Mūsdienu sistēmas rada daudz mežizstrādesdati. Daudzās platformās katrs notikums, neatkarīgi no tā, vai tas ir svarīgi vai nav, tiek kaut kur reģistrēts. Parasti žurnālus glabā lokāli. Tam ir jēga, jo žurnāli ir saistīti ar to avotu. Mēģinot novērst problēmas un atrast to galveno cēloni, tas bieži nozīmē, ka daudzās ierīcēs mums ir jāskatās uz vairākiem žurnālfailiem. Vai nebūtu jauki, ja visi žurnāli no visām ierīcēm tiktu glabāti vienā vietā? Žurnāla pārvaldība ir tas un vēl daudz vairāk, kā jūs gatavojaties uzzināt. Un šodien mēs pārskatām top žurnālu pārvaldības sistēmas.
Mēs sāksim, mēģinot izskaidrot, kāds žurnālsvadība ir. Kā redzēsit, tas var būt daudz vairāk nekā tikai žurnālu krātuves centralizēšana. Tālāk mēs runāsim par protokolu reģistrēšanu. Tas ir diezgan svarīgi, jo žurnālu pārvaldība, visticamāk, neeksistētu bez tiem. Pēc tam mēs mēģināsim atšķirt syslog serverus no žurnālu pārvaldības sistēmām. Diemžēl starp tām nav skaidru norobežojumu. Mēs sekosim diskusijai par drošības informācijas un notikumu pārvaldības sistēmām, jo tas ir vēl viens sistēmu tips, kuru bieži sajauc ar žurnālu pārvaldību, pateicoties katras sistēmas nedaudz neskaidrajai definīcijai. Visbeidzot, mēs pārskatīsim astoņas galvenās žurnālu pārvaldības sistēmas, kuras mēs varētu atrast.
Žurnāla pārvaldība - kas tas ir
Pirms mēs varam runāt par žurnālu pārvaldību, pieņemsimredzēt, kas ir žurnāls. Vienkārši definēts žurnāls ir automātiski izveidota un ar laika zīmogu saistīta notikumu dokumentācija, kas attiecas uz konkrētu sistēmu. Ikreiz, kad kāds notikums notiek sistēmā, tiek ģenerēts žurnāls. Dažādas sistēmas ģenerēs žurnālus dažādiem notikumiem, un daudzas sistēmas administratoriem ļauj zināmā mērā kontrolēt, kas ģenerē žurnālu, bet kas ne.
Kad mēs runājam par žurnālu pārvaldību, mēs esamatsaucoties uz procesiem un politikām, ko izmanto, lai administrētu un atvieglotu liela apjoma žurnāldatu ģenerēšanu, pārsūtīšanu, analīzi, glabāšanu, arhivēšanu un iespējamu iznīcināšanu. Žurnālu pārvaldība nozīmē centralizētu sistēmu, kurā tiek vākti žurnāli no vairākiem avotiem.
Bet žurnālu pārvaldība nav tikai žurnālu savākšana. Pārvaldības daļa ir vissvarīgākā. Žurnālu pārvaldības sistēmām parasti ir vairākas funkcijas, savākšanas žurnāli ir tikai viena no tām.
Kad žurnāli ir saņēmuši žurnālussistēmā, tie ir “jātulko” kopējā formātā. Dažādas sistēmas atšķirīgi formatē žurnālus un tajos iekļauj dažādus datus. Daži sāk žurnālu ar datumu un laiku, citi sāk ar notikuma numuru. Daži no tiem iekļauj tikai žurnāla ID, bet citi satur pilnu notikuma tekstuālo aprakstu. Viens no žurnālu pārvaldības sistēmu mērķiem ir nodrošināt, ka visi savāktie žurnāla ieraksti tiek glabāti vienotā formātā. Tas ievērojami atvieglos meklēšanu un notikumu korelāciju.
