Žurnāla faili atrodas gandrīz katrā datorāsistēma vai tīkla ierīce. Tajos ir informācija par notikumiem, kas notiek katrā sistēmā. Tie var izrādīties nenovērtējami, veicot dažādu problēmu novēršanu. Tās var atklāt arī ļaunprātīgas darbības, un tāpēc tās var kļūt par noderīgu līdzekli drošības garantēšanai. Bet kam ir laiks pat apskatīt žurnālfailus? Tā kā parastais administrators pārvalda desmitiem ierīču, dažas no tām katru sekundi reģistrē vairākus notikumus, neviens nevar izsekot. Tāpēc tika izgudroti žurnālu uzraudzības rīki. Viņi apvieno visus notikumu žurnālus vienā vietā un bieži nodrošina analīzes rīkus un pakalpojumus, kas iet caur žurnāliem un rada brīdinājumus ikreiz, kad tiek novērots kaut kas neparasts. Ir pieejami daudzi dažādi žurnālu uzraudzības rīki, un vislabākā izvēle var izrādīties izaicinājums. Lai palīdzētu jums, mēs esam apkopojuši šo sarakstu ar labākajiem žurnālu uzraudzības rīkiem.
Mēs sāksim mūsu diskusiju, izpētotsistēmas žurnāli, kādi tie ir un kā tie darbojas. Tālāk mēs runāsim par žurnālu uzraudzību. Tāpat kā iepriekš, mēs apskatīsim, ko tas nozīmē un kā tas tiek darīts. Pēc tam mēs jums sniegsim sīkāku informāciju par žurnālu analīzi, jo šī ir funkcija, kas žurnālu uzraudzības rīkus padara par visnoderīgākajiem. Tāpat kā iepriekš, mēs aprakstīsim, kas tas ir, un dažādas pieejamās analīzes formas. Visbeidzot, mēs pārskatīsim dažus no labākajiem žurnālu uzraudzības rīkiem, kurus mēs varētu atrast, un pastāstīsim jums par to galvenajām funkcijām.
Sistēma reģistrējas īsumā
Vienā teikumā žurnālfails vai sistēmas žurnāls ir afails, kas reģistrē notikumus, kas notiek operētājsistēmā vai citā programmatūrā. Reģistrēšana ir sistēmas žurnāla uzturēšanas darbība. Vienkāršākajos gadījumos ziņojumi tiek vienkārši rakstīti vienā žurnālā. Lai gan vairums sistēmu notikumu reģistrēšanai galvenokārt izmanto teksta failus, dažas mūsdienu sistēmas to reģistrēšanai izmanto kāda veida datu bāzes.
Neatkarīgi no tā, kā un kur notikumi tiek reģistrēti, dažisistēmas ļauj jums noteikt nepieciešamo reģistrēšanas līmeni. Tas jo īpaši attiecas uz tīkla iekārtām, kurās katram notikumam ir smaguma pakāpe un reģistrēšanas parametrus var iestatīt tikai tā, lai reģistrētu tikai noteikta smaguma vai augstāka līmeņa notikumus. Arī cita veida sistēmas nodrošina līdzīgu funkcionalitāti.
Par uzraudzības žurnāliem
Uzraudzības žurnāli ir divdaļīgs process. Pirmā un vissvarīgākā daļa ir žurnāla datu apkopošana no dažādām sistēmām. To var paveikt dažādos veidos. Dažas sistēmas var konfigurēt, lai automātiski nosūtītu žurnālus uz centralizētu serveri, izmantojot Syslog protokolu. Žurnāla uzraudzības rīkos parasti ir iebūvēts syslog serveris, lai tieši saņemtu notikumu datus. Citas sistēmas, piemēram, Windows, darbojas atšķirīgi. Pastāv dažādi veidi, kā iegūt žurnāldatus no šīm sistēmām, piemēram, izmantojot Windows pārvaldības instrumentāciju vai izmantojot vietējos aģentus, kas darbojas uz Windows resursdatoriem. Neatkarīgi no tā, kā tas tiek darīts, katrā žurnālu uzraudzības sistēmā ir iekļauta nepieciešamā funkcionalitāte žurnālu datu saņemšanai un apvienošanai no vairākiem avotiem.
