Die heutigen Systeme generieren viel ProtokollierungDaten. Auf vielen Plattformen wird jedes einzelne Ereignis, ob wichtig oder nicht, irgendwo protokolliert. In der Regel werden Protokolle lokal gespeichert. Dies ist sinnvoll, da Protokolle mit ihrer Quelle verknüpft sind. Wenn wir jedoch versuchen, Probleme zu beheben und ihre Hauptursache zu finden, müssen wir häufig mehrere Protokolldateien auf zahlreichen Geräten überprüfen. Wäre es nicht schön, wenn alle Protokolle aller Geräte an einem Ort gespeichert würden? Log Management ist das und noch viel mehr, wie Sie gleich herausfinden werden. Und heute überprüfen wir die wichtigsten Protokollverwaltungssysteme.
Zunächst versuchen wir, das Protokoll zu erläuternManagement ist. Wie Sie sehen, kann dies weit mehr sein als nur die Zentralisierung des Protokollspeichers. Als Nächstes werden wir uns mit Protokollierungsprotokollen befassen. Dies ist ziemlich wichtig, da die Protokollverwaltung ohne sie wahrscheinlich nicht existieren würde. Wir werden dann versuchen, Syslog-Server von Protokollverwaltungssystemen zu unterscheiden. Leider gibt es keine klare Abgrenzung zwischen ihnen. Im Anschluss werden wir uns mit Sicherheitsinformationen und Ereignismanagementsystemen befassen, da dies ein anderer Systemtyp ist, der aufgrund der etwas unklaren Definition der einzelnen Systeme häufig mit der Protokollverwaltung verwechselt wird. Zuletzt werden die acht besten Protokollverwaltungssysteme vorgestellt, die wir finden konnten.
Log Management - Was es ist
Bevor wir uns mit der Protokollverwaltung befassen, lassen Sie unsSehen Sie, was ein Protokoll ist. Einfach definiert ist ein Protokoll die automatisch erstellte und mit einem Zeitstempel versehene Dokumentation von Ereignissen, die für ein bestimmtes System relevant sind. Jedes Mal, wenn ein Ereignis auf einem System stattfindet, wird ein Protokoll erstellt. Verschiedene Systeme generieren Protokolle für verschiedene Ereignisse und viele Systeme geben Administratoren ein gewisses Maß an Kontrolle darüber, was ein Protokoll generiert und was nicht.
Wenn es um die Protokollverwaltung geht, ist dies der Fallunter Bezugnahme auf die Prozesse und Richtlinien, die zur Verwaltung und Erleichterung der Erzeugung, Übertragung, Analyse, Speicherung, Archivierung und eventuellen Entsorgung großer Mengen von Protokolldaten verwendet werden. Die Protokollverwaltung impliziert ein zentrales System, in dem Protokolle aus mehreren Quellen gesammelt werden.
Die Protokollverwaltung ist jedoch nicht nur eine Protokollsammlung. Der Management-Teil ist der wichtigste. Protokollverwaltungssysteme verfügen in der Regel über mehrere Funktionen, von denen das Sammeln von Protokollen nur eine ist.
Sobald Protokolle von der Protokollverwaltung empfangen werdenSystem müssen sie in ein gemeinsames Format „übersetzt“ werden. Unterschiedliche Systeme formatieren Protokolle unterschiedlich und enthalten unterschiedliche Daten in ihren Protokollen. Einige beginnen ein Protokoll mit Datum und Uhrzeit, andere mit einer Ereignisnummer. Einige enthalten nur eine Protokoll-ID, während andere eine vollständige Textbeschreibung des Ereignisses enthalten. Ein Zweck von Protokollverwaltungssystemen besteht darin, sicherzustellen, dass alle gesammelten Protokolleinträge in einem einheitlichen Format gespeichert werden. Dies erleichtert die Suche und die Ereigniskorrelation auf der ganzen Linie erheblich.
