Met de systemen van vandaag genereren ze heel veel logboekregistratiegegevens, het is geen verrassing dat beheerders altijd op zoek zijn naar oplossingen voor logbeheer. Logboeken worden standaard vaak lokaal opgeslagen. Dit is logisch omdat het gemakkelijk is om ze aan hun bron te koppelen. Maar wanneer we proberen problemen op te lossen en de oorzaak ervan te achterhalen, moeten we soms naar meerdere logbestanden op verschillende apparaten kijken. Zou het niet mooi zijn als alle logboeken van alle apparaten op één centrale plek waren opgeslagen? Dit is het doel van logboekbeheer. En als uw voorkeursplatform Linux is, zijn er tal van opties beschikbaar. Lees verder terwijl we enkele van de beste logboekbeheer voor Linux ontdekken
We beginnen met het definiëren van logbeheer. U zult zien dat het veel meer kan zijn dan alleen het centraliseren van logopslag. Vervolgens zullen we verschillende loggingtechnologieën bespreken. Ze zijn de hoeksteen van het logboekbeheer en het zou waarschijnlijk niet bestaan zonder hen. Verder gaan we syslog-servers onderscheiden van logbeheersystemen en realiseren we ons dat er geen duidelijke scheiding tussen is. Vervolgens pauzeren we kort en bespreken we beveiligingsinformatie- en gebeurtenisbeheersystemen. Ze zijn een ander type systeem dat vaak wordt verward met logboekbeheer, dankzij de ietwat onduidelijke definitie van elk. En tot slot zullen we het beste logbeheer voor Linux bekijken.
Wat is logboekbeheer?
Voordat we over logbeheer kunnen praten, laten we beginnendefinieer wat een logboek is. Eenvoudig gedefinieerd, een logboek is de automatisch geproduceerde en tijdgestempelde documentatie van een gebeurtenis die relevant is voor een bepaald systeem. Met andere woorden, wanneer een gebeurtenis op een systeem plaatsvindt, wordt een logboek gegenereerd. Systemen en apparaten genereren logboeken voor verschillende soorten gebeurtenissen en veel systemen geven beheerders enige mate van controle over welke gebeurtenis een log genereert en welke niet.
Wat betreft logboekbeheer, het verwijst eenvoudigweg naarde processen en beleidsregels die worden gebruikt voor het beheren en vergemakkelijken van het genereren, verzenden, analyseren, opslaan, archiveren en eventueel verwijderen van grote hoeveelheden logboekgegevens. Hoewel niet duidelijk vermeld, impliceert logboekbeheer een gecentraliseerd systeem waarbij logboeken van meerdere bronnen worden verzameld. Logboekbeheer is echter niet alleen logboekverzameling. Het is het managementgedeelte dat het belangrijkst is. En logbeheersystemen hebben vaak meerdere functionaliteiten, het verzamelen van logs is daar slechts een van.
Zodra logboeken zijn ontvangen door het logboekbeheersysteem, moeten ze worden gestandaardiseerd in een gemeenschappelijk formaat omdat verschillende systeemindelingen anders loggen en verschillende gegevens bevatten. Sommigen beginnen een logboek met de datum en tijd, anderen beginnen met een gebeurtenisnummer. Sommige bevatten alleen een gebeurtenis-ID, terwijl anderen een volledige tekstbeschrijving van de gebeurtenis bevatten. Een van de doelen van logbeheersystemen is ervoor te zorgen dat alle verzamelde logboekvermeldingen in een uniform formaat worden opgeslagen. Dit zal de correlatie tussen gebeurtenissen en uiteindelijk zoeken veel eenvoudiger maken.
Zelfs correlatie en zoeken zijn twee extrabelangrijke functies van verschillende logbeheersystemen. De beste van hen hebben een krachtige zoekmachine waarmee beheerders precies kunnen bepalen wat ze nodig hebben. Correlatiefuncties zullen gerelateerde gebeurtenissen automatisch groeperen, zelfs als ze uit verschillende bronnen komen. Hoe - en hoe succesvol - verschillende logbeheersystemen dit bereiken, is een belangrijke onderscheidende factor.