Runājot par meklēšanu un pat korelāciju,šī ir vēl viena svarīga daudzu žurnālu pārvaldības sistēmu funkcija. Dažās no tām ir paredzēta jaudīga meklētājprogramma, kas ļauj administratoriem precīzi noteikt nepieciešamo. Korelācijas funkcijas automātiski grupēs saistītos notikumus, pat ja tie ir no dažādiem avotiem. Kā un cik veiksmīgi tiek izpildīta atšķirīga žurnālu pārvaldības sistēma, tas ir būtisks atšķirības faktors.
Mežizstrādes protokoli
Žurnāla pārvaldība būtu daudz grūtāka, javispār iespējams, ja tas nebūtu paredzēts protokolu reģistrēšanai. Daži no tiem eksistē, kas nosaka, kādi dati jāiekļauj žurnālos, kā tie jāformatē un kā tie jāpārraida starp sistēmām.
Iespējams, ka Syslog ir visvairāk izmantotais reģistrēšanas protokols. Izgudrots astoņdesmito gadu sākumā, tas ir kļuvis par de facto standartu Unix līdzīgām sistēmām. Viens no lielākajiem syslog protokola aktīviem ir tas, kā tas atdala programmatūru, kas ģenerē žurnālus, sistēmu, kas tos glabā, un programmatūru, kas tos ziņo un analizē. Izmantojot Syslog protokolu, žurnālu pārvaldība ir daudz vienkāršāka. Daudzas ierīces, kas nav Unix ierīces, piemēram, maršrutētāju slēdži un citas daudzu pārdevēju tīkla iekārtas, izmanto syslog protokola variantu.
Kā jūs, iespējams, uzminējāt, izmanto Microsoft Windowsatšķirīga reģistrēšanas sistēma. Tas varētu būt saistīts ar faktu, ka Windows operētājsistēmām un lietojumprogrammām ir žurnāli, kas parasti satur daudz vairāk informācijas, nekā atļauj syslog. Par laimi, Windows Event Collector funkcijas nodrošina iespēju žurnālu pārvaldības sistēmām, kuras var izmantot notikumu saņemšanai no Windows resursdatoriem.
Neatkarīgi no tā, kāds reģistrēšanas protokols tiek izmantots, ansvarīga žurnāla pārvaldības daļa ir ierīču konfigurēšana, lai nosūtītu savus žurnālus uz pārvaldības sistēmu. Tas atšķiras no citiem rīkiem, piemēram, tīkla uzraudzības sistēmām, kur rīks iegūst datus no resursdatoriem.
Žurnālu serveri V žurnālu pārvaldība
Tā kā tas ir pieejams visos Unix modeļossistēmu diezgan ilgu laiku, Syslog, ja to bieži izmanto kā žurnāla serveri ar vienu datoru, kas saņem syslog datus no vairākiem citiem. Kaut arī šai centralizētai žurnālu glabāšanai ir noteiktas priekšrocības, tā nav žurnālu pārvaldība.
Lai būtu pelnījis žurnāla pārvaldības sistēmas nosaukumu, aProduktam jāietver vismaz dažas no modernākajām funkcijām. Saskaņā ar Wikipedia, žurnālu pārvaldība sastāv no šādām funkcijām: žurnālu savākšana, centralizēta žurnālu apkopošana, žurnālu ilgtermiņa glabāšana un saglabāšana, žurnālu pagriešana, žurnālu analīze, žurnālu meklēšana un ziņošana. Žurnālu serveri bieži piedāvā tikai žurnālu savākšanu un glabāšanu un reti vairāk. Katra no žurnālu pārvaldības sistēmām mūsu top sarakstā piedāvā vismaz dažas no modernākajām funkcijām.
Kā ar SIEM sistēmām?
Vēl viena populāra tehnoloģija, kas biežisaistīta ar žurnāliem un sajaukta ar žurnālu pārvaldības sistēmām, ir drošības informācija un notikumu pārvaldība jeb SIEM. Tas ir diezgan atšķirīgs no žurnālu pārvaldības, kaut arī tas ir cieši saistīts. Faktiski daži produkti, kas tiek reklamēti kā žurnālu pārvaldības sistēmas, faktiski ir SIEM sistēmas, savukārt dažas pamata SIEM sistēmas ir nekas cits kā žurnālu pārvaldības sistēmas.
