Šiandieninės sistemos sukuria daug duomenų registravimoduomenys. Daugelyje platformų kiekvienas įvykis, svarbus ar nesvarbus, yra kažkur užregistruojamas. Paprastai žurnalai saugomi vietoje. Tai prasminga, nes žurnalai yra susieti su jų šaltiniu. Tačiau bandant šalinti problemas ir rasti jų pagrindinę priežastį, tai dažnai reiškia, kad turime ieškoti kelių žurnalo failų daugelyje įrenginių. Ar nebūtų puiku, jei visi visų įrenginių žurnalai būtų saugomi vienoje vietoje? Žurnalo tvarkymas yra tas ir dar daugiau, kaip jūs ketinate sužinoti. Ir šiandien mes apžvelgiame populiariausių žurnalų valdymo sistemas.
Pradėsime bandydami paaiškinti, koks žurnalasvaldymas yra. Kaip matysite, tai gali būti daug daugiau, nei tik centralizuoti žurnalų saugojimą. Kitas, mes kalbėsime apie registravimo protokolus. Tai gana svarbu, nes žurnalų tvarkymas be jų greičiausiai neegzistuotų. Tada pabandysime atskirti „syslog“ serverius nuo žurnalų valdymo sistemų. Deja, nėra aiškios jų ribos. Mes stebėsime diskusiją apie saugos informaciją ir įvykių valdymo sistemas, nes tai yra dar vienas sistemos tipas, kuris dažnai painiojamas su žurnalo valdymu dėl šiek tiek neaiškių jų apibrėžimų. Galiausiai apžvelgsime aštuonias pagrindines mūsų rastų žurnalų valdymo sistemas.
Rąstų tvarkymas - kas tai yra
Prieš pradėdami kalbėti apie žurnalo valdymą, pažiūrėkimepamatyti, kas yra žurnalas. Paprasčiau apibrėžtas žurnalas yra automatiškai parengtas ir laiko žymimas įvykių, susijusių su tam tikra sistema, dokumentais. Kai tik įvykis įvyksta sistemoje, sugeneruojamas žurnalas. Skirtingos sistemos sugeneruoja skirtingų įvykių žurnalus, o daugelis sistemų administratoriams suteikia tam tikrą laipsnį kontrolės, kas generuoja žurnalą, o kas ne.
Kai mes kalbame apie žurnalo valdymą, mes esamenurodant procesus ir strategijas, naudojamas administruoti ir palengvinti didelių žurnalo duomenų generavimą, perdavimą, analizę, saugojimą, archyvavimą ir galimą sunaikinimą. Žurnalų valdymas reiškia centralizuotą sistemą, kurioje renkami žurnalai iš kelių šaltinių.
Bet žurnalo valdymas nėra tik žurnalo rinkimas. Valdymo dalis yra pati svarbiausia. Žurnalų valdymo sistemos paprastai turi keletą funkcijų, rinkdamos žurnalus yra tik viena iš jų.
Kai tik žurnalus gauna žurnalų valdymassistemą, juos reikia „išversti“ į bendrą formatą. Skirtingos sistemos formatuoja žurnalus skirtingai ir į žurnalus įtraukia skirtingus duomenis. Kai kurie pradeda žurnalą su data ir laiku, kiti pradeda nuo įvykio numerio. Kai kurie turi tik žurnalo ID, kiti - visą įvykio tekstinį aprašą. Vienas iš žurnalų valdymo sistemų tikslų yra užtikrinti, kad visi surinkti žurnalo įrašai būtų saugomi vienoda forma. Tai žymiai palengvins paiešką ir įvykių koreliaciją.
