Žurnalo failai yra beveik kiekviename kompiuteryjesistema ar tinklo įrenginys. Jose yra informacijos apie įvykius, vykstančius kiekvienoje sistemoje. Jie gali būti neįkainojami šalinant įvairias problemas. Jie taip pat gali atskleisti kenkėjišką veiklą ir todėl gali tapti naudinga saugumo užtikrinimo priemone. Bet kas turi laiko net pažvelgti į žurnalo failus? Įprastas administratorius valdo dešimtis prietaisų, kai kurie iš jų kiekvieną sekundę registruoja kelis įvykius. Taigi niekas negali sekti. Štai kodėl buvo išrastos žurnalų stebėjimo priemonės. Jie sujungia visus įvykių žurnalus vienoje vietoje ir dažnai teikia analizės įrankius ir paslaugas, kurios bus naudojamos per žurnalus ir sukels įspėjimus, kai bus pastebėtas kažkas neįprasto. Yra daugybė skirtingų žurnalų stebėjimo įrankių, o pasirinkti geriausią gali būti sudėtinga. Norėdami padėti jums, mes surinkome šį sąrašą geriausių žurnalų stebėjimo įrankių.
Pradėsime diskusiją tyrinėdamisistemos žurnalai, kokie jie yra ir kaip jie veikia. Toliau kalbėsime apie žurnalų stebėjimą. Kaip ir anksčiau, pažiūrėsime, ką tai reiškia ir kaip tai daroma. Tada pateiksime daugiau informacijos apie žurnalo analizę, nes ši funkcija daro žurnalo stebėjimo įrankius naudingiausius. Kaip ir anksčiau, aprašysime, kas tai yra, ir įvairias galimas analizės formas. Galiausiai apžvelgsime keletą geriausių žurnalų stebėjimo įrankių, kuriuos galėjome rasti, ir papasakosime apie jų pagrindines savybes.
Sistema prisijungia trumpai
Viename sakinyje žurnalo failas arba sistemos žurnalas yra afailas, kuriame įrašomi įvykiai, įvykę operacinėje sistemoje ar kitoje programinėje įrangoje. Registravimas yra sistemos žurnalo tvarkymas. Paprasčiausiu atveju pranešimai tiesiog rašomi į vieną žurnalo failą. Nors dauguma sistemų įvykių registravimui naudoja tekstinius failus, kai kurios šiuolaikinės sistemos joms registruoti naudoja tam tikros formos duomenų bazę.
Nesvarbu, kaip ir kur įvykiai registruojami, kai kuriesistemos leidžia apibrėžti jums reikalingą registravimo lygį. Tai ypač pasakytina apie tinklo įrangą, kur kiekvienas įvykis turi sunkumo lygį, o registravimo parametrai gali būti nustatyti tik tam tikro ar aukštesnio laipsnio įvykiams registruoti. Panašias funkcijas teikia ir kitų tipų sistemos.
Apie stebėjimo žurnalus
Žurnalų stebėjimas yra dviejų dalių procesas. Pirmoji ir pati svarbiausia dalis yra žurnalo duomenų rinkimas iš įvairių sistemų. Tai atliekama skirtingais būdais. Kai kurias sistemas galima sukonfigūruoti automatiškai siųsti žurnalus į centralizuotą serverį per „Syslog“ protokolą. Žurnalo stebėjimo įrankiai paprastai turi įmontuotą „syslog“ serverį, kad tiesiogiai gautų įvykių duomenis. Kitos sistemos, pavyzdžiui, „Windows“, veikia skirtingai. Yra įvairių būdų, kaip iš šių sistemų gauti žurnalo duomenis, pavyzdžiui, naudojant „Windows Management Instrumentation“ arba naudojant vietinius agentus, veikiančius „Windows“ pagrindiniuose kompiuteriuose. Nepriklausomai nuo to, kaip tai daroma, kiekvienoje žurnalo stebėjimo sistemoje yra reikalingos funkcijos, kad būtų galima priimti ir sujungti žurnalo duomenis iš kelių šaltinių.