Über Suche und sogar Korrelation sprechen,Dies ist eine weitere wichtige Funktion vieler Protokollverwaltungssysteme. Einige von ihnen verfügen über eine leistungsstarke Suchmaschine, mit der Administratoren genau das finden können, was sie benötigen. Korrelationsfunktionen gruppieren automatisch verwandte Ereignisse, auch wenn sie aus verschiedenen Quellen stammen. Wie - und wie erfolgreich - ein anderes Protokollverwaltungssystem dies erreicht, ist ein wesentlicher Unterscheidungsfaktor.
Protokollierungsprotokolle
Die Protokollverwaltung wäre viel schwieriger, wennüberhaupt möglich, wenn es nicht für die Protokollierung von Protokollen wäre. Es gibt einige davon, die definieren, welche Daten in Protokollen enthalten sein sollen, wie diese formatiert werden sollen und wie sie zwischen Systemen übertragen werden sollen.
Syslog ist wohl das am häufigsten verwendete Protokoll. Es wurde Anfang der achtziger Jahre erfunden und ist zum De-facto-Standard für Unix-ähnliche Systeme geworden. Eine der größten Stärken des Syslog-Protokolls ist die Trennung der Software, die Protokolle erstellt, des Systems, in dem sie gespeichert werden, und der Software, die sie protokolliert und analysiert. Die Verwendung des Syslog-Protokolls erleichtert die Protokollverwaltung erheblich. Viele Nicht-Unix-Geräte wie Switch-Router und andere Netzwerkgeräte vieler Hersteller verwenden eine Variante des Syslog-Protokolls.
Microsoft Windows wird, wie Sie vielleicht vermutet haben, verwendetein anderes Protokollierungssystem. Dies hängt möglicherweise damit zusammen, dass Windows-Betriebssysteme und -Anwendungen über Protokolle verfügen, die in der Regel viel mehr Informationen enthalten, als syslog zulässt. Glücklicherweise bieten die Windows Event Collector-Funktionen eine Möglichkeit, mit der Protokollverwaltungssysteme Ereignisse von Windows-Hosts empfangen können.
Unabhängig davon, welches Protokoll verwendet wirdEin wichtiger Teil der Protokollverwaltung besteht darin, Geräte so zu konfigurieren, dass ihre Protokolle an das Verwaltungssystem gesendet werden. Dies unterscheidet sich von anderen Tools wie Netzwerküberwachungssystemen, bei denen das Tool Daten von den Hosts abruft.
Log Server Vs Log Management
Seitdem ist es auf jedem Unix-like verfügbarSyslog wird seit einiger Zeit häufig als Protokollserver mit einem Computer verwendet, der Syslog-Daten von mehreren anderen Computern empfängt. Diese zentralisierte Speicherung von Protokollen hat zwar eindeutige Vorteile, ist jedoch keine Protokollverwaltung.
Um den Namen des Protokollverwaltungssystems zu verdienen, aDas Produkt muss mindestens einige der fortgeschritteneren Funktionen enthalten. Laut Wikipedia umfasst die Protokollverwaltung die folgenden Funktionen: Protokollsammlung, zentralisierte Protokollaggregation, langfristige Speicherung und Aufbewahrung von Protokollen, Protokollrotation, Protokollanalyse, Protokollsuche und Berichterstellung. Protokollserver bieten häufig nur die Protokollsammlung und -speicherung an und selten mehr. Jedes der Protokollverwaltungssysteme in unserer Top-Liste bietet mindestens einige der erweiterten Funktionen.
Wie wäre es mit SIEM-Systemen?
Eine andere beliebte Technologie, die oft istMit Protokollen verbunden und mit Protokollverwaltungssystemen verwechselt ist das Sicherheitsinformations- und Ereignismanagement oder SIEM. Dies unterscheidet sich erheblich von der Protokollverwaltung, obwohl dies eng miteinander verbunden ist. Tatsächlich sind einige als Protokollverwaltungssysteme beworbene Produkte SIEM-Systeme, während einige grundlegende SIEM-Systeme nichts anderes als Protokollverwaltungssysteme sind.