Nākamais solis - žurnāla analīze
Jebkura noderīga žurnāla uzraudzības rīka otrais uzdevumsir žurnāla analīze. Šeit visvairāk atšķiras instrumenti. Daži piedāvās tikai ļoti vienkāršu analīzi, piemēram, trauksmes izsaukšanu, kad notikumu skaits laika vienībā sasniedz noteikto slieksni. Uzlabotāki rīki pārbaudīs katru notikumu un meklēs īpašas norādes uz problēmām. Piemēram, liels skaits neveiksmīgu pieteikšanos var liecināt par notiekošu ielaušanās mēģinājumu. Mēs varētu pavadīt lapas, kurās aprakstītas dažādas pieejamās žurnālu analīzes formas. Tā vietā mēs aicinām jūs apskatīt zemāk esošo produktu pārskatu, lai iegūtu sīkāku informāciju par katra piedāvāto.
Labākie žurnālu uzraudzības rīki
Kā mēs norādījām iepriekš, ir daudz dažādupieejami dažādi rīki ar dažādu funkcionalitātes pakāpi. Ne visiem ir nepieciešams rīks ar plašu analīzi un augstas drošības funkcijām, tāpēc mēs iekļāvām instrumentu kopumu, kas nodrošina dažādas funkciju kopas. Daži no tiem ir vienkāršāki rīki, savukārt citi ir sarežģītāki. Jums ir jāizlemj, kurš rīks piedāvā vispiemērotāko jūsu vajadzībām. Par laimi visiem mūsu saraksta rīkiem ir pieejama bezmaksas izmēģinājuma versija, tāpēc nekas neliedz jums izmēģināt dažus - kaut ko mēs ļoti iesakām.
1. SolarWinds žurnālu un pasākumu pārvaldnieks (Bezmaksas izmēģinājuma versija)
SolarWinds ir izplatīts nosaukums uzraudzībāpasaule. Uzņēmumam ir vairāk nekā 20 gadu, un tā vadošo produktu, ko sauc par tīkla veiktspējas monitoru, daudzi atzīst par vienu no labākajiem SNMP uzraudzības rīkiem. Un it kā ar to būtu par maz, SolarWinds ir pazīstams arī ar daudzajiem bezmaksas rīkiem. Tie ir mazāki rīki, katrs no kuriem risina īpašas tīkla administratoru vajadzības. Advanced Subnet Calculator un SolarWinds TFTP serveris ir divi lieliski šo bezmaksas rīku piemēri.
Kas attiecas uz SolarWinds žurnālu un pasākumu pārvaldnieks (LEM), tas ir tieši tas, ko norāda tās nosaukums. Šis rīks ir tik bagātīgs, ka daudzi to uzskata par pilnvērtīgu drošības informācijas un notikumu pārvaldības rīku. Runājot par žurnālu uzraudzību un pārvaldību, tas, iespējams, ir viens no interesantākajiem žurnālu pārvaldības rīkiem, ko jūs varat atrast. Tam ir ļoti noderīgas žurnālu pārvaldības un korelācijas funkcijas, kā arī iespaidīgs pārskatu veidošanas dzinējs.
- BEZMAKSAS IZMĒĢINĀJUMA VERSIJA: SolarWinds žurnālu un pasākumu pārvaldnieks
- Lejupielādes saite: https://www.solarwinds.com/log-event-manager-software/registration
Uz SolarWinds žurnālu un pasākumu pārvaldnieks var palīdzēt uzlabot drošību un atbilstībuaizdomīgu darbību atklāšana un ātrāku draudu noteikšana, ja notikuma laikā tiek atklāta aizdomīga darbība. Varat arī izmantot rīku drošības notikumu izmeklēšanai un kriminālistikai, lai mazinātu un ievērotu tās. Šī īpašība ir iemesls, kāpēc daudzi uzskata produktu par SIEM rīku. Turklāt šis rīks palīdz gatavībai ievērot normatīvo aktu prasības. Jūs varat to izmantot, lai pierādītu atbilstību, pateicoties auditā pārbaudītajiem ziņojumiem par HIPAA, PCI DSS, SOX, DISA STIG un citām.
