 탐지 할 수 있습니다. 또한 위반의 영향을 줄이기 위해 빠른 포렌식 분석을 수행 할 수 있습니다. 시스템의 감사 기능은 네트워크 주변 장치의 로그, 사용자 활동, 서버 계정 변경, 사용자 액세스 등으로 확장되어 보안 감사 요구를 충족시킵니다.
그만큼 ManageEngine EventLog 분석기 기능 축소 무료 버전으로 제공595 개의 로그 소스 또는 595 달러부터 시작하는 프리미엄 에디션 만 지원하며 장치 및 애플리케이션 수에 따라 다릅니다. 완전한 기능을 갖춘 30 일 무료 평가판도 제공됩니다.
5. Nagios 로그 서버
Nagios는 뛰어난 네트워크 모니터링 소프트웨어로 가장 잘 알려져 있지만 로그 서버도 흥미로울 것입니다. 적절하게 나지 오스 로그 서버중앙 집중식 로그 관리, 모니터링 및 분석 기능을 제공합니다. 그만큼 나지 오스 로그 서버 로그 데이터 검색 프로세스를 단순화합니다. 또한 잠재적 인 위협에 대한 알림을받을 수 있도록 경고를 설정할 수 있습니다. 또한 소프트웨어에는 고 가용성 및 페일 오버 기능이 내장되어 있습니다. 간편한 소스 설정 마법사를 통해 모든 로그 데이터를 전송하고 몇 분 안에 로그를 모니터링하도록 서버를 빠르게 구성 할 수 있습니다. .
그만큼 나지 오스 로그 서버 모든 로그 이벤트를 쉽게 연관시킬 수 있습니다.몇 번의 클릭만으로 서버. 또한 로그 데이터를 실시간으로 볼 수 있으므로 문제가 발생할 때이를 분석하고 해결할 수 있습니다. 이 제품은 뛰어난 확장 성을 특징으로하며 조직의 규모가 커짐에 따라 요구 사항을 계속 충족시킵니다. 추가의, 부가적인 나지 오스 로그 서버 인스턴스를 모니터링 클러스터에 추가하여 더 많은 전력, 속도, 스토리지 및 안정성을 빠르게 추가 할 수 있습니다.
단일 인스턴스 가격 나지 오스 로그 서버 3995 달러이며 무료 평가판을 사용할 수없는 것처럼 보이지만 무료 온라인 데모는 제품을 직접 살펴 보는 것이 좋습니다.
6. 경보 논리 로그 관리자
Alert Logic의 주요 초점은 보안 및 규정 준수입니다. 로그 관리는 두 가지 모두와 밀접한 관련이 있기 때문에 회사가 경보 논리 로그 관리자. 이 클라우드 기반 도구는 자동화 된모든 환경에서 통일 된 로그 관리. 클라우드, 서버, 애플리케이션, 보안 및 네트워크 자산에서 로그 데이터를 수집, 집계 및 검색합니다.
그만큼 경보 논리 로그 관리자 로그 모니터링 및 분석은 물론인간 분석기에 의해 실시간으로 수행되는 로그 검토. Alert Logic의 전문가가 1 년 365 일 가능한 위협 활동을 알려줍니다. 이 서비스는 또한 SOC 2, HIPAA 및 SOX의 로그 검토 요구 사항을 충족하고 PCI / DSS 10.6, 10.6.1, 10.6.3을 준수하기 위해 로그 검토 및 이벤트 후속 조치의 부담을 덜어줍니다.
에 대한 가격 정보 경보 논리 로그 관리자 웹에서 바로 사용할 수 없으므로 공식 견적을 받으려면 Alert Logic 영업팀에 문의해야합니다. 무료 평가판도 제공되지 않지만 Alert Logic에 문의하여 무료 데모를 예약 할 수 있습니다.
7. LogDNA
2015 년에 설립 된 LogDNA 블록에 새로운 아이입니다. 회사는“LogDNA 가장 빠르고 직관적이며비용 효율적인 로그 관리 시스템”. 로그 모니터링을 시작하기까지 몇 분 밖에 걸리지 않는 설치로 시작됩니다. 로그 생성 및 전송 방법에 관계없이 수백 개의 사용자 지정 통합 체계를 사용하여 로그를 단일 창으로 중앙 집중화 할 수 있습니다.
LogDNA 클라우드 기반 또는 자체 호스팅 가능당신의 선호. 확장 성이 뛰어나고 실시간 로그 분석을 통해 총 보안 수준에서 하루에 수십만 개의 로그와 고객 당 수십 테라 바이트를 처리 할 수 있습니다. 이 회사와 제품은 SOC2, PCI 및 HIPAA를 준수하며 Privacy Shield 인증을 받았습니다.
간단한 GB 당 지불 가격 모델로계약 및 고정 데이터 버킷을 제거하고 회사는 총 소유 비용이 가장 낮습니다. 기능이 증가함에 따라 여러 가지 가입 계획을 사용할 수 있습니다. 최하위 요금제는 무료이며 유료 요금제는 유지 기간 및 사용자 수에 따라 월 $ 1.50 / GB에서 월 $ 3 / GB / month까지 다양합니다. 모든 기능을 갖춘 14 일 무료 평가판도 제공됩니다.
8. 그레이 로그
마지막으로 우리의 목록은 그레이 로그. 이 제품은 많은 흥미로운 기능을 제공합니다. 이 도구는 모든 데이터 소스의 로그 및 이벤트 데이터를 구문 분석하고 보강합니다. 처리 파이프 라인은 실시간으로 메시지 라우팅, 블랙리스트 작성, 수정 및 보강에있어 유연성을 제공합니다. 그레이 로그 테라 바이트의 로그 데이터를 검색하여 중요한 정보를 발견하고 분석합니다. 강력한 검색 구문을 사용하면 원하는 것을 정확하게 찾을 수 있습니다.
와 그레이 로그대시 보드를 만들어 메트릭을 시각화 할 수 있습니다.하나의 중앙 위치에서 추세를 관찰합니다. 검색 결과 페이지에서 필드 통계, 빠른 값 및 차트를 사용하여 데이터를 심층적으로 분석 할 수 있습니다. 시스템에는 로그인 시도 실패, 예외 또는 성능 저하와 같은 이벤트에 대한 조치를 트리거하거나 알림을 발행하는 옵션도 있습니다.
그레이 로그 무료 및 오픈 소스로 제공되며제한된 기능을 지원하거나 확장 된 기능과 무제한 지원을 제공하는 엔터프라이즈 버전으로 기능 제한 버전. 시험판 라이센스는 다음에 문의하여 얻을 수도 있습니다. 그레이 로그 매상.
코멘트