De systemen van vandaag genereren veel logboekregistratiegegevens. Op veel platforms wordt elk evenement, belangrijk of niet, ergens vastgelegd. Doorgaans worden logboeken lokaal opgeslagen. Dit is logisch omdat logboeken zijn gekoppeld aan hun bron. Maar wanneer we proberen problemen op te lossen en de oorzaak ervan te vinden, betekent dit vaak dat we naar meerdere logbestanden op verschillende apparaten moeten kijken. Zou het niet mooi zijn als alle logboeken van alle apparaten op één plaats waren opgeslagen? Logboekbeheer is dat en nog veel meer, zoals u binnenkort gaat ontdekken. En vandaag evalueren we de beste logbeheersystemen.
We beginnen met het proberen uit te leggen welk logboekmanagement is. Zoals u zult zien, kan het veel meer zijn dan alleen het centraliseren van logopslag. Vervolgens zullen we het hebben over logprotocollen. Het is tamelijk belangrijk omdat logboekbeheer zonder hen waarschijnlijk niet zou bestaan. We zullen dan proberen syslog-servers te onderscheiden van logbeheersystemen. Helaas is er geen duidelijke afbakening tussen hen. We zullen volgen met een discussie over beveiligingsinformatie- en gebeurtenisbeheersystemen omdat dit een ander type systeem is dat vaak wordt verward met logboekbeheer, dankzij de enigszins onduidelijke definitie van elk. En ten slotte zullen we de top acht logbeheersystemen bekijken die we konden vinden.
Logboekbeheer - wat het is
Voordat we het over logbeheer kunnen hebben, laten we beginnenzien wat een logboek is. Eenvoudig gedefinieerd, een logboek is de automatisch geproduceerde en tijdgestempelde documentatie van gebeurtenissen die relevant zijn voor een bepaald systeem. Wanneer een gebeurtenis op een systeem plaatsvindt, wordt een logboek gegenereerd. Verschillende systemen genereren logboeken voor verschillende gebeurtenissen en veel systemen geven beheerders een zekere mate van controle over wat een log genereert en wat niet.
Als we het hebben over logbeheer, zijn we datverwijzend naar de processen en beleidsregels die worden gebruikt voor het beheren en vergemakkelijken van het genereren, verzenden, analyseren, opslaan, archiveren en eventueel verwijderen van grote hoeveelheden logboekgegevens. Logboekbeheer impliceert een gecentraliseerd systeem waar logboeken van meerdere bronnen worden verzameld.
Maar logboekbeheer is niet alleen logboekverzameling. Het managementgedeelte is het belangrijkste. Logbeheersystemen hebben meestal meerdere functionaliteiten, waarbij logs slechts één daarvan zijn.
Zodra logboeken zijn ontvangen door het logboekbeheersysteem, ze moeten worden "vertaald" in een gemeenschappelijk formaat. Verschillende systemen formatteren logs anders en nemen verschillende gegevens op in hun logs. Sommigen beginnen een logboek met de datum en tijd, anderen beginnen met een gebeurtenisnummer. Sommige bevatten alleen een log-ID, terwijl andere een volledige tekstuele beschrijving van de gebeurtenis bevatten. Een van de doelen van logbeheersystemen is ervoor te zorgen dat alle verzamelde logboekvermeldingen in een uniform formaat worden opgeslagen. Dit maakt het zoeken en de correlatie van gebeurtenissen in de regel veel eenvoudiger.
Over zoeken en zelfs correlatie gesproken,dit is een andere belangrijke functie van veel logbeheersystemen. Sommigen van hen hebben een krachtige zoekmachine waarmee beheerders precies kunnen bepalen wat ze nodig hebben. Correlatiefuncties zullen gerelateerde gebeurtenissen automatisch groeperen, zelfs als ze uit verschillende bronnen komen. Hoe - en hoe succesvol - verschillende logbeheersystemen dit bereiken, is een belangrijke onderscheidende factor.