Kalbant apie paiešką ir net koreliaciją,Tai yra dar viena svarbi daugelio žurnalų valdymo sistemų funkcija. Kai kurie iš jų turi galingą paieškos variklį, leidžiantį administratoriams tiksliai nustatyti, ko jiems reikia. Koreliacijos funkcijos automatiškai sugrupuos susijusius įvykius, net jei jie yra iš skirtingų šaltinių. Kaip ir kaip sėkmingai įgyvendinama skirtinga žurnalų valdymo sistema, tai yra pagrindinis skiriamasis faktorius.
Registravimo protokolai
Žurnalų tvarkymas būtų daug sunkesnis, jeivisai įmanoma, jei tai būtų ne protokolų registravimas. Keletas iš jų nusako, kokie duomenys turi būti įtraukti į žurnalus, kaip jie turėtų būti suformatuoti ir kaip jie turėtų būti perduodami iš vienos sistemos į kitą.
„Syslog“ yra tikriausiai labiausiai naudojamas registravimo protokolas. Išrastas aštuntojo dešimtmečio pradžioje, jis tapo de facto standartu „Unix“ tipo sistemoms. Vienas didžiausių „syslog“ protokolo pranašumų yra tai, kaip jis atskiria žurnalus generuojančią programinę įrangą, sistemą, kurioje jie saugomi, ir programinę įrangą, kuri juos praneša ir analizuoja. Naudojant „Syslog“ protokolą, žymėjimą žymiai lengviau tvarkyti. Daugelis ne Unix įrenginių, tokių kaip jungikliai, maršrutizatoriai ir kita daugelio pardavėjų tinklo įranga, naudoja „syslog“ protokolo variantą.
Kaip jūs jau spėjote, naudoja „Microsoft Windows“kitokia registravimo sistema. Tai gali būti susiję su tuo, kad „Windows“ operacinės sistemos ir programos turi žurnalus, kuriuose paprastai yra daug daugiau informacijos, nei leidžia „syslog“. Laimei, „Windows Event Collector“ funkcijos suteikia galimybę žurnalų valdymo sistemoms naudoti įvykius iš „Windows“ kompiuterių gauti.
Nesvarbu, koks registravimo protokolas yra naudojamas, ansvarbi žurnalo valdymo dalis yra įrenginių konfigūravimas siųsti savo žurnalus į valdymo sistemą. Tai skiriasi nuo kitų įrankių, tokių kaip tinklo stebėjimo sistemos, kai įrankis gauna duomenis iš pagrindinių kompiuterių.
Prisijungti serveriai vs žurnalo valdymas
Nuo tada, kai jis buvo prieinamas visose „Unix“ tipo sistemosegana ilgai, „Syslog“, jei dažnai naudojamas kaip žurnalo serveris, kai vienas kompiuteris gauna „syslog“ duomenis iš kelių kitų. Nors toks centralizuotas žurnalų saugojimas turi aiškių pranašumų, tai nėra žurnalų valdymas.
Norėdami nusipelnyti žurnalo valdymo sistemos pavadinimą, aProduktas turi apimti bent keletą sudėtingesnių funkcijų. Pagal Vikipediją, žurnalų valdymą sudaro šios funkcijos: žurnalų rinkimas, centralizuotas žurnalo kaupimas, ilgalaikis žurnalo saugojimas ir saugojimas, žurnalo kaitaliojimas, žurnalo analizė, žurnalo paieška ir ataskaitų teikimas. Žurnalų serveriai dažnai siūlo tik žurnalų rinkimą ir saugojimą, o retai - daugiau. Kiekvienoje žurnalo valdymo sistemoje, esančioje aukščiausiame sąraše, yra bent keletas pažangių funkcijų.
Kaip su SIEM sistemomis?
Kita dažnai naudojama technologijasusietas su žurnalais ir painiojamas su žurnalų valdymo sistemomis yra saugos informacijos ir įvykių valdymas arba SIEM. Tai labai skiriasi nuo žurnalo tvarkymo, nors yra glaudžiai susijusi. Tiesą sakant, kai kurie produktai, reklamuojami kaip žurnalų valdymo sistemos, iš tikrųjų yra SIEM sistemos, o kai kurios pagrindinės SIEM sistemos yra ne kas kita, kaip žurnalų valdymo sistemos.