Kitas žingsnis - žurnalo analizė
Antroji bet kurio naudingo žurnalo stebėjimo įrankio užduotisyra žurnalo analizė. Čia labiausiai skiriasi įrankiai. Kai kurie siūlys tik labai paprastą analizę, pavyzdžiui, įspėjimo suaktyvinimą, kai įvykių skaičius per laiko vienetą pasieks nurodytą ribą. Pažangesnės priemonės išnagrinės kiekvieną įvykį ir ieškos konkrečių problemų požymių. Pavyzdžiui, daugybė nepavykusių prisijungimų gali būti besitęsiančio bandymo įsilaužti ženklas. Galėtume praleisti puslapius, kuriuose aprašomos įvairios galimos žurnalų analizės formos. Vietoje to, kviečiame pasižvalgyti į žemiau pateiktą skirtingų produktų apžvalgą ir sužinoti, ką kiekvienas iš jų siūlo.
Geriausi žurnalo stebėjimo įrankiai
Kaip jau minėjome anksčiau, yra daug įvairiųįrankiai, turintys įvairaus lygio funkcionalumą. Ne visiems reikia įrankio, turinčio išsamią analizę ir saugaus saugumo ypatybes, todėl mes įtraukėme įrankių rinkinį, kuriame pateikiami įvairūs funkcijų rinkiniai. Kai kurios yra paprastesnės priemonės, o kitos - sudėtingesnės. Jūs turite nuspręsti, kuris įrankis geriausiai tinka jūsų poreikiams. Laimei, visi mūsų sąrašo įrankiai yra prieinami nemokamai, taigi niekas netrukdo išbandyti kelis dalykus - tai mes labai rekomenduojame.
1. „SolarWinds“ žurnalų ir renginių tvarkyklė (Nemokamas bandymas)
„SolarWinds“ yra įprastas stebėjimo pavadinimaspasaulis. Bendrovė veikia daugiau nei 20 metų, o jos pavyzdinis produktas, vadinamas tinklo našumo stebėjimo įrankiu, daugelio pripažintas vienu geriausių turimų SNMP stebėjimo įrankių. Ir tarsi to nepakaktų, „SolarWinds“ taip pat žinomas dėl daugybės nemokamų įrankių. Tai yra mažesni įrankiai, kurių kiekvienas patenkina specifinį tinklo administratorių poreikį. Išplėstinis potinklio skaičiuoklė ir „SolarWinds TFTP“ serveris yra du puikūs šių nemokamų įrankių pavyzdžiai.
Kalbant apie „SolarWinds“ žurnalų ir renginių tvarkyklė (LEM), būtent tai reiškia jo pavadinimas. Įrankis yra toks turtingas, kad daugelis jo laiko visaverčiu saugos informacijos ir įvykių valdymo įrankiu. Stebint ir tvarkant žurnalus, greičiausiai, tai yra vienas įdomiausių žurnalų valdymo įrankių, kurį galite rasti. Jis turi labai naudingas žurnalo valdymo ir koreliacijos funkcijas, taip pat įspūdingą ataskaitų teikimo variklį.

- NEMOKAMAS BANDYMAS: „SolarWinds“ žurnalų ir renginių tvarkyklė
- Parsisiuntimo nuoroda: https://www.solarwinds.com/log-event-manager-software/registration
Į „SolarWinds“ žurnalų ir renginių tvarkyklė gali padėti pagerinti saugumą ir atitiktįaptikti įtartiną veiklą ir greičiau nustatyti grėsmes nustatant įtartiną veiklą įvykio metu. Priemonę taip pat galite naudoti vykdydami saugumo įvykių tyrimus ir kriminalistiką, kad sumažintumėte ir laikytumėtės. Dėl šios savybės daugelis mano, kad produktas yra SIEM įrankis. Be to, ši priemonė padeda pasirengti laikytis normų. Galite naudoti ją norėdami įrodyti atitiktį, naudodamiesi audito patikrintomis ataskaitomis apie HIPAA, PCI DSS, SOX, DISA STIG ir dar daugiau.