Uz SolarWinds žurnālu un pasākumu pārvaldnieksReakcijas uz notikumiem funkcijas neko neatstājvēlamais. Detalizēta reālā laika reaģēšanas sistēma aktīvi reaģēs uz visiem draudiem. Ja jūs balstāties uz rīcību, nevis paraksta analīzi, tas nozīmē, ka jūs pat esat aizsargāts pret nezināmiem vai turpmākiem draudiem. Rīka informācijas panelis, iespējams, ir tā labākā priekšrocība. Izmantojot vienkāršu dizainu, jums nebūs problēmu ātri noteikt novirzes.
Cenu noteikšana SolarWinds žurnālu un pasākumu pārvaldnieks balstās uz pārraudzīto mezglu skaitu. Pieejamas dažāda līmeņa licences no 30 līdz 2500 mezgliem, sākot no 4 665 USD. Un, ja vēlaties izmēģināt produktu pirms pirkuma, lejupielādēšanai ir pieejama bezmaksas pilnībā funkcionējoša 30 dienu izmēģinājuma versija.
2. SolarWinds žurnāla pārvaldnieks Orion (Bezmaksas izmēģinājuma versija)
Nākamais mūsu sarakstā ir vēl viens SolarWinds produkts, ko sauc par Orion žurnālu menedžeris. Orion, ja neesat pazīstamsSolarWinds produkti pirms dažiem gadiem bija uzņēmuma augstākā platforma. Tā joprojām ir pamatā esošā arhitektūra, uz kuras ir būvēti daudzi no SolarWinds labākajiem produktiem. Ja izmantojat kādu no tīkla veiktspējas monitoriem, NetFlow trafika analizatoru, tīkla konfigurācijas pārvaldnieku, virtualizācijas pārvaldnieku, servera un lietojumprogrammu monitoru vai krātuves resursu monitoru, jūs izmantojat Orion.
- BEZMAKSAS IZMĒĢINĀJUMA VERSIJA: SolarWinds žurnāla pārvaldnieks Orion
- Lejupielādes saite: https://www.solarwinds.com/log-manager-for-orion-software/registration
Uz SolarWinds žurnāla pārvaldnieks Orion pievieno žurnālu pārvaldības iespējas jebkurai noOrion balstīti uzraudzības un vadības rīki. Rezumējot, produktam ir jaudīga un intuitīva žurnālu apkopošana, marķēšana, filtrēšana un brīdināšana. Tā integrācija ar Orion platformas produktiem piedāvā vienotu IT infrastruktūras uzraudzības un ar to saistīto žurnālu skatījumu. Produkts tika izveidots sadarbībā ar tīkla un sistēmu inženieriem, lai nodrošinātu viņu problēmu izpratni un to risināšanas iespējas.
Neskatoties uz integrāciju ar Orion platformu, Žurnāla pārvaldnieks var uzstādīt pats un neprasajebkuru citu instalējamo Orion rīku. Cenu sākums ir 1 495 USD un ir pieejama bezmaksas 30 dienu izmēģinājuma versija, ja vēlaties izmēģināt produktu un redzēt, kā tas atbilst jūsu vajadzībām.
3. PaperTrail (Pieejams bezmaksas plāns)
Nākamais ir vēl viens SolarWinds produkts, ko sauc Papertrail. Šis ļoti atšķiras no iepriekšējādivi, jo tas ir mākonis balstīts, programmatūras kā pakalpojuma (SaaS) piedāvājums. Spēcīgais rīks jau guva zināmu popularitāti, kad SolarWinds to iegādājās dažus gadus atpakaļ. Tas apkopo žurnālfailus no daudziem produktiem, piemēram, Apache vai MySQL, kā arī no lietotnēm Ruby on Rails, vairākiem mākoņa mitināšanas pakalpojumiem un citiem standarta teksta žurnāla failiem.
- Reģistrējieties šeit: https://papertrailapp.com/plans
Lai palīdzētu diagnosticēt kļūdas un veiktspējas problēmas, varat izmantot Papertrail ļoti efektīva un ātri izmantojama meklētājprogrammakas var meklēt gan saglabātos, gan straumējošos žurnālos. Rezultātu grafikam produkts ir integrēts ar dažiem citiem SolarWinds produktiem, piemēram, Librato un Geckoboard. Papertrail to ir arī viegli ieviest, lietot un saprast. Tas dažu minūšu laikā nodrošinās jums tūlītēju redzamību visās sistēmās.