Pagrindinė painiavos priežastis yra tas žurnalasvaldymas arba bent jau žurnalo analizė yra svarbi SIEM sistemų sudedamoji dalis. Tiesą sakant, SIEM sistemos paprastai perkelia žurnalo valdymą į kitą lygį, į procesą įtraukdamos šiek tiek intelekto. Šios sistemos vykdo žurnalų analizę, siekdamos nustatyti saugos problemas. Jie, pavyzdžiui, ieškos nesėkmingų prisijungimų požymių, kurie rodytų neteisėtą bandymą įsibrauti. Šios sistemos automatiškai nuskaitys žurnalų įrašus ieškodamos nieko neįprasto.
SIEM sistemos labiau susijusios su IT saugumunei IT valdymas, ir nors kai kurios turi plačias žurnalų tvarkymo funkcijas, daugelis taip pat gali naudoti išorines žurnalų tvarkymo sistemas, ir nėra neįprasta matyti abi sistemas veikiančias viena šalia kitos.
Geriausia žurnalų tvarkymo programinė įranga
Dabar, kai turime bendrą supratimą, kasžurnalo tvarkymas yra, o kas tai nėra, pažiūrėkime, kas yra prieinama. Mes ieškojome geriausių žurnalų valdymo sistemų rinkoje. Mūsų pradinė išvada yra, kad jų yra daug ir daugelis jų yra labai geri. Tačiau turime tik tiek vietos, kad netrukus apžvelgtume aštuonis įdomiausius, kuriuos galėtume rasti.
1. „SolarWinds Papertrail“
„SolarWinds“ yra įprastas vardastinklo administravimo įrankiai. Tai buvo maždaug 20 metų ir atnešė mums vieną iš geriausių pralaidumo stebėjimo įrankių bei vieną iš geriausių „NetFlow“ analizatorių ir kolekcionierių. Bendrovė taip pat yra gerai žinoma, kad išleido keletą nemokamų įrankių, tenkinančių tam tikrus tinklo administratorių poreikius, tokius kaip potinklio skaičiuoklė ar „syslog“ serveris.
Prieš keletą metų „SolarWinds“ įsigijo Papertrail, populiari žurnalo valdymo sistema. Čia kaupiami įvairių populiarių produktų, tokių kaip „Apache“ ar „MySQL“, taip pat „Ruby on Rails“ programų, skirtingų debesies prieglobos paslaugų ir kitų standartinių teksto žurnalų failų, žurnalų failai. Papertrail vartotojai gali naudoti žiniatinklio paieškos sąsają arba komandų eilutės įrankius, norėdami ieškoti šių failų, kad padėtų diagnozuoti klaidas ir našumo problemas. Papertrail taip pat integruojamas su kitais „SolarWinds“ produktais, tokiais kaip „Librato“ ir „Geckoboard“, kad būtų galima grafikuoti rezultatus.
Papertrail yra debesies pagrindu sukurta programinė įranga kaip paslauga („SaaS“)siūlo iš „SolarWinds“. Tai lengva įgyvendinti, naudoti ir suprasti. Ir tai leis akimirksniu pastebėti visas sistemas per kelias minutes. Įrankis turi labai efektyvų paieškos variklį, kuris gali ieškoti tiek saugomuose, tiek srautiniuose žurnaluose. Ir žaibiškai greitai.
Papertrail galima pagal kelis planus, įskaitant nemokamąplanas. Tačiau jis yra šiek tiek ribotas ir leidžia tik 100 MB žurnalų kiekvieną mėnesį. Tačiau per pirmąjį mėnesį tai leis 16 GB žurnalų, o tai reiškia, kad jums bus suteiktas nemokamas 30 dienų bandomasis laikotarpis. Mokami planai prasideda nuo 7 USD / mėn. Už 1 GB / mėn. Žurnalų, 1 metų archyvo ir 1 savaitės indeksą. Triukšmo filtravimas leidžia įrankiui išsaugoti duomenis neišsaugant nenaudingų žurnalų.