LEES OOK: 15 beste tools voor netwerkbewaking (onze eigen review)
Loggingtechnologieën
Logboekbeheer zou veel moeilijker zijn,misschien zelfs niet mogelijk, als het niet was voor logboekprotocollen. Een paar daarvan bestaan. Ze bepalen welke gegevens in logboeken moeten worden opgenomen, hoe die moeten worden opgemaakt en soms hoe ze tussen systemen moeten worden overgedragen.
Syslog is misschien wel de meest gebruikte logboekregistratieprotocol, vooral in de Linux-wereld. De technologie werd uitgevonden in de vroege jaren tachtig en is de de facto standaard geworden voor alle Unix-achtige systemen. Een van de grootste troeven van de syslog-technologie is hoe het de scheiding vergemakkelijkt tussen het systeem of de software die logboeken genereert, het systeem dat ze opslaat en de software die ze rapporteert en analyseert. Het gebruik van de Syslog-technologie maakt logbeheer veel eenvoudiger. En Syslog is niet exclusief voor Unix. Veel niet-Unix-apparaten zoals switches, routers en allerlei apparatuur van veel leveranciers gebruiken een variant van het syslog-protocol.
Er zijn andere loggingtechnologieën. Microsoft Windows gebruikt bijvoorbeeld een ander logsysteem. Het kan te maken hebben met het feit dat Windows-besturingssystemen en -applicaties logboeken bevatten die doorgaans meer gedetailleerde informatie bevatten dan de Syslog-technologie toestaat. Gelukkig bieden de Windows Event Collector-functies een middel voor logboekbeheer dat verschillende systemen kunnen gebruiken om gebeurtenissen van Windows-hosts te ontvangen. Dit bericht gaat over Linux-logboekbeheer, dus laten we niet te veel tijd verspillen aan Windows.
Welke loggingtechnologie ook wordt gebruikt, eenbelangrijk onderdeel van logbeheer is het configureren van apparaten om hun logboeken naar het beheersysteem te sturen. Andere soorten tools zoals netwerkbewakingssystemen kunnen gegevens ophalen van de systemen die ze bewaken, maar met logbeheer moet elk apparaat worden “verteld” waar het zijn logs naartoe moet sturen. Het is echter een relatief eenvoudige taak die vaak wordt volbracht door een eenvoudig commando te geven.
VERDERE LEZING: Beste netwerkdiagramtoewijzing en topologiesoftware
Logservers of Logbeheer?
Omdat het beschikbaar is op elke Unix-achtigesysteem - inclusief Linux - al een tijdje wordt Syslog vaak gebruikt als logserver waarbij één computer Syslog-gegevens van verschillende anderen ontvangt. Hoewel deze gecentraliseerde opslag van logboeken duidelijke voordelen heeft, is het niet voldoende om logbeheer te worden genoemd.
Om de naam van het logbeheersysteem te verdienen, aproduct moet ten minste enkele van de meer geavanceerde functies bevatten. Volgens Wikipedia bestaat "logboekbeheer uit de volgende functies: logboekverzameling, gecentraliseerde logboekaggregatie, logboekopslag en -retentie op lange termijn, logboekrotatie, logboekanalyse, logboekonderzoek en rapportage". Wauw! Dat is veel functionaliteit. Logservers bieden daarentegen vaak alleen de verzameling en opslag van logs en zelden meer dan dat.
Een woord (of twee) over SIEM
Een andere populaire technologie die wordt geassocieerdmet logboeken en vaak verward met logbeheersystemen is Beveiligingsinformatie en Event Management, of SIEM. Dit is anders dan logbeheer, maar het is nauw verwant. De lijn is zo dun dat sommige producten die worden geadverteerd als logbeheersystemen eigenlijk SIEM-systemen zijn, terwijl sommige standaard SIEM-systemen niets meer zijn dan geavanceerde logbeheersystemen.