Galvenais šīs neskaidrības iemesls ir šis žurnālsvadība vai vismaz žurnālu analīze ir svarīga SIEM sistēmu sastāvdaļa. Faktiski SIEM sistēmas parasti žurnālu pārvaldību pārceļ uz nākamo līmeni, procesam pievienojot nedaudz izlūkošanas. Šīs sistēmas veic žurnālu analīzi ar galveno mērķi identificēt drošības problēmas. Viņi, piemēram, meklēs neveiksmīgu pieteikšanos pazīmes, kas norādītu uz neatļautu ielaušanās mēģinājumu. Šīs sistēmas automātiski skenēs žurnāla ierakstus, meklējot kaut ko neparastu.
SIEM sistēmām ir vairāk sakara ar IT drošībunekā IT pārvaldība, un kaut arī dažos no tiem ir plašas žurnālu pārvaldības funkcijas, daudzi var izmantot arī ārēju žurnālu pārvaldības sistēmu, un nav retums redzēt abas sistēmas darbojamies blakus.
Labākā žurnālu pārvaldības programmatūra
Tagad, kad mums ir kopīga izpratne par to, kožurnāla pārvaldība ir un kas tā nav, apskatīsim pieejamo. Mēs esam meklējuši tirgū labākās žurnālu pārvaldības sistēmas. Sākotnējais secinājums ir, ka tādu ir daudz, un daudzi no tiem ir ļoti labi. Bet mums ir tikai tik daudz vietas, tāpēc mēs gatavojamies pārskatīt astoņus visinteresantākos, kurus mēs varētu atrast.
1. SolarWinds Papertrail
SolarWinds ir plaši pazīstams nosaukums jomātīkla administrēšanas rīki. Tas ir bijis gandrīz 20 gadus, un tas mums ir atnesis vienu no labākajiem joslas platuma uzraudzības rīkiem un vienu no labākajiem NetFlow analizatoriem un kolekcionāriem. Uzņēmums ir arī plaši pazīstams ar vairāku bezmaksas rīku publicēšanu, kas attiecas uz dažām tīkla administratoru īpašajām vajadzībām, piemēram, apakštīkla kalkulatoru vai syslog serveri.
Pirms dažiem gadiem uzņēmums SolarWinds iegādājās Papertrail, populāra žurnālu pārvaldības sistēma. Tas apkopo žurnālfailus no ļoti dažādiem populāriem produktiem, piemēram, Apache vai MySQL, kā arī no lietotnēm Ruby on Rails, dažādiem mākoņa mitināšanas pakalpojumiem un citiem standarta teksta žurnāla failiem. Papertrail lietotāji pēc tam var izmantot tīmekļa meklēšanas saskarni vai komandrindas rīkus, lai meklētu caur šiem failiem, lai palīdzētu diagnosticēt kļūdas un veiktspējas problēmas. Papertrail arī rezultātu integrēšanai tiek integrēts ar citiem SolarWinds produktiem, piemēram, Librato un Geckoboard.
Papertrail ir uz mākoņiem balstīta programmatūra kā pakalpojums (SaaS)piedāvājums no SolarWinds. To ir viegli ieviest, lietot un saprast. Un tas dažās minūtēs nodrošinās tūlītēju redzamību visās sistēmās. Šim rīkam ir ļoti efektīva meklētājprogramma, kas var meklēt gan glabātajos, gan straumēšanas žurnālos. Un tas ir zibens ātri.