Der Hauptgrund für diese Verwirrung ist dieses ProtokollManagement - oder zumindest Protokollanalyse - ist eine wichtige Komponente von SIEM-Systemen. Tatsächlich bringen SIEM-Systeme die Protokollverwaltung in der Regel auf die nächste Ebene, indem sie dem Prozess eine gewisse Intelligenz hinzufügen. Diese Systeme führen eine Protokollanalyse mit dem Endziel durch, Sicherheitsprobleme zu identifizieren. Sie suchen beispielsweise nach Anzeichen für erfolglose Anmeldungen, die auf einen unbefugten Angriffsversuch hinweisen. Diese Systeme scannen automatisch Protokolleinträge auf ungewöhnliche Ereignisse.
SIEM-Systeme haben mehr mit IT-Sicherheit zu tunIm Gegensatz zum IT-Management können viele von ihnen auch ein externes Protokollverwaltungssystem verwenden, und es ist nicht ungewöhnlich, dass beide Systeme nebeneinander ausgeführt werden.
Die beste Protokollverwaltungssoftware
Jetzt haben wir ein gemeinsames Verständnis von wasLog Management ist und was es nicht ist, schauen wir uns an, was verfügbar ist. Wir haben den Markt nach einigen der besten Protokollverwaltungssysteme durchsucht. Unsere erste Erkenntnis ist, dass es viele und viele von ihnen sehr gut gibt. Wir haben jedoch nur so viel Platz, dass wir uns die acht interessantesten ansehen werden, die wir finden konnten.
1. SolarWinds Papertrail
SolarWinds ist ein gebräuchlicher Name im BereichTools für die Netzwerkadministration. Es gibt es seit fast 20 Jahren und es hat uns eines der besten Tools zur Bandbreitenüberwachung und eines der besten NetFlow-Analysegeräte und -Sammler gebracht. Das Unternehmen ist auch dafür bekannt, verschiedene kostenlose Tools zu veröffentlichen, die bestimmte Anforderungen von Netzwerkadministratoren erfüllen, z. B. einen Subnetzrechner oder einen Syslog-Server.
Vor einigen Jahren hat SolarWinds übernommen Papier Spur, ein beliebtes Protokollverwaltungssystem. Es fasst Protokolldateien aus einer Vielzahl beliebter Produkte wie Apache oder MySQL sowie Ruby on Rails-Apps, verschiedenen Cloud-Hosting-Diensten und anderen Standard-Textprotokolldateien zusammen. Papier Spur Benutzer können dann die webbasierte Suchoberfläche oder die Befehlszeilentools verwenden, um diese Dateien zu durchsuchen und Fehler und Leistungsprobleme zu diagnostizieren. Papier Spur Kann auch in andere SolarWinds-Produkte wie Librato und Geckoboard integriert werden, um grafische Ergebnisse zu erhalten.
Papier Spur ist eine Cloud-basierte Software as a Service (SaaS)Angebot von SolarWinds. Es ist einfach zu implementieren, zu verwenden und zu verstehen. Und Sie haben in wenigen Minuten sofort alle Systeme im Blick. Das Tool verfügt über eine sehr effektive Suchmaschine, die sowohl gespeicherte als auch Streaming-Protokolle durchsuchen kann. Und es ist blitzschnell.
Papier Spur ist unter mehreren Tarifen erhältlich, darunter ein kostenlosesplanen. Es ist jedoch etwas begrenzt und erlaubt nur 100 MB Protokolle pro Monat. Im ersten Monat sind jedoch 16 GB Protokolle zulässig, was einer kostenlosen 30-Tage-Testversion entspricht. Bezahlte Pläne beginnen bei 7 USD / Monat für 1 GB / Monat Protokolle, 1 Jahr Archivierung und 1 Woche Index. Mithilfe der Rauschfilterung kann das Tool Daten bewahren, indem es keine unnötigen Protokolle speichert.