2. „SolarWinds“ žurnalų ir renginių tvarkyklė (NEMOKAMAS BANDYMAS)
Kitas mūsų įrašas yra dar vienas „SolarWinds“ produktas, vadinamas „Saulės vėjai“ Prisijungti ir renginių tvarkyklė. Priešingai nei mūsų ankstesnis įrašas, tai yravietoje įdiegtas produktas. Tai taip pat yra daug daugiau nei tik žurnalo valdymo sistema. Daugelis pažangių šio produkto savybių jį įtraukė į SIEM asortimentą. Pavyzdžiui, joje yra koreliacija realaus laiko ventiliacija ir taisymas realiuoju laiku.
Čia yra „SolarWinds“ žurnalų ir renginių tvarkyklėPagrindinės savybės. Tai greitai pašalina grėsmes, naudojant momentinį įtartinos veiklos aptikimą ir automatizuotus atsakymus. Jis taip pat gali atlikti saugumo įvykių tyrimą ir kriminalistiką, kad būtų sušvelnintas ir laikomasi reikalavimų. Kalbėdamas apie atitiktį, produktas leis jums tai pademonstruoti, be kita ko, dėl patikrintų ataskaitų, skirtų HIPAA, PCI DSS ir SOX. Šis įrankis taip pat turi failų vientisumo stebėjimą ir USB įrenginių stebėjimą - dvi savybes, kurios yra daug aukščiau to, ką paprastai matome žurnalų valdymo sistemose.
Kainos už „SolarWinds“ žurnalų ir renginių tvarkyklė prasideda nuo 4585 USD iki 30 stebimų mazgų. Galima įsigyti licencijas iki 2500 mazgų, todėl produktas yra labai keičiamas. Ir jei norite patikrinti, ar produktas tinka jums, yra nemokamas 30 dienų bandymas.
3. „ipswitch Log Management Suite“
Į Žurnalų tvarkymo rinkinys yra „Ipswitch“, tos pačios įmonės, įrankismums atnešė nepaprastai populiarų tinklo stebėjimo įrankį „WhatsUp Gold“. Tai automatinis įrankis, kuris kaupia, saugo, archyvuoja ir išsaugo sistemos žurnalus, „Windows“ įvykius ir W3C / IIC žurnalus. Be to, nuolatinis žurnalo stebėjimas įspės apie bet kokią įtartiną veiklą.
Dažnai audituojami įvykiai, tokie kaip prieigos teisėsir failo, aplanko ir objekto privilegijas galima sekti, generuojant perspėjimus pagal poreikį ir naudojami kuriant atitikties ataskaitas, kad būtų laikomasi HIPAA, SOX, FISMA, PCI, MiFID ar „Basel II“. Priemonė taip pat gali padėti jums pakeisti neapdorotus žurnalo duomenis į reikšmingus duomenis valdytojams ar IT saugos komandoms dėl automatizuotų filtravimo, koreliavimo, ataskaitų teikimo ir konvertavimo funkcijų.
Informacija apie kainodarą Žurnalų tvarkymo rinkinys nėra lengvai prieinamas iš „Ipswitch“. Produktą galima įsigyti tiesiogiai iš leidėjo arba per „Ipswitch“ perpardavėjų tinklą. Taip pat galima įsigyti nemokamą bandomąją versiją.
4. „ManageEngine EventLog“ analizatorius
„ManageEngine“, dar vienas įprastas vardas su tinklo administratoriumi, sukuria puikią žurnalo valdymo sistemą, vadinamą „ManageEngine EventLog“ analizatorius. Produktas rinks, valdys, analizuos, koreliuos ir ieškos daugiau nei 700 šaltinių žurnalų duomenų, naudodamas kombinuotą arba agentų neturintį ir agentais pagrįstą žurnalų rinkinį, taip pat žurnalų importą.