Papertrail ir pieejams saskaņā ar vairākiem plāniem, ieskaitot bezmaksasplāns. Tas ir nedaudz ierobežots un atļauj tikai 50 MB žurnālu katru mēnesi. Tomēr tas ļaus 16 GB žurnālu pirmajā mēnesī, kas ir līdzvērtīgs bezmaksas un neierobežota 30 dienu izmēģinājuma perioda nodrošināšanai. Apmaksātu plānu sākums ir USD 7 mēnesī par 1 GB mēnesī žurnāliem, 1 gada arhīva un 1 nedēļas indeksa. Populārākais ir 75 USD mēnesī plāns ar 8 GB žurnāliem. Trokšņa filtrēšana ļauj rīkam saglabāt datus, nesaglabājot bezjēdzīgus žurnālus.
4. PRTG tīkla monitors
Uz PRTG tīkla monitors no Paessler AG ir integrēts, viss vienāuzraudzības sistēma, kuru var izmantot, lai uzraudzītu gandrīz jebko, pateicoties viedajai sensora arhitektūrai. Viena no labākajām šī uzņēmuma īpašībām ir tā iestatīšanas ātrums. Pēc Paesera teiktā, PRTG tīkla monitors var iestatīt tikai pāris minūtēs. Lai arī tas visiem varētu nebūt tik ātrs, tas joprojām ir viens no vienkāršākajiem un ātrākajiem uzraudzības rīkiem, kas daļēji izveidots, pateicoties automātiskās noteikšanas procesam.
Uz PRTG tīkla monitors ir ar funkcijām bagāts produkts. Pamatā tas galvenokārt ir tīkla uzraudzības rīks, kas izmanto SNMP, lai aptaujātu ierīces un parādītu to saskarņu izmantošanu hronoloģiskos grafikos. Tomēr, izmantojot papildu sensorus, PRTG var uzraudzīt gandrīz jebko. Sensori ir nedaudz līdzīgi papildinājumiem, izņemot to, ka tie ir iekļauti izstrādājumā. Ir pieejami sensori dažādiem serveriem, pakalpojumiem un lietojumprogrammām. Kopumā produkts satur vairāk nekā 200 sensorus.
Žurnāla uzraudzībai un pārvaldībai ir pieejami divi dažādi sensori. Notikumu žurnāla Windows API sensors uztver visus Windows reģistrētos ziņojumusģenerē. Šis sensors uzrauga žurnālu ziņojumu ātrumu, nevis to saturu, un tas radīs trauksmi, ja notikumu žurnāla ziņojumu ātrums sasniegs kritisko slieksni.
Otrs interesants sensors Syslog uztvērējs sensors, saņem, uzrauga un saglabā syslogziņojumi no jebkuras ierīces. Tomēr tas ne tikai apkopos žurnālus no dažādiem avotiem. Tās uzraudzības funkcionalitāte izsauks trauksmes gadījumus, kad rodas satraucoši apstākļi, piemēram, palielinoties žurnāla saņemšanas ātrumam.
Uz PRTG tīkla monitors ir pieejams divās versijās. Bezmaksas versija ir pilnībā pieejama, taču tā ierobežos jūsu monitoringa iespējas līdz 100 sensoriem. Izmantojot SNMP, katrs uzraudzītais parametrs tiek uzskatīts par vienu sensoru. Piemēram, ja maršrutētājā uzraudzīsit divas saskarnes, tas tiks uzskatīts par diviem sensoriem. Katrs konkrēta monitoringa sensora gadījums tiek uzskatīts par vienu. Ja jums ir nepieciešami vairāk nekā 100 sensori, jums būs jāiegādājas licence, kuras cena ir 1 600 USD par 500 sensoriem. Ir pieejama bezmaksas, neierobežota sensora un pilna aprīkojuma 30 dienu izmēģinājuma versija.