2. SolarWinds Log & Event Manager (KOSTENLOSE TESTPHASE)
Unser nächster Eintrag ist ein weiteres Produkt von SolarWinds namens SolarWinds Log & Event Manager. Im Gegensatz zu unserem vorherigen Eintrag ist dies einlokal installiertes Produkt. Und es ist auch viel mehr als nur ein Protokollverwaltungssystem. Viele der erweiterten Funktionen dieses Produkts haben es in das SIEM-Sortiment aufgenommen. Es verfügt zum Beispiel über eine Korrelation der Lüftungsöffnungen in Echtzeit und über eine Echtzeit-Korrektur.
Hier ist eine Übersicht über die SolarWinds Log & Event ManagerHauptmerkmale. Es beseitigt Bedrohungen schnell, indem verdächtige Aktivitäten sofort erkannt und automatisiert reagiert werden. Es kann auch Sicherheitsereignisuntersuchungen und Forensik zur Schadensbegrenzung und Einhaltung durchführen. Wenn Sie sich mit Compliance befassen, können Sie dies mit dem Produkt unter anderem dank seiner revisionssicheren Berichterstattung für HIPAA, PCI DSS und SOX nachweisen. Dieses Tool bietet auch die Überwachung der Dateiintegrität und der USB-Geräte, zwei Funktionen, die weit über den in Protokollverwaltungssystemen üblichen Funktionen liegen.
Preise für die SolarWinds Log & Event Manager Beginnen Sie bei 4.585 USD für bis zu 30 überwachte Knoten. Es können Lizenzen für bis zu 2500 Knoten erworben werden, wodurch das Produkt in hohem Maße skalierbar wird. Wenn Sie selbst überprüfen möchten, ob das Produkt für Sie geeignet ist, steht Ihnen eine kostenlose 30-Tage-Testversion mit vollem Funktionsumfang zur Verfügung.
3. ipswitch Log Management Suite
Das Log Management Suite ist ein Tool von Ipswitch, der gleichen Firma wiebrachte uns WhatsUp Gold, ein äußerst beliebtes Tool zur Netzwerküberwachung. Dies ist ein automatisiertes Tool, das Systemprotokolle, Windows-Ereignisse und W3C / IIC-Protokolle sammelt, speichert, archiviert und speichert. Darüber hinaus werden Sie durch die fortlaufende Protokollüberwachung auf verdächtige Aktivitäten aufmerksam gemacht.
Häufig überwachte Ereignisse wie ZugriffsrechteAußerdem können Datei-, Ordner- und Objektberechtigungen befolgt werden, wobei bei Bedarf Warnmeldungen generiert und Compliance-Berichte für die Einhaltung von HIPAA-, SOX-, FISMA-, PCI-, MiFID- oder Basel II-Richtlinien erstellt werden. Das Tool kann Ihnen auch dabei helfen, Ihre Rohprotokolldaten in aussagekräftige Daten für Manager oder IT-Sicherheitsteams umzuwandeln, dank seiner automatisierten Filter-, Korrelations-, Berichts- und Konvertierungsfunktionen.
Preisinformationen für die Log Management Suite ist nicht ohne weiteres bei Ipswitch erhältlich. Das Produkt kann entweder direkt beim Verlag oder über das Ipswitch-Händlernetzwerk erworben werden. Eine kostenlose Testversion ist ebenfalls verfügbar.
4. ManageEngine EventLog Analyzer
ManageEngine, ein weiterer gebräuchlicher Name für Netzwerkadministratoren, ist ein hervorragendes Protokollverwaltungssystem mit der Bezeichnung ManageEngine EventLog Analyzer. Das Produkt sammelt, verwaltet, analysiert, korreliert und durchsucht die Protokolldaten von über 700 Quellen mithilfe einer Kombination oder einer agentenlosen und agentenbasierten Protokollsammlung sowie eines Protokollimports.
