Dabartinės sistemos generuoja labai daug žurnalųduomenys, nenuostabu, kad administratoriai visada ieško žurnalo valdymo sprendimų. Pagal numatytuosius nustatymus žurnalai dažnai saugomi vietoje. Tai prasminga, nes juos lengva susieti su jų šaltiniu. Tačiau bandydami pašalinti triktis ir rasti jų pagrindinę priežastį, kartais turime ieškoti kelių žurnalų failų, esančių daugelyje įrenginių. Ar nebūtų puiku, jei visi visų įrenginių žurnalai būtų saugomi vienoje, centralizuotoje vietoje? Tai yra žurnalo tvarkymo tikslas. Ir jei jūsų pasirinkta platforma yra „Linux“, yra daugybė galimybių. Skaitykite toliau, kai atrasime geriausią „Linux“ žurnalo tvarkymą
Pradėsime apibrėždami žurnalo valdymą. Pamatysite, kad tai gali būti daug daugiau nei tik centralizuota žurnalo saugykla. Toliau aptarsime įvairias registravimo technologijas. Jie yra kertinis žurnalo tvarkymo akmuo ir greičiausiai be jų nebūtų. Tęsdami mes atskirtume „syslog“ serverius nuo žurnalų valdymo sistemų ir suprasime, kad tarp jų nėra aiškių atskyrimų. Toliau trumpai pristabdysime ir aptarsime saugos informacijos ir įvykių valdymo sistemas. Tai yra kitas sistemos tipas, kuris dažnai painiojamas su žurnalų valdymu dėl šiek tiek neaiškių kiekvienos jų apibrėžimų. Galiausiai apžvelgsime geriausią „Linux“ žurnalo tvarkymą.
Kas yra žurnalo valdymas?
Prieš pradėdami kalbėti apie žurnalo valdymą, pažiūrėkimeapibrėžkite, kas yra žurnalas. Paprasčiau apibrėžtas žurnalas yra automatiškai parengtas ir laiko pažymėtas įvykio, susijusio su konkrečia sistema, dokumentas. Kitaip tariant, kai įvykis įvyksta sistemoje, sugeneruojamas žurnalas. Sistemos ir įrenginiai generuos įvairių tipų įvykių žurnalus, o daugelis sistemų administratoriams suteikia tam tikrą laipsnį kontrolės, kuris įvykis generuoja žurnalą, o kuris ne.
Kalbant apie žurnalo valdymą, tai paprasčiausiaprocesai ir strategijos, naudojamos administruoti ir palengvinti didelių žurnalo duomenų generavimą, perdavimą, analizę, saugojimą, archyvavimą ir galimą sunaikinimą. Nors tai nėra aiškiai pasakyta, žurnalų valdymas reiškia centralizuotą sistemą, kurioje renkami žurnalai iš kelių šaltinių. Vis dėlto žurnalo valdymas nėra vien tik žurnalo rinkimas. Svarbiausia yra valdymo dalis. Žurnalų valdymo sistemos dažnai turi keletą funkcijų, rinkdamos žurnalus yra tik viena iš jų.
Kai tik žurnalus gauna žurnalų valdymassistemos, jie turi būti standartizuoti į bendrą formatą, nes skirtingi sistemos formato žurnalai skiriasi ir apima skirtingus duomenis. Kai kurie pradeda žurnalą su data ir laiku, kiti pradeda nuo įvykio numerio. Kai kuriuose yra tik įvykio ID, o kituose pateikiamas visas įvykio aprašymas. Vienas iš žurnalų valdymo sistemų tikslų yra užtikrinti, kad visi surinkti žurnalo įrašai būtų saugomi vienoda forma. Tai žymiai palengvins įvykių koreliaciją ir galimą paiešką.
Net koreliacija ir paieška yra dvi papildomospagrindinės kelių žurnalų valdymo sistemų funkcijos. Geriausi iš jų turi galingą paieškos variklį, leidžiantį administratoriams tiksliai nustatyti, ko jiems reikia. Koreliacijos funkcijos automatiškai sugrupuos susijusius įvykius, net jei jie yra iš skirtingų šaltinių. Kaip ir kaip sėkmingai įgyvendinama skirtinga žurnalų valdymo sistema, tai yra pagrindinis skiriamasis faktorius.