De verwarring komt voort uit het feit dat logboekbeheer - of op zijn minst loganalyse - is een belangrijk onderdeel van SIEM-systemen. Wat SIEM-systemen onderscheidt, is dat ze loganalyses uitvoeren met als uiteindelijk doel beveiligingsproblemen te identificeren. Ze zullen bijvoorbeeld zoeken naar tekenen van mislukte aanmeldingen die een veelbetekenend teken kunnen zijn van een ongeautoriseerde inbraakpoging. Deze systemen scannen continu logboekvermeldingen op zoek naar iets ongewoons. Hoewel sommige SIEM-systemen uitgebreide functies voor logbeheer bevatten, gebruiken sommige een extern logbeheersysteem en het is niet ongewoon om beide systemen naast elkaar te zien werken.
GERELATEERDE LEZING: Beste IP-scanners voor Mac
Het beste logboekbeheer voor Linux
Hopelijk hebben we er nu een gemeenschappelijk begrip vanwat logbeheer is en wat het niet is. Laten we nu eens kijken wat er beschikbaar is voor Linux. Maar laten we eerst iets verduidelijken. Wanneer we verwijzen naar Linux-logboekbeheer, bedoelen we logboekbeheersystemen die geschikt zijn voor Linux-logboeken en die kunnen worden uitgevoerd op het Linux-platform of in de cloud. Sommige van onze selecties, met name cloud-gebaseerde systemen, werken ook met logboeken van andere platforms.
1. SolarWinds Papertrail (GRATIS PLAN BESCHIKBAAR)
SolarWinds is een begrip geworden onder het netwerkbeheerders. Het maakt al bijna 20 jaar enkele van de beste tools, waardoor we geweldige bandbreedtebewakingsinstrumenten en een van de beste NetFlow-analysers en -verzamelaars hebben. Het bedrijf staat ook bekend om het publiceren van verschillende gratis tools die voorzien in een aantal specifieke behoeften van netwerkbeheerders, zoals een subnetcalculator of een syslog-server.
- GRATIS PLAN: SolarWinds Papertrail
- Officiële downloadlink: https://papertrailapp.com/plans
Niet zo lang geleden, SolarWinds verworven PaperTrail, een populair logbeheersysteem. Het verzamelt logbestanden van een breed scala aan populaire producten, zoals Apache of MySQL, evenals Ruby on Rails-apps, verschillende cloudhostingservices en andere standaard syslog- en tekstgebaseerde logbestanden. PaperTrail gebruikers kunnen vervolgens de webgebaseerde zoekinterface gebruikenof opdrachtregelprogramma's om door deze bestanden te zoeken om verschillende problemen te diagnosticeren. Papertrail kan ook worden geïntegreerd met andere SolarWinds-producten zoals Librato en Geckoboard voor grafische resultaten.
PaperTrail is een cloudgebaseerde software as a service (SaaS)aanbod van SolarWinds. Cloud-gebaseerd zijn betekent dat het goed werkt in een volledig Linux-omgeving. Het platform is eenvoudig te implementeren, gebruiken en begrijpen en geeft u binnen enkele minuten direct zicht op alle systemen. Bovendien heeft het product een zeer effectieve zoekmachine die zowel opgeslagen als streaming logs kan doorzoeken. En het is razendsnel.
PaperTrail is beschikbaar onder verschillende plannen, waaronder een gratisplan. Het is echter enigszins beperkt en staat elke maand slechts 100 MB aan logboeken toe. Het staat echter 16 GB aan logboeken toe in de eerste maand, wat overeenkomt met een gratis proefperiode van 30 dagen. Betaalde abonnementen beginnen bij $ 7 / maand voor 1 GB / maand aan logbestanden, 1 jaar archief en 1 week index. Met ruisfiltering kan de tool gegevens bewaren door nutteloze logboeken niet op te slaan.