Į „SolarWinds“ žurnalų ir renginių tvarkyklėReagavimo į įvykius funkcijos nepalieka niekonorima. Išsami realaus laiko reagavimo sistema aktyviai reaguos į kiekvieną grėsmę. Remimasis elgesiu, o ne parašo analize reiškia, kad jūs netgi esate apsaugoti nuo nežinomų ar būsimų grėsmių. Bet turbūt geriausias jo įrankis yra prietaisų skydelis. Naudodamiesi paprastu dizainu, jums nebus sunku greitai nustatyti anomalijas.
Kainos už „SolarWinds“ žurnalų ir renginių tvarkyklė remiasi stebimų mazgų skaičiumi. Galimos įvairaus lygio licencijos nuo 30 iki 2500 mazgų, kurių kaina prasideda nuo 4 665 USD. Jei norite išbandyti produktą prieš pirkdami, galite atsisiųsti nemokamą visiškai funkcionalią 30 dienų bandomąją versiją.
2. „SolarWinds“ „Orion“ žurnalų tvarkyklė (Nemokamas bandymas)
Kitas mūsų sąraše yra kitas „SolarWinds“ produktas, vadinamas „Orion“ žurnalų tvarkytojas. „Orion“, jei dar nesate susipažinęs„SolarWinds“ produktai prieš keletą metų buvo aukščiausia bendrovės platforma. Tai vis dar yra architektūra, ant kurios yra pastatyta daugelis geriausių „SolarWinds“ gaminių. Jei naudojate kurį nors iš tinklo našumo monitorių, „NetFlow“ srauto analizatorių, tinklo konfigūracijos tvarkytuvę, virtualizacijos tvarkyklę, serverio ir programų monitorių ar saugyklų išteklių stebėjimo prietaisą, naudojate „Orion“.

- NEMOKAMAS BANDYMAS: „Orlar“ „SolarWinds“ žurnalų tvarkyklė
- Parsisiuntimo nuoroda: https://www.solarwinds.com/log-manager-for-orion-software/registration
Į „Orlar“ „SolarWinds“ žurnalų tvarkyklė prideda žurnalo valdymo galimybes bet kuriai išOrion pagrįstos stebėjimo ir valdymo priemonės. Apibendrinant galima pasakyti, kad produktas pasižymi galingu ir intuityviu žurnalo kaupimu, žymėjimu, filtravimu ir perspėjimu. Jos integracija su „Orion“ platformos produktais suteikia vieningą vaizdą apie IT infrastruktūros stebėjimą ir susijusius žurnalus. Produktas buvo sukurtas bendradarbiaujant su tinklų ir sistemų inžinieriais, siekiant įsitikinti, kad jų problemos ir kaip jas išspręsti yra suprantamos.
Nepaisant integracijos su „Orion“ platforma, Žurnalų tvarkyklė gali būti įdiegtas pats ir nereikalaujabet kurį kitą įdiegiamą „Orion“ įrankį. Kainos prasideda nuo 1 495 USD ir yra prieinama nemokama 30 dienų bandomoji versija, jei norite išbandyti produktą ir pamatyti, kaip jis atitinka jūsų poreikius.
3. „PaperTrail“ (Galimas nemokamas planas)
Kitas yra dar vienas SolarWinds produktas, vadinamas Papertrail. Šis labai skiriasi nuo ankstesniodu, kadangi tai yra debesies pagrindu sukurta programinės įrangos kaip paslaugos („SaaS“) teikimo galimybė. Galingas įrankis jau buvo populiarus, kai „SolarWinds“ jį įsigijo prieš kelerius metus. Tai kaupia daugybės produktų, tokių kaip „Apache“ ar „MySQL“, taip pat „Ruby on Rails“ programų, kelių debesies prieglobos paslaugų ir kitų standartinių teksto žurnalų failus, žurnalų failus.

- Registruotis čia: https://papertrailapp.com/plans
Norėdami padėti diagnozuoti klaidas ir našumo problemas, galite naudoti Papertrail labai efektyvi ir žaibiška paieškos sistemakuriame galima ieškoti tiek saugomuose, tiek srautiniuose žurnaluose. Produktas integruojamas su keliais kitais „SolarWinds“ produktais, tokiais kaip „Librato“ ir „Geckoboard“, kad būtų galima grafikuoti rezultatus. Papertrail taip pat lengvai įgyvendinamas, naudojamas ir suprantamas. Tai suteiks jums greitą visų sistemų matomumą per kelias minutes.