Papertrail ir pieejams saskaņā ar vairākiem plāniem, ieskaitot bezmaksasplāns. Tomēr tas ir nedaudz ierobežots, un katru mēnesi tas atļauj tikai 100 MB žurnālu. Tomēr tas ļaus 16 GB žurnālu pirmajā mēnesī, kas ir līdzvērtīgs bezmaksas 30 dienu izmēģinājuma perioda nodrošināšanai. Apmaksātu plānu sākums ir USD 7 mēnesī par 1 GB mēnesī žurnāliem, 1 gada arhīva un 1 nedēļas indeksa. Trokšņa filtrēšana ļauj rīkam saglabāt datus, nesaglabājot bezjēdzīgus žurnālus.
2. SolarWinds žurnālu un pasākumu pārvaldnieks (BEZMAKSAS IZMĒĢINĀJUMA VERSIJA)
Nākamais ieraksts ir vēl viens SolarWinds produkts, ko sauc par SolarWinds Žurnālu un pasākumu pārvaldnieks. Pretēji mūsu iepriekšējam ierakstam tas ir avietēji instalēts produkts. Un tas ir arī daudz vairāk nekā tikai žurnālu pārvaldības sistēma. Daudzas no šī produkta uzlabotajām funkcijām to ievieto SIEM klāstā. Piemēram, tai ir reālā laika ventilācijas korelācija un reālā laika sanācija.
Šis ir pārskats par SolarWinds žurnālu un pasākumu pārvaldnieksGalvenās funkcijas. Tas ātri novērš draudus, izmantojot tūlītēju aizdomīgu darbību atklāšanu un automātiskas atbildes. Tas var arī veikt drošības notikumu izmeklēšanu un kriminālistiku to mazināšanai un ievērošanai. Un runājot par atbilstību, produkts ļaus jums to demonstrēt, pateicoties audita pārbaudītajiem ziņojumiem, starp kuriem cita starpā ir HIPAA, PCI DSS un SOX. Šim rīkam ir arī failu integritātes uzraudzība un USB ierīces uzraudzība - divas funkcijas, kas ir daudz augstāk par to, ko mēs parasti redzam žurnālu pārvaldības sistēmās.
Cenas par SolarWinds žurnālu un pasākumu pārvaldnieks sākums no 4585 USD līdz 30 pārraudzītajiem mezgliem. Var iegādāties licences līdz 2500 mezgliem, padarot produktu ļoti pielāgojamu. Un, ja vēlaties pārbaudīt, vai produkts jums ir piemērots, ir pieejams bezmaksas, pilnvērtīgs 30 dienu izmēģinājums.
3. ipswitch žurnālu pārvaldības komplekts
Uz Žurnāla pārvaldības komplekts ir Ipswitch, tā paša uzņēmuma rīksatnesa mums WhatsUp Gold - ārkārtīgi populāru tīkla uzraudzības rīku. Šis ir automatizēts rīks, kas apkopo, saglabā, arhivē un saglabā sistēmas žurnālus, Windows notikumus un W3C / IIC žurnālus. Turklāt tā nepārtrauktā žurnāla uzraudzība brīdinās par jebkādām aizdomīgām darbībām.
Bieži auditēti pasākumi, piemēram, piekļuves tiesībasvar sekot failu, mapju un objektu privilēģijas, pēc vajadzības ģenerējot brīdinājumus, un tos izmanto, lai veidotu atbilstības pārskatus par HIPAA, SOX, FISMA, PCI, MiFID vai Basel II atbilstību. Šis rīks var arī palīdzēt jums pārveidot savus neapstrādātos žurnāldatus nozīmīgos vadītāju vai IT drošības komandu datos, pateicoties tā automatizētai filtrēšanai, korelēšanai, pārskatu sagatavošanai un konvertēšanas funkcijām.
Informācija par cenām Žurnāla pārvaldības komplekts nav viegli pieejams vietnē Ipswitch. Produktu var iegādāties vai nu tieši no izdevēja, vai izmantojot Ipswitch izplatītāju tīklu. Ir pieejama arī bezmaksas izmēģinājuma versija.