Geschwindigkeit ist eine der ManageEngine EventLog AnalyzerStärke. Es kann Protokolldaten mit beeindruckenden 25.000 Protokollen pro Sekunde verarbeiten und Angriffe in Echtzeit erkennen. Es kann auch eine schnelle forensische Analyse durchführen, um die Auswirkungen eines Verstoßes zu verringern. Die Überwachungsfunktionen des Systems erstrecken sich auf die Protokolle der Netzwerkperimeter, Benutzeraktivitäten, Änderungen des Serverkontos, Benutzerzugriffe und vieles mehr, um die Anforderungen der Sicherheitsüberwachung zu erfüllen.
Das ManageEngine EventLog Analyzer ist in einer funktionsreduzierten kostenlosen Edition erhältlichDies unterstützt nur 5 Protokollquellen oder eine Premium-Edition, die bei 595 US-Dollar beginnt und je nach Anzahl der Geräte und Anwendungen variiert. Eine kostenlose 30-Tage-Testversion mit vollem Funktionsumfang ist ebenfalls verfügbar.
5. Nagios Log Server
Nagios ist am besten für seine hervorragende Netzwerküberwachungssoftware bekannt, aber der Log-Server ist möglicherweise genauso interessant. Passend genannt das Nagios Log ServerEs bietet eine zentrale Protokollverwaltung, -überwachung und -analyse. Das Nagios Log Server vereinfacht das Durchsuchen Ihrer Protokolldaten. Darüber hinaus verfügt die Software über eine integrierte Hochverfügbarkeits- und Failover-Funktion. Mithilfe der Assistenten für die einfache Einrichtung von Quellen können Sie Server schnell so konfigurieren, dass sie alle Protokolldaten senden und Ihre Protokolle in wenigen Minuten überwachen .
Das Nagios Log Server Mit dieser Funktion können Sie Protokollereignisse auf einfache Weise miteinander verknüpfenServer in nur wenigen Klicks. Außerdem können Sie die Protokolldaten in Echtzeit anzeigen und so auftretende Probleme analysieren und lösen. Das Produkt zeichnet sich durch beeindruckende Skalierbarkeit aus und wird auch weiterhin Ihren Anforderungen gerecht, wenn Ihr Unternehmen wächst. Zusätzlich Nagios Log Server Instanzen können einem Überwachungscluster hinzugefügt werden, sodass Sie schnell mehr Leistung, Geschwindigkeit, Speicher und Zuverlässigkeit hinzufügen können.
Der Einzelinstanzpreis für die Nagios Log Server Der Preis für eine kostenlose Testversion beträgt 3 995 US-Dollar. Eine kostenlose Online-Demo ist jedoch nur dann verfügbar, wenn Sie einen Blick aus erster Hand auf das Produkt werfen möchten.
6. Alert Logic Log Manager
Das Hauptaugenmerk von Alert Logic liegt auf Sicherheit und Compliance. Da die Protokollverwaltung eng mit beiden verknüpft ist, ist es nicht verwunderlich, dass das Unternehmen die Alert Logic Log Manager. Dieses Cloud-basierte Tool bietet automatisierte undEinheitliche Protokollverwaltung für alle Ihre Umgebungen. Es sammelt, aggregiert und durchsucht Protokolldaten aus Cloud-, Server-, Anwendungs-, Sicherheits- und Netzwerkressourcen.