Papertrail galima pagal kelis planus, įskaitant nemokamąplanas. Tai šiek tiek ribota ir leidžiama tik 50 MB žurnalų kiekvieną mėnesį. Tačiau per pirmąjį mėnesį tai leis 16 GB žurnalų, o tai prilygsta nemokamo ir neriboto 30 dienų bandomojo laikotarpio suteikimui. Mokami planai prasideda nuo 7 USD / mėn. Už 1 GB / mėn. Žurnalų, 1 metų archyvo ir 1 savaitės indeksą. 75 USD / mėn. Planas su 8 GB žurnalų yra pats populiariausias. Triukšmo filtravimas leidžia įrankiui išsaugoti duomenis neišsaugant nenaudingų žurnalų.
4. PRTG tinklo monitorius
Į PRTG tinklo monitorius „Paessler AG“ yra integruotas viskas vienamestebėjimo sistema, kuri gali būti naudojama beveik bet ko stebėjimui dėl sumanios jutikliais pagrįstos architektūros. Viena geriausių šio produkto savybių yra jo nustatymo greitis. Anot Paessler, PRTG tinklo monitorius gali būti nustatytas per kelias minutes. Nors tai gali būti ne taip greitai visiems, vis dėlto tai yra vienas iš lengviausių ir greičiausių stebėjimo įrankių, iš dalies dėka jo automatinio aptikimo proceso.
Į PRTG tinklo monitorius yra daug funkcijų turintis produktas. Iš esmės tai yra tinklo stebėjimo įrankis, kuris naudoja SNMP apklausai atlikti ir jų sąsajų panaudojimui chronologinėse diagramose parodyti. Tačiau naudojant papildomus jutiklius PRTG gali stebėti beveik viską. Jutikliai yra šiek tiek panašūs į priedus, išskyrus tai, kad jie yra kartu su produktu. Taip pat yra įvairių serverių, paslaugų ir programų jutiklių. Iš viso gaminyje yra daugiau nei 200 jutiklių.
Stebėti ir valdyti žurnalą yra du skirtingi jutikliai. Įvykių žurnalo „Windows“ API jutiklis fiksuoja visus „Windows“ žurnalo pranešimusgeneruoja. Šis jutiklis stebi žurnalų, o ne jų turinį, greitį ir generuoja aliarmą, jei įvykių žurnalo pranešimų dažnis pasiekia kritinę ribą.

Kitas įdomus jutiklis „Syslog“ imtuvas jutiklis, priima, stebi ir išsaugo „syslog“pranešimai iš bet kurio įrenginio. Vis dėlto tai nebus vien tik žurnalų iš įvairių šaltinių kaupimas. Jo stebėjimo funkcija suaktyvins pavojaus signalus, kai tik atsiranda nerimą keliančios sąlygos, pavyzdžiui, padidėja žurnalų priėmimo greitis.
Į PRTG tinklo monitorius yra dviejų versijų. Nemokama versija yra visavertė, tačiau ji apribos jūsų stebėjimo galimybes iki 100 jutiklių. Kai naudojamas SNMP, kiekvienas stebimas parametras laikomas vienu jutikliu. Pvz., Jei stebėsite dvi maršrutizatoriaus sąsajas, tai bus laikoma dviem jutikliais. Kiekvienas konkretaus stebėjimo jutiklio egzempliorius taip pat laikomas vienu. Jei jums reikia daugiau nei 100 jutiklių, turėsite įsigyti licenciją, kuri prasideda nuo 1 600 USD už 500 jutiklių. Galima įsigyti nemokamą, neribotą jutiklių ir pilną 30 dienų bandomąją versiją.