4. ManageEngine EventLog Analyzer
ManageEngine, vēl viens parasts nosaukums ar tīkla administratoru, padara lielisku žurnālu pārvaldības sistēmu, ko sauc par ManageEngine EventLog Analyzer. Produkts apkopos, pārvaldīs, analizēs, korelē un meklēs žurnālu datus no vairāk nekā 700 avotiem, izmantojot kombinētu vai bez aģentu un aģentu balstītu žurnālu kolekciju, kā arī žurnālu importēšanu.
Ātrums ir viens no ManageEngine EventLog AnalyzerSpēks. Tas var apstrādāt žurnālu datus ar iespaidīgu 25 000 žurnālu sekundē un reāllaikā atklāt uzbrukumus. Tas var arī veikt ātru kriminālistikas analīzi, lai samazinātu pārkāpuma ietekmi. Sistēmas audita iespējas attiecas uz tīkla perimetra ierīču žurnāliem, lietotāju darbībām, servera konta izmaiņām, lietotāju piekļuvi un daudz ko citu, palīdzot izpildīt drošības audita vajadzības.
Uz ManageEngine EventLog Analyzer ir pieejams bezmaksas izdevumā, kam ir samazināta funkcijakas atbalsta tikai 5 žurnālu avotus vai premium izdevumā, kura cena ir sākot no 595 USD un mainās atkarībā no ierīču un lietojumprogrammu skaita. Ir pieejama arī bezmaksas, pilnvērtīga 30 dienu izmēģinājuma versija.
5. Nagios žurnālu serveris
Nagios ir vislabāk pazīstams ar izcilu tīkla uzraudzības programmatūru, taču tā žurnālserveris, iespējams, ir tikpat interesants. Pareizi sauca Nagios žurnālu serveris, tā piedāvā centralizētu žurnālu pārvaldību, uzraudzību un analīzi. Nagios žurnālu serveris vienkāršo žurnāla datu meklēšanas procesu. Tas arī ļauj iestatīt brīdinājumus, lai tiktu informēti par iespējamiem draudiem. Turklāt programmatūrai ir augsta pieejamība un kļūmju novēršana, kas ir iebūvēta tieši. Tās vienkāršie avota iestatīšanas vedņi palīdzēs ātri konfigurēt serverus, lai nosūtītu visus žurnāla datus un sāktu pārraudzīt žurnālus dažās minūtēs. .
Uz Nagios žurnālu serveris ļauj viegli korelēt žurnāla notikumus visosserveri tikai ar dažiem klikšķiem. Un tas ļauj reāllaikā aplūkot žurnāla datus, dodot iespēju analizēt un risināt problēmas, kad tās rodas. Produktam ir iespaidīga mērogojamība, un tas turpinās atbilst jūsu vajadzībām, pieaugot jūsu organizācijai. Papildu Nagios žurnālu serveris gadījumus var pievienot uzraudzības klasterim, ļaujot jums ātri pievienot vairāk enerģijas, ātruma, atmiņas un uzticamības.
Vienas instances cena Nagios žurnālu serveris ir 3 995 USD un, lai arī bezmaksas izmēģinājums, šķiet, nav pieejams, ja vēlaties, lai produkts būtu apskatīts tiešā veidā, ir jāievieš bezmaksas tiešsaistes demonstrācija.
6. Brīdinājumu loģikas žurnāla pārvaldnieks
Alert Logic galvenā uzmanība ir pievērsta drošībai un atbilstībai. Un, tā kā žurnālu pārvaldība ir cieši saistīta ar abiem, nav pārsteigums, ka uzņēmums piedāvā Brīdinājumu loģikas žurnāla pārvaldnieks. Šis mākonis balstītais rīks piedāvā automatizētu unvienota žurnālu pārvaldība visās jūsu vidēs. Tas apkopos, apkopos un meklēs žurnāla datus no mākoņa, servera, lietojumprogrammas, drošības un tīkla aktīviem.