5. ManageEngine EventLog Analyzer
ManageEngine ir vēl viens labi zināms tīkla administrēšanas rīku veidotājs IT profesionāļu vidū. Uzņēmums piedāvā žurnālu pārvaldības sistēmu ar nosaukumu ManageEngine EventLog Analyzer. Produkts apkopo, pārvalda, analizē, korelē un meklē žurnālu datus no vairāk nekā 700 avotiem, izmantojot kombinētu vai bez aģentu un aģentu balstītu žurnālu kolekciju, kā arī žurnālu importēšanu.
Uz ManageEngine EventLog AnalyzerKapacitāte ir iespaidīga. Tas var apstrādāt žurnāldatus ar ātrumu līdz 25 000 žurnāliem sekundē un reālā laikā atklāt uzbrukumus. Šis rīks var arī ātri veikt kriminālistikas analīzi, tādējādi samazinot pārkāpuma iespējamo ietekmi. Sistēmas audita iespējas attiecas uz tīkla perimetra ierīču žurnāliem, lietotāju darbībām, servera konta izmaiņām, lietotāju piekļuvi un daudz ko citu, palīdzot izpildīt drošības audita vajadzības.
Rīka reāllaika notikumu žurnāla korelācijauzreiz atklāj uzbrukuma mēģinājumus un izseko iespējamiem drošības draudiem, korelējot žurnāla datus ar vairāk nekā 30 iepriekšnoteiktiem noteikumiem, lai atklātu brutālu spēku uzbrukumus, konta bloķēšanu, datu zādzības, tīmekļa servera uzbrukumus un daudz ko citu. Tajā ir arī pielāgots žurnāla parsētājs, kas var iegūt laukus no jebkura cilvēkam lasāmā žurnāla formāta. Produkts patiesi nodrošina vienu konsoli visu drošības žurnāla datu apskatīšanai.
Uz ManageEngine EventLog Analyzer ir pieejams bezmaksas izdevumā, kam ir samazināta funkcijakas atbalsta tikai 5 žurnālu avotus vai premium izdevumā, kura cena ir sākot no 595 USD un mainās atkarībā no ierīču un lietojumprogrammu skaita. Ir pieejama arī bezmaksas, pilnvērtīga 30 dienu izmēģinājuma versija.
6. Greylog
Greylog ir bezmaksas atvērtā koda žurnālu pārvaldības platformaar daudzām interesantām funkcijām. Rīks var parsēt un bagātināt žurnālus un notikumu datus no gandrīz jebkura datu avota. Tās apstrādes cauruļvadi nodrošina zināmu elastību maršrutēšanā, melnajā sarakstā, modificēšanā un bagātināšanā ziņojumos reāllaikā. Rīks meklēs žurnāla datus terabaitos, lai atrastu un analizētu svarīgu informāciju. Tā jaudīgā un diezgan unikālā meklēšanas sintakse ļauj jums atrast tieši to, ko meklējat.
Ar Greylog, jums ir iespēja izveidot pielāgotuinformācijas paneļi, kas ļauj vizualizēt noteiktu metriku un novērot tendences no vienas centrālās vietas. Varat izmantot lauka statistiku, ātrās vērtības un diagrammas no meklēšanas rezultātu lapas, lai veiktu padziļinātu datu analīzi. Turklāt produkts piedāvā iespēju aktivizēt darbības vai izdot paziņojumus par tādiem notikumiem kā neveiksmīgi pieteikšanās mēģinājumi, izņēmumi vai veiktspējas pasliktināšanās.
Greylog ir pieejams kā bezmaksas un atvērtā koda avotsierobežota versija, kurai ir arī ierobežots atbalsts. Ir arī uzņēmuma versija ar paplašinātām funkcijām un neierobežotu atbalstu. Tas ir arī bezmaksas, līdz pat 5GB žurnālu dienā. Atkarībā no tā, cik liels un aizņemts ir jūsu tīkls. Ar to varētu pietikt jūsu vajadzībām. Licences un atbalsta cenas var iegūt, sazinoties Greylog pārdošanas apjomi.