5. „ManageEngine EventLog“ analizatorius
„ManageEngine“ yra dar vienas žinomas tinklo administravimo įrankių kūrėjas tarp IT specialistų. Bendrovė siūlo žurnalų valdymo sistemą, vadinamą „ManageEngine EventLog“ analizatorius. Produktas renka, tvarko, analizuoja, koreliuoja ir ieško daugiau nei 700 šaltinių žurnalų duomenų naudodamas kombinuotą arba agentų neturintį ir agentais pagrįstą žurnalų rinkinį, taip pat žurnalų importą.

Į „ManageEngine EventLog“ analizatoriusTalpa yra įspūdinga. Tai gali apdoroti žurnalo duomenis iki 25 000 žurnalų per sekundę greičiu ir aptikti išpuolius realiu laiku. Įrankis taip pat gali greitai atlikti kriminalistinę analizę ir taip sumažinti galimą pažeidimo poveikį. Sistemos audito galimybės apima tinklo perimetro įrenginių žurnalus, vartotojo veiksmus, serverio paskyros pakeitimus, vartotojo prieigas ir dar daugiau - tai padeda patenkinti saugumo audito poreikius.
Įrankio realaus laiko įvykių žurnalo koreliacijaakimirksniu aptinka išpuolių bandymus ir atsekia galimas saugumo grėsmes, koreliuodamas žurnalo duomenis su daugiau nei 30 iš anksto nustatytų taisyklių, kad aptiktų brutalios jėgos išpuolius, paskyros blokavimo atvejus, duomenų vagystes, žiniatinklio serverio išpuolius ir daugelį kitų. Jame taip pat yra pasirinktinis žurnalo analizatorius, galintis išgauti laukus iš bet kokio žmonėms suprantamo žurnalo formato. Gaminyje tikrai yra viena konsolė, leidžianti peržiūrėti visus jūsų saugos žurnalo duomenis.
Į „ManageEngine EventLog“ analizatorius yra nemokamame leidime, kuriam pritaikyta mažiau funkcijųkuris palaiko tik 5 žurnalų šaltinius arba „premium“ leidime, kuris prasideda nuo 595 USD ir skiriasi atsižvelgiant į įrenginių ir programų skaičių. Taip pat galima įsigyti nemokamą, pilną 30 dienų bandomąją versiją.
6. „Greylog“
„Greylog“ yra nemokama, atvirojo kodo žurnalų valdymo platformasu daugybe įdomių funkcijų. Įrankis gali išanalizuoti ir praturtinti žurnalus ir įvykių duomenis iš beveik bet kurio duomenų šaltinio. Jo apdorojimo vamzdynai suteikia tam tikro lankstumo maršrutizuojant, įtraukiant juodąjį sąrašą, keičiant ir praturtinant pranešimus realiuoju laiku. Įrankis ieškos terabaitų žurnalo duomenų, kad surastų ir išanalizuotų svarbią informaciją. Galinga ir gana unikali paieškos sintaksė leidžia rasti būtent tai, ko ieškote.

Su „Greylog“, turite galimybę kurti tinkintusinformacijos suvestinės, kurios leidžia vizualizuoti konkrečią metriką ir stebėti tendencijas iš vienos centrinės vietos. Norėdami naudoti gilesnę duomenų analizę, galite naudoti lauko statistiką, greitas reikšmes ir diagramas iš paieškos rezultatų puslapio. Be to, produktas siūlo parinktį suaktyvinti veiksmus arba pranešti apie įvykius, tokius kaip nepavykusys prisijungimo bandymai, išimtys ar veiklos pablogėjimas.
„Greylog“ galima kaip nemokamą ir atvirą šaltinįribota versija, kuri taip pat turi ribotą palaikymą. Taip pat yra įmonės versija su išplėstinėmis funkcijomis ir neribotu palaikymu. Tai taip pat nemokama iki 5 GB žurnalų per dieną. Priklauso nuo to, koks didelis ir užimtas jūsų tinklas. To gali pakakti jūsų poreikiui. Licencijos ir palaikymo kainas galite sužinoti susisiekę „Greylog“ pardavimai.