Das Alert Logic Log Manager Beinhaltet Protokollüberwachung und -analyse sowieProtokollprüfung, die von menschlichen Analysatoren live durchgeführt wird. Die Experten von Alert Logic werden Sie 365 Tage im Jahr über mögliche Bedrohungsaktivitäten informieren. Der Service wird auch dazu beitragen, die Protokollprüfungsanforderungen von SOC 2, HIPAA und SOX zu erfüllen und die Last der Prüfung von Protokollen und der Nachverfolgung von Ereignissen zu entlasten, um PCI / DSS 10.6, 10.6.1, 10.6.3 zu entsprechen
Preisinformationen für die Alert Logic Log Manager ist nicht ohne weiteres über das Internet verfügbar und Sie müssen sich an den Alert Logic-Vertrieb wenden, um ein offizielles Angebot zu erhalten. Eine kostenlose Testversion ist ebenfalls nicht verfügbar. Sie können jedoch eine kostenlose Demo anfordern, indem Sie sich an Alert Logic wenden.
7. LogDNA
Gegründet im Jahr 2015, LogDNA ist das neue Kind auf dem Block. Das Unternehmen behauptet, dass “LogDNA ist die schnellste, intuitivste undkostengünstiges Protokollverwaltungssystem “. Alles beginnt mit der Installation, die nur einige Minuten dauert, bevor Sie mit der Überwachung Ihrer Protokolle beginnen können. Unabhängig davon, wie Protokolle generiert und übertragen werden, stehen Hunderte von benutzerdefinierten Integrationsschemata zur Verfügung, um Protokolle in einem einzigen Bereich zu zentralisieren.
LogDNA kann Cloud-basiert oder selbst gehostet sein, abhängig vondeine Vorliebe. Es ist hochgradig skalierbar und kann Hunderttausende von Protokollen pro Sekunde und Dutzende von Terabyte pro Kunde pro Tag in absoluter Sicherheit mit Echtzeit-Protokollanalyse verarbeiten. Das Unternehmen und seine Produkte sind SOC2-, PCI- und HIPAA-konform sowie Privacy Shield-zertifiziert.
Mit seinem einfachen Preismodell (Pay-per-GB)Ohne Verträge und feste Datenmengen hat das Unternehmen eine der niedrigsten Gesamtbetriebskosten. Mehrere Abonnements sind mit zunehmenden Funktionen verfügbar. Der Bottom-Tier-Plan ist kostenlos und die bezahlten Pläne variieren zwischen 1,50 USD / GB / Monat und 3 USD / GB / Monat, abhängig von der Aufbewahrungsdauer und der Anzahl der Benutzer. Eine kostenlose 14-Tage-Testversion mit vollem Funktionsumfang ist ebenfalls verfügbar.
8. Graylog
Als letztes auf unserer Liste steht ein Produkt namens Graylog. Das Produkt bietet viele interessante Funktionen. Das Tool analysiert und erweitert Protokolle und Ereignisdaten aus beliebigen Datenquellen. Die Verarbeitungs-Pipelines ermöglichen eine gewisse Flexibilität beim Weiterleiten, Sperren, Ändern und Anreichern von Nachrichten in Echtzeit. Graylog durchsucht Terabytes an Protokolldaten, um wichtige Informationen zu finden und zu analysieren. Mit der leistungsstarken Suchsyntax finden Sie genau das, wonach Sie suchen.
Mit Graylogkönnen Sie Dashboards zur Visualisierung von Metriken erstellenund Trends an einem zentralen Ort beobachten. Auf der Seite mit den Suchergebnissen können Sie Feldstatistiken, schnelle Werte und Diagramme verwenden, um Ihre Daten genauer zu analysieren. Das System hat auch die Möglichkeit, Aktionen auszulösen oder Benachrichtigungen zu Ereignissen wie fehlgeschlagenen Anmeldeversuchen, Ausnahmen oder Leistungseinbußen auszugeben.
Graylog ist entweder als freie und Open-Source-Version erhältlich,Version mit eingeschränkten Funktionen, die ebenfalls nur eingeschränkten Support bietet, oder als Enterprise-Version mit erweiterten Funktionen und uneingeschränktem Support. Eine Testlizenz erhalten Sie auch über die Kontaktaufnahme Graylog Der Umsatz.
Bemerkungen