2. Loggly
Loggly is een andere cloudgebaseerde online service. In de eerste plaats een logconsolidator, maar biedt ook loganalyse-functionaliteit. Omdat het cloudgebaseerd is, vereist dit systeem geen installatie en is het klaar voor gebruik vanaf het moment dat u zich abonneert. Natuurlijk moeten uw systemen en apparaten worden geconfigureerd om hun standaardlogbestanden periodiek naar de online server te uploaden.
- GRATIS PROEF: Loggly plannen
- Officiële link: https://www.loggly.com
Loggly converteert vervolgens de ontvangen logboekgegevens naar eenstandaardformaat, waardoor de analyser records uit verschillende bronnen kan verwerken en gebeurtenissen tracking en correlatie tussen alle systemen mogelijk maakt, ongeacht hun besturingssysteem of loggingtechnologie. De bronnen met loggegevens zijn niet beperkt tot uw lokale servers. Het systeem kan natuurlijk logs verwerken die zijn gegenereerd door online servers, zoals Amazon's AWS en het kan berichten bevatten die zijn gemaakt door specifieke applicaties zoals Docker en Logstash, om er maar een paar te noemen.
De Loggly service is beschikbaar onder drie verschillende plannen,met toenemende limieten voor gegevensverwerking en bewaartijden. U moet de juiste kiezen om u voldoende ruimte te geven voor uw loggegevens. Het instapplan wordt genoemd Loggly Lite. Het is gratis te gebruiken. Volgens dit plan kunt u 200 MB logboekgegevens per dag uploaden en zal het systeem elke record zeven dagen bewaren. Het volgende is het standaardplan dat u een uploadlimiet van 1 GB per dag geeft en records gedurende 30 dagen bewaart. Met betaalde abonnementen kunt u ook meerdere gebruikersaccounts gebruiken. Met het standaardpakket kunt u drie gebruikersaccounts hebben. De bovenste laag wordt genoemd Loggly Onderneming. Het heeft geen limiet voor het aantal gebruikersaccounts dat u kunt instellen en prijzen variëren afhankelijk van de hoeveelheid uploadcapaciteit en de bewaarperiode die u nodig heeft. Betaling voor alle betaalde abonnementen kan maandelijks of jaarlijks plaatsvinden en een gratis proefperiode van 14 dagen is beschikbaar op het standaardabonnement.
3. Splunk
Splunk is een bekende - binnen het systeembeheercommunity — uitgebreid logbeheersysteem voor Linux, Mac OS en Windows. Sommigen beschouwen het niet alleen als een standaard logbeheersysteem, maar als een volwaardig inbraakpreventiesysteem. Het product is beschikbaar in drie versies. Bovenaan staat Splunk Enterprise dat meer een netwerkbeheersysteem is dan een logbeheertool. Prijzen beginnen bij $ 173 per maand en je krijgt veel functionaliteit.
Er is ook een gratis versie van Splunk dat is eigenlijk hetzelfde hulpmiddel zonder een paarzijn meest geavanceerde functionaliteiten. In wezen is het beperkt tot analyse van logbestanden. U kunt elk van uw standaard logbestanden invoeren of live gegevens via een bestand naar de analyser sturen. De gratis versie heeft een paar beperkingen. Het kan bijvoorbeeld slechts één gebruikersaccount hebben en de gegevensdoorvoer is beperkt tot 500 MB aan logboeken per dag. Datasorteer- en filterfunctionaliteit is ingebouwd in Splunk, wat u helpt bij het oplossen van problemen. U kunt deze functies gebruiken om logboekrecords op datum te verdelen en elke groep naar nieuwe bestanden te schrijven. In feite is deze functionaliteit zeer flexibel.
4. Nagios Log Server
Nagios is vooral bekend om zijn uitstekende netwerkbewakingssoftware, maar de Log Server is net zo interessant. Het product wordt eenvoudigweg het Nagios Log Server en het biedt gecentraliseerd logbeheer,monitoring en analyse. Deze tool kan het zoeken naar uw loggegevens aanzienlijk vereenvoudigen. Hiermee kunt u ook waarschuwingen instellen om op de hoogte te worden gehouden van mogelijke bedreigingen. Bovendien is de software hoog beschikbaar en is fail-over ingebouwd. Bovendien helpen de eenvoudige wizards voor het instellen van de bron u snel servers configureren om alle loggegevens te verzenden en binnen enkele minuten uw logs te controleren.