7. „WhatsUp Log Management Suite“
Į „WhatsUp Log Management Suite“ yra puikus „Ipswitch“ įrankis. „Ipswitch“, ar reikia jums tai priminti, yra bendrovė, už kurios populiarų tinklo stebėjimo įrankį „WhatsUp Gold“. Tai yra automatinis įrankis, kuris kaupia, saugo, archyvuoja ir išsaugo sistemos žurnalus, „Windows“ įvykius ir W3C / IIC žurnalus. Tai nėra vien tik žurnalų ir įvykių kaupimas, tačiau nuolatinis žurnalo stebėjimas ir analizė įspės apie bet kokią nenormalią veiklą.

Į „WhatsUp Log Management Suite“ stebės dažnai audituojamus įvykius, tokius kaipprieigos teises ir failų, aplankų ir objektų privilegijas ir, jei reikia, generuoti įspėjimus. Jis taip pat naudoja surinktus renginius HIPAA, SOX, FISMA, PCI, MiFID ar „Basel II“ atitikties ataskaitų sudarymui. Ši programinė įranga taip pat gali padėti jūsų neapdorotus žurnalo duomenis paversti reikšminga informacija valdytojams ar IT saugos komandoms, naudojant galingas automatines filtravimo, koreliacijos, ataskaitų teikimo ir konvertavimo funkcijas.
Į „WhatsUp Log Management Suite“ iš tikrųjų yra programų rinkinys, kurį sudaro šios priemonės:
- Renginių archyvas: Šis įrankis automatizuoja žurnalų rinkimą, išvalymą ir konsolidavimą.
- Įvykio aliarmas: Įrankis, skirtas stebėti žurnalų failus ir realiu laiku gauti pranešimus apie svarbiausius įvykius.
- Renginių analitikas: Analizuoja ir teikia ataskaitas apie žurnalų duomenis ir tendencijas; automatiškai paskirsto ataskaitas vadovybei, saugumo pareigūnams, auditoriams ir kitoms suinteresuotosioms šalims.
- Renginių „Rover“: Vieninga konsolė, skirta nuodugniai kriminalistikai visuose serveriuose ir darbo vietose, siekiant padidinti efektyvumą ir sutaupyti laiko.
Informacija apie kainodarą Žurnalų tvarkymo rinkinys nėra lengvai prieinamas iš „Ipswitch“. Produktą galima įsigyti tiesiogiai iš leidėjo arba per „Ipswitch“ perpardavėjų tinklą. Žinoma, taip pat yra nemokama bandomoji versija.
8. LogDNA
Sakoma, kad „LogDNA“ yra „greičiausia, intuityviausia ir ekonomiškiausia žurnalų valdymo sistema“. Tai paprastai būna tiesa. Nuo pat pradžių produkto diegimas užtrunka tik keletą minučių, kad galėtumėte pradėti rinkti ir stebėti žurnalus. Nesvarbu, kaip sugeneruojami ir perduodami žurnalai, produkte yra šimtai pasirinktinių integravimo schemų, kurios padės centralizuoti žurnalus vienoje vietoje.

„LogDNA“ galima naudoti debesies pagrindu arbasavarankiška versija, atsižvelgiant į jūsų pageidavimus. Tai labai keičiamas produktas, galintis valdyti šimtus tūkstančių žurnalų per sekundę ir keliasdešimt terabaitų per dieną, kartu užtikrindamas maksimalų saugumą ir realiojo laiko žurnalų analizę. Bendrovė ir jos produktai yra suderinami su SOC2, PCI ir HIPAA, taip pat yra sertifikuoti „Privacy Shield“.
„LogDNA“ paprastas „mokėti už GB“ kainų nustatymo modelispašalina sutartis ir fiksuotų duomenų paskirstymą, o tai yra viena mažiausių visų mokamų žurnalų stebėjimo ir tvarkymo sprendimų nuosavybės išlaidų. Yra keletas prenumeratos planų, turinčių vis daugiau funkcijų. Žemiausios pakopos planas yra nemokamas, o mokamų planų kainos svyruoja nuo 1,50 USD / GB / mėn. Iki 3 USD / GB / mėn., Priklausomai nuo išlaikymo trukmės ir vartotojų skaičiaus. Taip pat galima įsigyti nemokamą, pilną ir neribotą 14 dienų bandomąją versiją.
Komentarai