TAIP PAT SKAITYKITE: 15 geriausių tinklo stebėjimo įrankių (mūsų pačių apžvalga)
Medienos ruošos technologijos
Žurnalų tvarkymas būtų daug sunkesnis,galbūt net neįmanoma, jei tai nebūtų skirta protokolams registruoti. Keletas iš jų egzistuoja. Jie nusako, kokie duomenys turi būti įtraukti į žurnalus, kaip jie turėtų būti suformatuoti, o kartais - kaip juos perduoti iš vienos sistemos į kitą.
„Syslog“ yra tikriausiai labiausiai naudojamas registravimasprotokolą, ypač „Linux“ pasaulyje. Ši technologija buvo išrasta aštuntojo dešimtmečio pradžioje ir tapo de facto visų „Unix“ tipo sistemų standartu. Vienas didžiausių „syslog“ technologijos pranašumų yra tai, kaip ji palengvina atskyrimą tarp sistemos ar programinės įrangos, kuri sukuria žurnalus, nuo sistemos, kuri juos saugo, nuo programinės įrangos, kuri juos praneša ir analizuoja. Naudojant „Syslog“ technologiją, žurnalo tvarkymas tampa daug lengvesnis. „Syslog“ nėra išskirtinis „Unix“. Daugelis ne Unix prietaisų, tokių kaip jungikliai, maršrutizatoriai ir visa daugelio pardavėjų įranga, naudoja „syslog“ protokolo variantą.
Yra ir kitos registravimo technologijos. Pvz., „Microsoft Windows“ naudoja kitą registravimo sistemą. Tai gali būti susiję su tuo, kad „Windows“ operacinės sistemos ir programos turi žurnalus, kuriuose paprastai yra išsamesnės informacijos, nei leidžia „Syslog“ technologija. Laimei, „Windows Event Collector“ funkcijos yra priemonė žurnalo valdymui, kurią įvairios sistemos gali naudoti įvykiams iš „Windows“ kompiuterių gauti. Šis įrašas yra apie „Linux“ žurnalo valdymą, todėl nešvaistykime per daug laiko „Windows“.
Nesvarbu, kokia medienos ruošos technologija yra naudojama, ansvarbi žurnalo valdymo dalis yra įrenginių konfigūravimas siųsti savo žurnalus į valdymo sistemą. Kitų tipų įrankiai, tokie kaip tinklo stebėjimo sistemos, gali gauti duomenis iš jų stebimų sistemų, tačiau naudojant žurnalų valdymą kiekvienam įrenginiui turi būti nurodyta, kur siųsti savo žurnalus. Tačiau tai gana paprasta užduotis, kuri dažnai atliekama išleidus paprastą komandą.
PAPILDOMA LITERATŪRA: Geriausia tinklo diagramų žemėlapių sudarymo ir topologijos programinė įranga
Prisijungti serveriai ar žurnalo valdymas?
Nuo tada, kai jis buvo prieinamas visose „Unix“ tipo sistemoseSistema, įskaitant „Linux“, gana ilgą laiką „Syslog“ dažnai naudojama kaip žurnalo serveris, kai vienas kompiuteris gauna „Syslog“ duomenis iš kitų. Nors toks centralizuotas žurnalų saugojimas turi aiškių pranašumų, neužtenka vien vadinti žurnalų valdymą.
Norėdami nusipelnyti žurnalo valdymo sistemos pavadinimą, aProduktas turi apimti bent keletą sudėtingesnių funkcijų. Anot Vikipedijos, „žurnalų valdymą sudaro šios funkcijos: žurnalų rinkimas, centralizuotas žurnalo kaupimas, ilgalaikis žurnalo saugojimas ir saugojimas, žurnalo kaitaliojimas, žurnalo analizė, žurnalo paieška ir ataskaitų teikimas“. Oho! Tai labai daug funkcijų. Žurnalų serveriai, atvirkščiai, dažnai siūlo tik žurnalų rinkimą ir saugojimą ir retai daugiau.
Žodis (arba du) apie SIEM
Kita populiari technologija, kuri yra susijusisu žurnalais ir dažnai painiojama su žurnalų valdymo sistemomis yra saugos informacijos ir įvykių valdymas arba SIEM. Tai skiriasi nuo žurnalo tvarkymo, tačiau yra glaudžiai susijusi. Tarp jų yra tokia plona linija, kad kai kurie produktai, reklamuojami kaip žurnalų valdymo sistemos, iš tikrųjų yra SIEM sistemos, o kai kurios pagrindinės SIEM sistemos yra ne kas kita, kaip pažangios žurnalų valdymo sistemos.