Logboekprotocollen
Logboekbeheer zou veel moeilijker zijn alshelemaal niet mogelijk, als het niet voor logboekprotocollen was. Er zijn er een paar die bepalen welke gegevens in logboeken moeten worden opgenomen, hoe die moeten worden opgemaakt en hoe ze tussen systemen moeten worden overgedragen.
Syslog is misschien wel het meest gebruikte logboekprotocol. Uitgevonden in de vroege jaren tachtig, is het de de facto standaard geworden voor Unix-achtige systemen. Een van de grootste troeven van het syslog-protocol is hoe het de software scheidt die logs genereert, het systeem dat ze opslaat en de software die ze rapporteert en analyseert. Het gebruik van het Syslog-protocol maakt logbeheer veel eenvoudiger. Veel niet-Unix-apparaten, zoals switchrouters en andere netwerkapparatuur van veel leveranciers, gebruiken een variant van het syslog-protocol.
Microsoft Windows, zoals je misschien al geraden hebt, gebruikteen ander logsysteem. Het kan te maken hebben met het feit dat Windows-besturingssystemen en -applicaties logboeken bevatten die doorgaans veel meer informatie bevatten dan syslog toestaat. Gelukkig bieden de Windows Event Collector-functies een middel waarmee logbeheersystemen gebeurtenissen van Windows-hosts kunnen ontvangen.
Ongeacht welk logboekprotocol wordt gebruikt, eenbelangrijk onderdeel van logbeheer is het configureren van apparaten om hun logboeken naar het beheersysteem te sturen. Dit verschilt van andere tools zoals netwerkbewakingssystemen, waarbij de tool gegevens van de hosts ophaalt.
Logservers versus logboekbeheer
Omdat het beschikbaar is op elke Unix-achtigesysteem voor een behoorlijk lange tijd, Syslog indien vaak gebruikt als een log server met een computer die syslog-gegevens van verschillende anderen ontvangt. Hoewel deze gecentraliseerde opslag van logboeken duidelijke voordelen heeft, is het geen logboekbeheer.
Om de naam van het logbeheersysteem te verdienen, aproduct moet ten minste enkele van de meer geavanceerde functies bevatten. Volgens Wikipedia bestaat logboekbeheer uit de volgende functies: logboekverzameling, gecentraliseerde logboekaggregatie, logboekopslag en -retentie op lange termijn, logboekrotatie, logboekanalyse, logboekonderzoek en rapportage. Logservers bieden vaak alleen de verzameling en opslag van logs en zelden meer dan dat. Elk van de logbeheersystemen op onze toplijst biedt ten minste enkele van de meer geavanceerde functies.
Hoe zit het met SIEM-systemen?
Een andere populaire technologie die vaak isgeassocieerd met logs en verward met log management systemen is Security Information and Event Management, of SIEM. Dit is heel anders dan logbeheer, hoewel het nauw verwant is. Sommige producten die worden geadverteerd als logbeheersystemen, zijn in feite SIEM-systemen, terwijl sommige standaard SIEM-systemen niets meer zijn dan logbeheersystemen.
De belangrijkste reden voor die verwarring is dat logboekbeheer - of tenminste loganalyse - is een belangrijk onderdeel van SIEM-systemen. In feite brengen SIEM-systemen logboekbeheer doorgaans naar het volgende niveau door wat intelligentie aan het proces toe te voegen. Deze systemen voeren loganalyses uit met als uiteindelijk doel beveiligingsproblemen te identificeren. Ze zullen bijvoorbeeld zoeken naar tekenen van mislukte aanmeldingen die zouden wijzen op een ongeautoriseerde inbraakpoging. Deze systemen scannen logboekitems automatisch op zoek naar iets ongewoons.
SIEM-systemen hebben meer te maken met IT-beveiligingdan IT-beheer en hoewel sommige uitgebreide functies voor logbeheer bevatten, kunnen veel ook externe logbeheersystemen gebruiken en het is niet ongewoon om beide systemen naast elkaar te zien werken.
De beste logbeheersoftware
Nu we een gemeenschappelijk begrip hebben van watlogboekbeheer is en wat het niet is, laten we eens kijken wat er beschikbaar is. We hebben de markt doorzocht op enkele van de beste logbeheersystemen. Onze eerste bevinding is dat er veel zijn en veel erg goed. Maar we hebben maar zoveel ruimte, dus we gaan de acht meest interessante bekijken die we konden vinden.