Greitis yra vienas iš „ManageEngine EventLog“ analizatoriusStiprybė. Tai gali apdoroti žurnalo duomenis įspūdingu 25 000 žurnalų per sekundę greičiu ir aptikti išpuolius realiu laiku. Jis taip pat gali greitai atlikti kriminalistinę analizę, kad sumažintų pažeidimo poveikį. Sistemos audito galimybės apima tinklo perimetro įrenginių žurnalus, vartotojo veiksmus, serverio paskyros pakeitimus, vartotojo prieigas ir dar daugiau - tai padeda patenkinti saugumo audito poreikius.
Į „ManageEngine EventLog“ analizatorius yra nemokamame leidime, kuriam pritaikyta mažiau funkcijųkuris palaiko tik 5 žurnalų šaltinius arba „premium“ leidime, kuris prasideda nuo 595 USD ir skiriasi atsižvelgiant į įrenginių ir programų skaičių. Taip pat galima įsigyti nemokamą, pilną 30 dienų bandomąją versiją.
5. „Nagios Log Server“
Nagios yra labiausiai žinomas dėl savo puikios tinklo stebėjimo programinės įrangos, tačiau jo prisijungimo serveris yra galbūt toks pat įdomus. Tinkamai vadinama „Nagios Log Server“, jis siūlo centralizuotą žurnalų valdymą, stebėjimą ir analizę. „Nagios Log Server“ supaprastina žurnalo duomenų paieškos procesą. Tai taip pat leidžia nustatyti įspėjamuosius įspėjimus apie galimas grėsmes. Be to, programinė įranga turi aukštą prieinamumą ir tinkamai įdiegta be trikčių. Jos lengvi šaltinio sąrankos vedliai padės greitai sukonfigūruoti serverius, kad jie atsiųstų visus žurnalo duomenis ir per kelias minutes galėtų pradėti stebėti savo žurnalus. .
Į „Nagios Log Server“ leidžia lengvai susieti žurnalo įvykius su visaisserverius vos keliais paspaudimais. Ir tai leidžia peržiūrėti žurnalo duomenis realiuoju laiku, suteikiant galimybę analizuoti ir spręsti iškilusias problemas. Produktas pasižymi įspūdingu mastelio keitimas ir toliau patenkins jūsų poreikius, augant jūsų organizacijai. Papildomas „Nagios Log Server“ egzempliorius galima pridėti prie stebėjimo grupių, leidžiančių greitai pridėti daugiau energijos, greičio, saugyklos ir patikimumo.
Vienos instancijos kaina „Nagios Log Server“ yra 3 995 USD ir, nors nemokama bandomoji versija nėra prieinama, turėtumėte naudotis nemokama demonstracine versija internete, jei norėtumėte iš pirmo žvilgsnio pamatyti produktą.
6. Alert Logic Log Manager
Pagrindinis „Alert Logic“ dėmesys skiriamas saugumui ir atitikčiai. Kadangi žurnalo valdymas yra glaudžiai susijęs su abiem, nenuostabu, kad įmonė siūlo Alert Logic Log Manager. Šis debesies įrankis siūlo automatizuotą irvieningas žurnalo valdymas visose jūsų aplinkose. Tai rinks, kaups ir ieškos žurnalo duomenų iš debesies, serverio, programos, saugos ir tinklo išteklių.