Sumišimas kyla iš to, kad žurnalasvaldymas arba bent jau žurnalo analizė yra svarbi SIEM sistemų sudedamoji dalis. SIEM sistemas išskiria tai, kad jos vykdo žurnalų analizę, siekdamos nustatyti saugumo problemas. Pavyzdžiui, jie ieškos nesėkmingų prisijungimų požymių, kurie galėtų būti neleistino bandymo įsilaužti signalinis signalas. Šios sistemos nuolatos tikrina žurnalo įrašus ieškodamos nieko neįprasto. Nors kai kurios SIEM sistemos apima plačias žurnalų tvarkymo funkcijas, kai kurios naudoja išorinę žurnalo tvarkymo sistemą, ir nėra neįprasta matyti abi sistemas veikiančias viena šalia kitos.
SUSIJUSIAS SVARSTYMAS: Geriausi IP skeneriai, skirti „Mac“
Geriausias „Linux“ žurnalo valdymas
Tikimės, kad dabar turime bendrą supratimą apiekas yra žurnalo valdymas, o kas ne. Taigi, pažiūrėkime, ką galima rasti „Linux“. Bet pirmiausia paaiškinkime ką nors. Kai kalbame apie „Linux“ žurnalų valdymą, turime omenyje žurnalo valdymo sistemas, kurios talpina „Linux“ žurnalus ir kurios bus vykdomos „Linux“ platformoje arba „debesyje“. Kai kurie mūsų pasirinkimai, ypač debesies pagrindu veikiančios sistemos, taip pat veiks su kitų platformų žurnalais.
1. „SolarWinds Papertrail“ (NEMOKAMAS PLANAS)
„Saulės vėjai“ tapo namų ūkio vardu tarp tinkloadministratoriai. Tai daro keletą geriausių įrankių beveik 20 metų, suteikdami mums puikius pralaidumo stebėjimo įrankius ir vieną geriausių „NetFlow“ analizatorių bei kolekcionierių. Bendrovė taip pat yra gerai žinoma, kad išleido keletą nemokamų įrankių, tenkinančių tam tikrus tinklo administratorių poreikius, tokius kaip potinklio skaičiuoklė ar „syslog“ serveris.
- NEMOKAMAS PLANAS: „SolarWinds Papertrail“
- Oficiali atsisiuntimo nuoroda: https://papertrailapp.com/plans
Ne taip seniai „Saulės vėjai“ įgytas Papertrail, populiari žurnalo valdymo sistema. Tai kaupia daugelio populiarių produktų, tokių kaip „Apache“ ar „MySQL“, taip pat „Ruby on Rails“ programų, skirtingų debesies prieglobos paslaugų ir kitų standartinių „syslog“ ir teksto pagrindu sukurtų žurnalų failus, žurnalų failus. Papertrail vartotojai gali naudotis žiniatinklio paieškos sąsajaarba komandinės eilutės įrankiai, skirti ieškoti šių failų, siekiant padėti diagnozuoti įvairias problemas. „Papertrail“ taip pat integruota su kitais „SolarWinds“ produktais, tokiais kaip „Librato“ ir „Geckoboard“, kad būtų galima grafikuoti rezultatus.
Papertrail yra debesies pagrindu sukurta programinė įranga kaip paslauga („SaaS“)siūlo iš „SolarWinds“. Būti debesies pagrindu reiškia, kad jis puikiai veiks aplinkoje, kurioje viskas veikia „Linux“. Platformą lengva įdiegti, naudoti ir suprasti, ir ji suteiks jums tiesioginį visų sistemų matomumą per kelias minutes. Be to, produktas turi labai veiksmingą paieškos variklį, kuris gali ieškoti tiek saugomuose, tiek srautiniuose žurnaluose. Ir žaibiškai greitai.
Papertrail galima pagal kelis planus, įskaitant nemokamąplanas. Tačiau jis yra šiek tiek ribotas ir leidžia tik 100 MB žurnalų kiekvieną mėnesį. Tačiau per pirmąjį mėnesį tai leis 16 GB žurnalų, o tai reiškia, kad jums bus suteiktas nemokamas 30 dienų bandomasis laikotarpis. Mokami planai prasideda nuo 7 USD / mėn. Už 1 GB / mėn. Žurnalų, 1 metų archyvo ir 1 savaitės indeksą. Triukšmo filtravimas leidžia įrankiui išsaugoti duomenis neišsaugant nenaudingų žurnalų.