1. SolarWinds Papertrail
SolarWinds is een veel voorkomende naam op het gebied vanhulpmiddelen voor netwerkbeheer. Het bestaat al bijna 20 jaar en heeft ons een van de beste bandbreedtebewakingsinstrumenten en een van de beste NetFlow-analysers en -verzamelaars gebracht. Het bedrijf staat ook bekend om het publiceren van verschillende gratis tools die voorzien in een aantal specifieke behoeften van netwerkbeheerders, zoals een subnetcalculator of een syslog-server.
Een paar jaar geleden heeft SolarWinds het overgenomen PaperTrail, een populair logbeheersysteem. Het verzamelt logbestanden van een breed scala aan populaire producten zoals Apache of MySQL, evenals Ruby on Rails-apps, verschillende cloudhostingservices en andere standaard tekstlogbestanden. PaperTrail gebruikers kunnen vervolgens de webgebaseerde zoekinterface of de opdrachtregelprogramma's gebruiken om door deze bestanden te zoeken om bugs en prestatieproblemen te helpen diagnosticeren. PaperTrail integreert ook met andere SolarWinds-producten zoals Librato en Geckoboard voor grafische resultaten.
PaperTrail is een cloudgebaseerde software as a service (SaaS)aanbod van SolarWinds. Het is eenvoudig te implementeren, gebruiken en begrijpen. En het geeft u binnen enkele minuten direct zicht op alle systemen. De tool heeft een zeer effectieve zoekmachine die zowel opgeslagen als streaming logs kan doorzoeken. En het is razendsnel.
PaperTrail is beschikbaar onder verschillende plannen, waaronder een gratisplan. Het is echter enigszins beperkt en staat elke maand slechts 100 MB aan logboeken toe. Het staat echter 16 GB aan logboeken toe in de eerste maand, wat overeenkomt met een gratis proefperiode van 30 dagen. Betaalde abonnementen beginnen bij $ 7 / maand voor 1 GB / maand aan logbestanden, 1 jaar archief en 1 week index. Met ruisfiltering kan de tool gegevens bewaren door nutteloze logboeken niet op te slaan.
2. SolarWinds Log & Event Manager (GRATIS PROEF)
Onze volgende inzending is een ander product van SolarWinds genaamd de SolarWinds Log & Event Manager. In tegenstelling tot onze vorige invoer is dit eenlokaal geïnstalleerd product. En het is ook veel meer dan alleen een logbeheersysteem. Veel van de geavanceerde functies van dit product plaatsen het in het SIEM-assortiment. Het heeft bijvoorbeeld real-time ventcorrelatie en realtime remediëring.
Hier is een overzicht van de SolarWinds Log & Event ManagerDe belangrijkste kenmerken. Het elimineert bedreigingen snel met behulp van onmiddellijke detectie van verdachte activiteiten en geautomatiseerde antwoorden. Het kan ook onderzoek naar beveiligingsgebeurtenissen en forensisch onderzoek uitvoeren voor mitigatie en compliance. En over compliance gesproken, met het product kunt u het demonstreren, onder andere dankzij de beproefde rapportage voor HIPAA, PCI DSS en SOX. Deze tool heeft ook bestandsintegriteitsbewaking en USB-apparaatbewaking, twee functies die veel hoger zijn dan wat we vaak zien in logbeheersystemen.
Prijzen voor de SolarWinds Log & Event Manager start bij $ 4.585 voor maximaal 30 bewaakte knooppunten. Licenties voor maximaal 2500 knooppunten kunnen worden gekocht, waardoor het product zeer schaalbaar is. En als u hands-on wilt controleren of het product geschikt is voor u, is een gratis, volledig functionele proefversie van 30 dagen beschikbaar.