7. WhatsUp žurnālu pārvaldības komplekts
Uz WhatsUp žurnālu pārvaldības komplekts ir lielisks Ipswitch rīks. Ipswitch, vai jums ir nepieciešams to atgādināt, ir uzņēmums, kas atrodas aiz WhatsUp Gold, super populārā tīkla uzraudzības rīka. Šis ir automatizēts rīks, kas apkopo, saglabā, arhivē un saglabā sistēmas žurnālus, Windows notikumus un W3C / IIC žurnālus. Tas ne tikai apkopo žurnālus un notikumus, taču tā nepārtraukta žurnālu uzraudzība un analīze brīdinās par jebkādām neparastām darbībām.
Uz WhatsUp žurnālu pārvaldības komplekts sekos bieži auditētiem notikumiem, piemēram,piekļuves tiesības un failu, mapju un objektu privilēģijas un pēc vajadzības ģenerēt brīdinājumus. Tas arī izmanto apkopotos pasākumus, lai izveidotu atbilstības ziņojumus par HIPAA, SOX, FISMA, PCI, MiFID vai Basel II atbilstību. Šī programmatūra var arī palīdzēt pārveidot jūsu neapstrādātos žurnāldatus nozīmīgā informācijā vadītājiem vai IT drošības komandām, izmantojot tās jaudīgās automatizētās filtrēšanas, korelācijas, ziņošanas un konvertēšanas funkcijas.
Uz WhatsUp žurnālu pārvaldības komplekts faktiski ir lietojumprogrammu kopums, kas ietver šādus rīkus:
- Pasākumu arhivētājs: Šis rīks automatizē žurnālu savākšanu, notīrīšanu un apvienošanu.
- Notikuma trauksme: Rīks, lai uzraudzītu žurnālfailus un saņemtu reāllaika paziņojumus par galvenajiem notikumiem.
- Pasākumu analītiķis: Analizē un ziņo par žurnālu datiem un tendencēm; automātiski izplata ziņojumus vadībai, drošības darbiniekiem, auditoriem un citām ieinteresētajām personām.
- Event Rover: Vienota konsole padziļinātai kriminālistikai visos serveros un darbstacijās, lai palielinātu efektivitāti un ietaupītu laiku.
Informācija par cenām Žurnāla pārvaldības komplekts nav viegli pieejams vietnē Ipswitch. Produktu var iegādāties vai nu tieši no izdevēja, vai izmantojot Ipswitch izplatītāju tīklu. Protams, ir pieejama arī bezmaksas izmēģinājuma versija.
8. LogDNA
Tiek teikts, ka LogDNA ir “ātrākā, intuitīvākā un rentablākā žurnālu pārvaldības sistēma”. Tas mēdz būt taisnība. Jau pašā sākumā produkta instalēšana prasa tikai dažas minūtes, pirms jūs varat sākt vākt un pārraudzīt žurnālus. Neatkarīgi no tā, kā tiek ģenerēti un pārsūtīti žurnāli, izstrādājumā ir pieejami simtiem pielāgotu integrācijas shēmu, kas palīdzēs centralizēt žurnālus vienuviet.
LogDNA ir pieejama mākoņu bāzes vaipašu mitināta versija, atkarībā no jūsu izvēles. Tas ir ļoti mērogojams produkts, kas var apstrādāt simtiem tūkstošu žurnālu sekundē un desmitiem terabaitu dienā, vienlaikus nodrošinot visaugstāko drošību, kā arī reāllaika žurnālu analīzi. Gan uzņēmums, gan tā produkti ir atbilstoši SOC2, PCI un HIPAA, kā arī ir sertificēti Privacy Shield.
LogDNA ir vienkāršs maksas par GB cenu noteikšanas modelisnovērš līgumus un fiksētu datu piešķiršanu, kas ir viena no viszemākajām īpašumtiesību izmaksām par jebkuru apmaksātu žurnālu uzraudzības un pārvaldības risinājumu. Ir pieejami vairāki abonēšanas plāni ar arvien vairāk funkcijām. Pamatslāņa plāns ir bezmaksas, un apmaksāto plānu cenas svārstās no USD 1,50 / GB / mēnesī līdz USD 3 / GB / mēnesī atkarībā no saglabāšanas ilguma un lietotāju skaita. Ir pieejams arī bezmaksas, pilnvērtīgs un neierobežots 14 dienu izmēģinājums.
Komentāri