2. Loggly
Loggly yra dar viena debesijos pagrindu sukurta internetinė paslauga. Visų pirma, žurnalų konsolidavimas, jis taip pat siūlo žurnalų analizės funkcijas. Kadangi tai yra debesų pagrindu sukurta sistema, jai nereikia diegti ir ji yra pasirengusi naudoti jūsų užsisakytą minutę. Žinoma, jūsų sistemos ir įrenginiai turės būti sukonfigūruoti taip, kad periodiškai įkeltų įprastus žurnalo failus į internetinį serverį.
- NEMOKAMAS BANDYMAS: Loginiai planai
- Oficiali nuoroda: https://www.loggly.com
Loggly tada konvertuoja gautus žurnalo duomenis įstandartinis formatas, leisdamas analizatoriui apdoroti įrašus iš įvairių šaltinių ir įgalindamas įvykių stebėjimą bei koreliaciją visose sistemose, nepriklausomai nuo jų operacinės sistemos ar registravimo technologijos. Žurnalo duomenų šaltiniai yra ne tik jūsų vietiniai serveriai. Sistema, be abejo, gali apdoroti internetinių serverių, tokių kaip „Amazon“ AWS, sugeneruotus žurnalus, ir ji gali apimti pranešimus, sukurtus konkrečiose programose, tokiose kaip „Docker“ ir „Logstash“, kad tik paminėčiau keletą.
Į Loggly paslauga teikiama pagal tris skirtingus planus,didėjant duomenų tvarkymo apribojimams ir saugojimo laikams. Turite pasirinkti tinkamą, kad suteiktumėte pakankamai vietos savo žurnalo duomenims. Pradinio lygio planas vadinamas Loggly Lite. Tai nemokama naudoti. Pagal šį planą galite įkelti 200 MB žurnalo duomenų per dieną, o sistema kiekvieną įrašą saugos septynias dienas. Kitas yra standartinis planas, kuris suteikia jums 1 GB įkėlimo pašalpą per dieną ir įrašus saugo 30 dienų. Apmokėti planai taip pat leidžia naudoti kelias vartotojo paskyras. Naudodami standartinį paketą, galite turėti tris vartotojo abonementus. Aukščiausia pakopa vadinama Loggly Įmonės. Naudotojų paskyrų, kurias galite nustatyti, skaičius neribojamas, o kainos skiriasi priklausomai nuo įkeliamos talpos dydžio ir reikalingo saugojimo laikotarpio. Už visus apmokamus planus galima mokėti kas mėnesį arba kasmet, o standartiniame plane galima nemokamai naudotis 14 dienų bandomąja versija.
3. Splunk
Splunk yra gerai žinomas sistemos administravimo srityjebendruomenė - išsami žurnalo valdymo sistema, skirta „Linux“, „Mac OS“ ir „Windows“. Ne tik pagrindinė žurnalo valdymo sistema, kai kurie mano, kad tai yra visavertė įsilaužimo prevencijos sistema. Gaminys yra trijų versijų. Viršuje yra „Splunk“ įmonė o tai daugiau tinklo valdymo sistema, o ne tik žurnalo valdymo įrankis. Kainos prasideda nuo 173 USD per mėnesį ir jūs gaunate daug funkcijų.
Taip pat yra nemokama Splunk kuri iš esmės yra ta pati priemonė be kai kuriųpažangiausias jo funkcijas. Iš esmės tai apsiriboja žurnalo failų analize. Galite įterpti bet kurį iš savo standartinių žurnalo failų arba siųsti tiesioginius duomenis per failą į analizatorių. Nemokama versija turi keletą apribojimų. Pavyzdžiui, ji gali turėti tik vieną vartotojo abonementą, o jos duomenų pralaidumas ribojamas iki 500 MB žurnalų per dieną. Duomenų rūšiavimo ir filtravimo funkcijos yra integruotos į „Splunk“ - tai palengvina trikčių šalinimą. Šias funkcijas galite naudoti norėdami dalyti žurnalo įrašus pagal datą ir rašyti kiekvieną grupę į naujus failus. Tiesą sakant, ši funkcija yra labai lanksti.
4. „Nagios Log Server“
Nagios yra geriausiai žinomas dėl savo puikios tinklo stebėjimo programinės įrangos, tačiau jo prisijungimo serveris yra toks pat įdomus. Produktas yra tiesiog vadinamas „Nagios Log Server“ ir siūlo centralizuotą žurnalų valdymą,stebėjimas ir analizė. Šis įrankis gali labai palengvinti jūsų žurnalo duomenų paiešką. Tai taip pat leidžia nustatyti perspėjimus, kad būtų pranešama apie galimas grėsmes. Be to, programinė įranga yra lengvai prieinama ir joje įdiegta gedimų sistema. Be to, nesudėtingi šaltinio sąrankos vedliai padės greitai sukonfigūruoti serverius, kad jie galėtų siųsti visus žurnalo duomenis ir per kelias minutes pradėti stebėti žurnalus.