3. ipswitch Log Management Suite
De Log Management Suite is een tool van Ipswitch, hetzelfde bedrijf datbracht ons WhatsUp Gold, een immens populaire tool voor netwerkbewaking. Dit is een geautomatiseerde tool die systeemlogboeken, Windows-evenementen en W3C / IIC-logboeken verzamelt, opslaat, archiveert en opslaat. Bovendien waarschuwt de continue logbewaking u voor verdachte activiteiten.
Regelmatig gecontroleerde evenementen zoals toegangsrechtenen bestands-, map- en objectrechten kunnen worden gevolgd, waar nodig waarschuwingen worden gegenereerd en worden gebruikt om compliancerapporten op te stellen voor naleving van HIPAA, SOX, FISMA, PCI, MiFID of Basel II. De tool kan u ook helpen uw onbewerkte loggegevens om te zetten in betekenisvolle gegevens voor managers of IT-beveiligingsteams, dankzij de geautomatiseerde filter-, correlatie-, rapportage- en conversiefuncties.
Prijsinformatie voor de Log Management Suite is niet direct verkrijgbaar bij Ipswitch. Het product kan rechtstreeks bij de uitgever of via het resellersnetwerk van Ipswitch worden gekocht. Een gratis proefversie is ook beschikbaar.
4. ManageEngine EventLog Analyzer
ManageEngine, een andere veel voorkomende naam bij netwerkbeheerder, maakt een uitstekend logbeheersysteem genaamd de ManageEngine EventLog Analyzer. Het product verzamelt, beheert, analyseert, correleert en doorzoekt de logboekgegevens van meer dan 700 bronnen met behulp van een combinatie of agentloze en agentgebaseerde logboekverzameling en logboekimport.
Snelheid is een van de ManageEngine EventLog AnalyzerKracht. Het kan loggegevens verwerken met een indrukwekkende 25.000 logs / seconde en aanvallen in realtime detecteren. Het kan ook snelle forensische analyses uitvoeren om de impact van een inbreuk te verminderen. De auditmogelijkheden van het systeem strekken zich uit tot de logs van de netwerkperimeter-apparaten, gebruikersactiviteiten, serveraccountwijzigingen, gebruikerstoegang en meer, zodat u kunt voldoen aan de behoeften van beveiligingsaudits.
De ManageEngine EventLog Analyzer is beschikbaar in een gratis versie met beperkte functionaliteitdie slechts 5 logbronnen ondersteunt of in een premiumeditie die begint bij $ 595 en varieert afhankelijk van het aantal apparaten en applicaties. Een gratis, volledig functionele proefversie van 30 dagen is ook beschikbaar.
5. Nagios-logserver
Nagios staat vooral bekend om zijn uitstekende netwerkbewakingssoftware, maar de log-server is mogelijk net zo interessant. Aptly genoemd Nagios Log Server, het biedt gecentraliseerd logboekbeheer, monitoring en analyse. De Nagios Log Server vereenvoudigt het zoeken naar uw loggegevens. Hiermee kunt u ook waarschuwingen instellen om op de hoogte te worden gehouden van mogelijke bedreigingen. Bovendien heeft de software een hoge beschikbaarheid en ingebouwde failover. Dankzij de eenvoudige wizards voor het instellen van de bron kunt u snel servers configureren om alle loggegevens te verzenden en uw logs binnen enkele minuten te controleren. .
De Nagios Log Server kunt u logboekgebeurtenissen eenvoudig met elkaar correlerenservers in slechts een paar klikken. En hiermee kunt u loggegevens in realtime bekijken, waardoor u problemen kunt analyseren en oplossen wanneer ze zich voordoen. Het product biedt een indrukwekkende schaalbaarheid en zal blijven voldoen aan uw behoeften naarmate uw organisatie groeit. Extra Nagios Log Server exemplaren kunnen worden toegevoegd aan een bewakingscluster, zodat u snel meer vermogen, snelheid, opslag en betrouwbaarheid kunt toevoegen.
De prijs in één instantie voor de Nagios Log Server is $ 3 995 en hoewel een gratis proefversie niet beschikbaar lijkt te zijn, is een gratis online demo het geval als u het product liever uit de eerste hand wilt bekijken.