Į Alert Logic Log Manager apima žurnalo stebėjimą ir analizę, taip patžurnalo peržiūra, kurią tiesiogiai atlieka žmonių analizatoriai. „Alert Logic“ ekspertai įspės jus apie galimą grėsmę 365 dienas per metus. Ši paslauga taip pat padės įvykdyti SOC 2, HIPAA ir SOX žurnalų peržiūros reikalavimus ir panaikins naštą peržiūrėti žurnalus ir sekti įvykius, kad būtų laikomasi PCI / DSS 10.6, 10.6.1, 10.6.3
Informacija apie kainodarą Alert Logic Log Manager nėra lengvai prieinamas internete ir turėsite susisiekti su „Alert Logic“ pardavėjais, kad gautumėte oficialią citatą. Nemokamos bandomosios versijos taip pat nėra, tačiau nemokamą demonstracinę versiją galima susitarti susisiekus su „Alert Logic“.
7. LogDNA
Įkurta 2015 m. LogDNA yra naujas vaikas bloke. Bendrovė teigia, kad „LogDNA yra greičiausias, intuityviausias irekonomiškai efektyvi žurnalo valdymo sistema “. Viskas prasideda nuo diegimo, kuris užtrunka tik keletą minučių, kol galėsite pradėti stebėti savo žurnalus. Nesvarbu, kaip sugeneruojami ir perduodami žurnalai, šimtai pasirinktinių integravimo schemų yra prieinami, kad žurnalai būtų centralizuoti vienoje srityje.
LogDNA priklausomai nuo gali būti debesies pagrindu arba savarankiškai priglobtijūsų pasirinkimas. Jis yra labai keičiamas ir gali saugiai atlikti šimtus tūkstančių žurnalų per sekundę ir dešimtis terabaitų vienam klientui per dieną, naudodamas realiojo laiko žurnalų analizę. Bendrovė ir jos produktai yra suderinti su SOC2, PCI ir HIPAA, taip pat sertifikuoti „Privacy Shield“.
Su savo paprastu, „mokėti už GB“ kainodaros modeliu, kurispašalina sutartis ir fiksuotus duomenų kaupiklius, įmonė turi vieną iš mažiausių visų nuosavybės išlaidų. Yra keletas prenumeratos planų su vis daugiau funkcijų. Žemiausios pakopos planas yra nemokamas, o apmokami planai skiriasi nuo 1,50 USD / GB / mėn. Iki 3 USD / GB / mėn., Priklausomai nuo išlaikymo trukmės ir vartotojų skaičiaus. Taip pat galima įsigyti nemokamą visokeriopą 14 dienų bandomąją versiją.
8. „Graylog“
Paskutinis mūsų sąraše yra produktas, vadinamas „Greylog“. Produktas siūlo daug įdomių funkcijų. Įrankis išanalizuos ir praturtins žurnalus ir įvykių duomenis iš bet kurio duomenų šaltinio. Jos apdorojimo vamzdynai suteikia tam tikro lankstumo maršrutizuojant, įtraukiant į juodąjį sąrašą, keičiant ir praturtinant pranešimus realiuoju laiku. „Greylog“ ieškos terabaitų žurnalo duomenų, kad surastų ir išanalizuotų svarbią informaciją. Galinga paieškos sintaksė leidžia rasti būtent tai, ko ieškote.
Su „Greylog“, galite sukurti informacijos suvestines, kad vizualizuotumėte metrikąir stebėkite tendencijas vienoje centrinėje vietoje. Norėdami naudoti gilesnę duomenų analizę, galite naudoti lauko statistiką, greitas vertes ir diagramas iš paieškos rezultatų puslapio. Sistema taip pat turi galimybę suaktyvinti veiksmus arba pranešti apie įvykius, tokius kaip nepavykusys prisijungimo bandymai, išimtys ar veiklos pablogėjimas.
„Greylog“ galima kaip nemokamą ir atvirą šaltinį,Ribotos funkcijos, kuri taip pat turi ribotą palaikymą, arba kaip įmonės versija su išplėstinėmis funkcijomis ir neribotu palaikymu. Bandomąją licenciją taip pat galite gauti susisiekę „Greylog“ pardavimai.
Komentarai