Į „Nagios Log Server“ leidžia lengvai koreguoti žurnalo įvykiusvisuose serveriuose vos keliais paspaudimais. Sistema leis jums žiūrėti žurnalo duomenis realiuoju laiku, suteikiant galimybę analizuoti ir spręsti problemas iškilus problemoms. Produktas pasižymi įspūdingu mastelio keitimas ir toliau patenkins jūsų poreikius, augant jūsų organizacijai. Papildomas „Nagios Log Server“ egzempliorius galima pridėti prie stebėjimo grupių, leidžiančių greitai pridėti daugiau energijos, greičio, saugyklos ir patikimumo.
Vienos instancijos kaina „Nagios Log Server“ yra 3 995 USD ir, nors nemokama bandomoji versija nėra prieinama, nemokama demonstracinė versija internete yra, jei norėtumėte iš pirmo žvilgsnio pamatyti produktą.
5. „Greylog“
Kitas mūsų sąraše yra produktas, vadinamas „Greylog“. Produktas siūlo daug įdomių funkcijų. Įrankis išanalizuos ir praturtins žurnalus ir įvykių duomenis iš bet kurio duomenų šaltinio. Jos apdorojimo vamzdynai suteikia tam tikro lankstumo maršrutizuojant, įtraukiant į juodąjį sąrašą, keičiant ir praturtinant pranešimus realiuoju laiku. „Greylog“ ieškos terabaitų žurnalo duomenų, kad surastų ir išanalizuotų svarbią informaciją. Galinga paieškos sintaksė leidžia rasti būtent tai, ko ieškote.
Su „Greylog“, galite sukurti informacijos suvestines, kad vizualizuotumėte metrikąir stebėkite tendencijas vienoje centrinėje vietoje. Norėdami naudoti gilesnę duomenų analizę, galite naudoti lauko statistiką, greitas vertes ir diagramas iš paieškos rezultatų puslapio. Sistema taip pat turi galimybę suaktyvinti veiksmus arba pranešti apie įvykius, tokius kaip nesėkmingi prisijungimo bandymai, išimtys ar veiklos pablogėjimas.
„Greylog“ yra nemokama, atvirojo kodo žurnalo failais pagrįsta sistema, kurigali suteikti jums daug daugiau funkcijų nei tik žurnalų archyvavimo įrankis. Šis žurnalo analizatorius turi grafinę vartotojo sąsają ir gali veikti Ubuntu, Debian, CentOS ir SUSE Linux. Taip pat galite paleisti jį virtualioje mašinoje „Microsoft Windows“ ir „Graylog“ sistemą galite įdiegti „Amazon AWS“.
6. „ManageEngine EventLog“ analizatorius
„ManageEngine“, dar vienas bendras tinklo administratoriaus vardas, sukuria puikią žurnalo valdymo sistemą, vadinamą „ManageEngine EventLog“ analizatorius. Produktas rinks, valdys, analizuos, koreliuos ir ieškos daugiau nei 700 šaltinių žurnalų duomenų, naudodamas agentų neturinčių ir agentais pagrįstų žurnalų rinkinių derinį, taip pat žurnalų importą.
Greitis yra vienas iš „ManageEngine EventLog“ analizatoriusStiprybė. Tai gali apdoroti žurnalo duomenis įspūdingu 25 000 žurnalų per sekundę greičiu ir aptikti išpuolius realiuoju laiku. Jis taip pat gali greitai atlikti kriminalistinę analizę, kad sumažintų pažeidimo poveikį. Sistemos audito galimybės apima tinklo perimetro įrenginių žurnalus, vartotojo veiklą, serverio paskyros pakeitimus, vartotojo prieigas ir dar daugiau - tai padeda patenkinti saugumo audito poreikius.
Į „ManageEngine EventLog“ analizatorius yra nemokamame leidime, kuriam pritaikyta mažiau funkcijųkuris palaiko tik 5 žurnalų šaltinius arba „premium“ leidime, kuris prasideda nuo 595 USD ir skiriasi atsižvelgiant į įrenginių ir programų skaičių. Taip pat galima įsigyti nemokamą, pilną 30 dienų bandomąją versiją.
Komentarai