6. Alert Logic Log Manager
De belangrijkste focus van Alert Logic is beveiliging en compliance. En aangezien logboekbeheer nauw met beide is verbonden, is het geen verrassing dat het bedrijf het aanbiedt Alert Logic Log Manager. Deze cloudgebaseerde tool biedt geautomatiseerde enuniform logbeheer in al uw omgevingen. Het verzamelt, verzamelt en doorzoekt loggegevens van de cloud, server, applicatie, beveiliging en netwerkactiva.
De Alert Logic Log Manager omvat logboekbewaking en -analyse evenalslogbeoordeling die live wordt gedaan door menselijke analysatoren. De experts van Alert Logic zullen u 365 dagen per jaar waarschuwen voor mogelijke bedreigingsactiviteiten. De service helpt ook bij het voldoen aan de vereisten voor logbeoordeling van SOC 2, HIPAA en SOX en ontlast de last van het controleren van logboeken en het opvolgen van gebeurtenissen om te voldoen aan PCI / DSS 10.6, 10.6.1, 10.6.3
Prijsinformatie voor de Alert Logic Log Manager is niet direct beschikbaar via internet en u moet contact opnemen met de verkoop van Alert Logic voor een formele offerte. Een gratis proefversie is ook niet beschikbaar, maar een gratis demo kan worden geregeld door contact op te nemen met Alert Logic.
7. LogDNA
Opgericht in 2015, LogDNA is het nieuwe kind in de buurt. Het bedrijf beweert dat 'LogDNA is de snelste, meest intuïtieve enkosteneffectief logbeheersysteem ”. Het begint allemaal met de installatie, die slechts enkele minuten duurt voordat u kunt beginnen met het controleren van uw logboeken. Hoe logboeken ook worden gegenereerd en verzonden, er zijn honderden aangepaste integratieschema's beschikbaar om logboeken in één venster te centraliseren.
LogDNA kan cloudgebaseerd of zelfgehost zijn, afhankelijk vanjouw voorkeur. Het is zeer schaalbaar en kan honderdduizenden logs per seconde en tientallen terabytes per klant verwerken, per dag in totale beveiliging met realtime loganalyse. Het bedrijf en zijn producten zijn SOC2-, PCI- en HIPAA-compliant en Privacy Shield-gecertificeerd.
Met zijn eenvoudige, pay-per-GB prijsmodel datelimineert contracten en vaste data-emmers, het bedrijf heeft een van de laagste totale eigendomskosten. Verschillende abonnementen zijn beschikbaar met toenemende functies. Het bottom-tier-abonnement is gratis en betaalde abonnementen variëren van $ 1,50 / GB / maand tot $ 3 / GB / maand, afhankelijk van de bewaartijd en het aantal gebruikers. Een gratis 14-daagse proefversie met volledige functionaliteit is ook beschikbaar.
8. Graylog
Als laatste op onze lijst staat een product genaamd Graylog. Het product biedt veel interessante functies. De tool parseert en verrijkt logboeken en gebeurtenisgegevens uit elke gegevensbron. De verwerkingspijplijnen zorgen voor enige flexibiliteit bij het in realtime routeren, blacklisten, wijzigen en verrijken van berichten. Graylog zoekt in terabytes aan loggegevens om belangrijke informatie te ontdekken en te analyseren. Met de krachtige zoeksyntaxis kunt u precies vinden wat u zoekt.
Met Graylog, kunt u dashboards maken om statistieken te visualiserenen trends observeren op één centrale locatie. U kunt veldstatistieken, snelle waarden en grafieken van de pagina met zoekresultaten gebruiken om in te duiken voor een diepere analyse van uw gegevens. Het systeem heeft ook de optie om acties te activeren of meldingen te geven over gebeurtenissen zoals mislukte inlogpogingen, uitzonderingen of prestatievermindering.
Graylog is beschikbaar als gratis en open-source,functie-gelimiteerde versie die ook beperkte ondersteuning heeft of als een enterprise-versie met uitgebreide functies en onbeperkte ondersteuning. Een proeflicentie kan ook worden verkregen door contact op te nemen Graylog verkoop.
Comments