Uz Brīdinājumu loģikas žurnāla pārvaldnieks ietver žurnālu uzraudzību un analīzi, kā arīžurnāla pārskatīšana, ko tiešsaistē veic cilvēku analizatori. Alert Logic eksperti brīdinās jūs par iespējamām draudu darbībām 365 dienas gadā. Pakalpojums arī palīdzēs izpildīt žurnālu pārskata prasības SOC 2, HIPAA un SOX un noņems slogu, pārskatot žurnālus un sekojot notikumiem, lai ievērotu PCI / DSS 10.6, 10.6.1, 10.6.3
Informācija par cenām Brīdinājumu loģikas žurnāla pārvaldnieks nav viegli pieejams tīmeklī, un, lai iegūtu oficiālu cenu, jums būs jāsazinās ar Alert Logic pārdevējiem. Bezmaksas izmēģinājuma versija arī nav pieejama, bet bezmaksas demonstrāciju var noorganizēt, sazinoties ar trauksmes loģiku.
7. LogDNA
Dibināta 2015. gadā LogDNA ir jaunais bērns blokā. Uzņēmums apgalvo, ka “LogDNA ir ātrākais, intuitīvākais unrentabla žurnālu pārvaldības sistēma ”. Viss sākas ar instalēšanu, kas prasa tikai dažas minūtes, pirms jūs varat sākt uzraudzīt savus žurnālus. Neatkarīgi no tā, kā tiek ģenerēti un pārsūtīti žurnāli, ir pieejami simtiem pielāgotu integrācijas shēmu, lai žurnālus centralizētu vienā rūtī.
LogDNA var būt mākoņa bāzes vai pats mitināts, atkarībā nojūsu izvēles. Tas ir ļoti mērogojams un dienā ar kopējo reāllaika žurnālu analīzi var apstrādāt simtiem tūkstošu žurnālu sekundē un desmitiem terabaitu uz vienu klientu dienā. Uzņēmums un tā produkti ir atbilstoši SOC2, PCI un HIPAA, kā arī sertificēti Privacy Shield.
Ar savu vienkāršo, maksas par GB cenu modeli, kuršnovērš līgumus un fiksētus datu spaiņus, uzņēmumam ir vienas no zemākajām īpašumtiesību kopējām izmaksām. Ir pieejami vairāki abonēšanas plāni ar arvien vairāk funkcijām. Pamatslāņa plāns ir bezmaksas, un apmaksātie plāni svārstās no USD 1,50 / GB / mēnesī līdz USD 3 / GB / mēnesī atkarībā no saglabāšanas ilguma un lietotāju skaita. Ir pieejams arī bezmaksas, pilnvērtīgs 14 dienu izmēģinājums.
8. Greylog
Pēdējais mūsu sarakstā ir produkts ar nosaukumu Greylog. Produkts piedāvā daudzas interesantas iespējas. Rīks parsēs un bagātinās žurnālus un notikumu datus no jebkura datu avota. Tās apstrādes cauruļvadi nodrošina zināmu elastību maršrutēšanā, melnajā sarakstā, modificēšanā un bagātināšanā ziņojumos reāllaikā. Greylog meklēs, izmantojot terabaitus žurnāla datus, lai atklātu un analizētu svarīgu informāciju. Jaudīgā meklēšanas sintakse ļauj jums atrast tieši to, ko meklējat.
Ar Greylog, lai izveidotu metriku, varat izveidot informācijas paneļusun novērojiet tendences vienā centrālā vietā. Varat izmantot lauka statistiku, ātrās vērtības un diagrammas no meklēšanas rezultātu lapas, lai ienirtos jūsu datu dziļākai analīzei. Sistēmai ir arī iespēja aktivizēt darbības vai izdot paziņojumus par tādiem notikumiem kā neveiksmīgi pieteikšanās mēģinājumi, izņēmumi vai veiktspējas pasliktināšanās.
Greylog ir pieejams kā bezmaksas un atvērtā koda avots,ierobežota funkciju versija, kurai arī ir ierobežots atbalsts, vai arī kā uzņēmuma versija ar paplašinātām funkcijām un neierobežotu atbalstu. Izmēģinājuma licenci var iegūt arī sazinoties Greylog pārdošanas apjomi.
Komentāri