De Nagios Log Server zorgt voor een gemakkelijke correlatie van loggebeurtenissenop alle servers in slechts een paar klikken. Met het systeem kunt u loggegevens in realtime bekijken, zodat u problemen kunt analyseren en oplossen wanneer ze zich voordoen. Het product biedt een indrukwekkende schaalbaarheid en zal blijven voldoen aan uw behoeften naarmate uw organisatie groeit. Extra Nagios Log Server exemplaren kunnen worden toegevoegd aan een bewakingscluster, zodat u snel meer vermogen, snelheid, opslag en betrouwbaarheid kunt toevoegen.
De prijs in één instantie voor de Nagios Log Server is $ 3 995 en hoewel een gratis proefversie niet beschikbaar lijkt te zijn, is een gratis online demo dat wel, mocht u het product liever uit de eerste hand willen bekijken.
5. Graylog
Volgende op onze lijst is een product genaamd Graylog. Het product biedt veel interessante functies. De tool parseert en verrijkt logboeken en gebeurtenisgegevens uit elke gegevensbron. De verwerkingspijplijnen zorgen voor enige flexibiliteit bij het in realtime routeren, blacklisten, wijzigen en verrijken van berichten. Graylog zoekt in terabytes aan loggegevens om belangrijke informatie te ontdekken en te analyseren. Met de krachtige zoeksyntaxis kunt u precies vinden wat u zoekt.
Met Graylog, kunt u dashboards maken om statistieken te visualiserenen trends observeren op één centrale locatie. U kunt veldstatistieken, snelle waarden en grafieken van de pagina met zoekresultaten gebruiken om in te duiken voor een diepere analyse van uw gegevens. Het systeem heeft ook de optie om acties te activeren of meldingen te geven over gebeurtenissen zoals mislukte inlogpogingen, uitzonderingen of prestatievermindering.
Graylog is een gratis, open-source logbestandgebaseerd systeem datkan u veel meer functionaliteit bieden dan alleen een hulpprogramma voor het archiveren van logboeken. Deze loganalysator heeft een grafische gebruikersinterface en kan worden uitgevoerd op Ubuntu, Debian, CentOS en SUSE Linux. Je kunt het ook uitvoeren op een virtuele machine op Microsoft Windows en je kunt het Graylog-systeem op Amazon AWS installeren.
6. ManageEngine EventLog Analyzer
ManageEngine, een andere veel voorkomende naam onder de netwerkbeheerder, maakt een uitstekend logbeheersysteem genaamd de ManageEngine EventLog Analyzer. Het product verzamelt, beheert, analyseert, correleert en doorzoekt de logboekgegevens van meer dan 700 bronnen met behulp van een combinatie van agentloze en agentgebaseerde logboekverzameling en logboekimport.
Snelheid is een van de ManageEngine EventLog AnalyzerKracht. Het kan loggegevens verwerken met een indrukwekkende 25.000 logs / seconde en aanvallen in realtime detecteren. Het kan ook snelle forensische analyses uitvoeren om de impact van een inbreuk te verminderen. De auditmogelijkheden van het systeem strekken zich uit tot de logs van de netwerkperimeter-apparaten, gebruikersactiviteiten, serveraccountwijzigingen, gebruikerstoegang en meer, zodat u kunt voldoen aan de behoeften van beveiligingsaudits.
De ManageEngine EventLog Analyzer is beschikbaar in een gratis versie met beperkte functionaliteitdie slechts 5 logbronnen ondersteunt of in een premiumeditie die begint bij $ 595 en varieert afhankelijk van het aantal apparaten en applicaties. Een gratis, volledig functionele proefversie van 30 dagen is ook beschikbaar.
Comments