Dagens systemer genererer mye loggingdata. På mange plattformer blir hver enkelt hendelse, viktig eller ikke, logget et sted. Vanligvis blir logger lagret lokalt. Dette er fornuftig ettersom logger er knyttet til kilden. Men når vi prøver å feilsøke problemer og finne deres årsak, betyr det ofte at vi må se på flere loggfiler på mange enheter. Ville det ikke være fint hvis alle loggene fra alle enhetene var lagret ett sted? Loggbehandling er det og mye mer, som du skal finne ut av. Og i dag gjennomgår vi de beste loggstyringssystemene.
Vi starter med å prøve å forklare hvilken loggledelse er. Som du vil se, kan det være mye mer enn bare å sentralisere logglagring. Deretter snakker vi om loggprotokoller. Det er ganske viktig ettersom loggadministrasjon sannsynligvis ikke ville eksistere uten dem. Vi vil deretter prøve å skille syslog-servere fra loggstyringssystemer. Dessverre er det ingen klar avgrensning mellom dem. Vi følger med på en diskusjon om systemer for sikkerhetsinformasjon og hendelsesadministrasjon fordi dette er en annen type system som ofte forveksles med loggstyring, takket være den noe uklare definisjonen av hver. Og til slutt vil vi gjennomgå de åtte topp loggstyringssystemene vi kunne finne.
Loggbehandling - Hva det er
La oss gjøre det før vi kan snakke om loggadministrasjonse hva en logg er. Enkelt definert er en logg den automatisk produserte og tidsstemplete dokumentasjonen av hendelser som er relevante for et bestemt system. Hver gang en hendelse finner sted i et system, genereres en logg. Ulike systemer vil generere logger for forskjellige hendelser, og mange systemer gir administratorer en viss grad av kontroll over hva som genererer en logg og hva som ikke gjør det.
Når vi snakker om loggstyring, er vi detmed referanse til prosessene og policyene som brukes for å administrere og lette generering, overføring, analyse, lagring, arkivering og eventuell avhending av store mengder loggdata. Loggstyring innebærer et sentralisert system der logger fra flere kilder samles.
Men loggstyring er ikke bare loggsamling. Ledelsesdelen er den viktigste. Loggstyringssystemer har vanligvis flere funksjoner, og samler logger er bare en av dem.
Når loggene er mottatt av loggledelsensystem, må de "oversettes" til et vanlig format. Ulike systemer formater logger på en annen måte og inkluderer forskjellige data i loggene. Noen starter en logg med dato og klokkeslett, noen starter den med et hendelsesnummer. Noen inkluderer bare en log-ID, mens andre inneholder en fullstendig tekstbeskrivelse av hendelsen. Et av formålene med loggstyringssystemer er å sikre at alle innsamlede loggoppføringer lagres i et enhetlig format. Dette vil gjøre søk og sammenheng med hendelser mye enklere.
Snakker om å søke og til og med korrelasjon,dette er en annen viktig funksjon i mange loggstyringssystemer. Noen av dem har en kraftig søkemotor som lar administratorer nullstille nøyaktig hva de trenger. Korrelasjonsfunksjoner grupperer automatisk relaterte hendelser, selv om de er fra forskjellige kilder. Hvordan — og hvor vellykket — forskjellige loggstyringssystemer oppnår det er en viktig differensierende faktor.
Loggprotokoller
Logghåndtering ville være mye vanskeligere, hvisi det hele tatt mulig, hvis det ikke var for loggføringsprotokoller. Noen få av dem eksisterer som definerer hvilke data som skal inkluderes i logger, hvordan de skal formateres og hvordan de skal overføres mellom systemer.
Syslog er uten tvil den mest brukte loggprotokollen. Oppfunnet på begynnelsen av åttitallet, har det blitt de-facto-standarden for Unix-lignende systemer. En av de største eiendelene til syslog-protokollen er hvordan den skiller programvaren som genererer logger, systemet som lagrer dem, og programvaren som rapporterer og analyserer dem. Å bruke Syslog-protokollen gjør logghåndtering mye enklere. Mange ikke-Unix-enheter, for eksempel svitsjerutere og annet nettverksutstyr fra mange leverandører, bruker en variant av syslog-protokollen.
Microsoft Windows bruker, som du kanskje har gjettetet annet loggesystem. Det kan ha å gjøre med at Windows-operativsystemer og applikasjoner har logger som vanligvis inneholder mye mer informasjon enn syslog tillater. Heldigvis gir Windows Event Collector-funksjonene et middel for loggstyringssystemer som kan brukes til å motta hendelser fra Windows-verter.
Uansett hvilken loggprotokoll som brukes, enviktig del av loggadministrasjonen er å konfigurere enheter for å sende loggene til styringssystemet. Dette er forskjellig fra andre verktøy som nettverksovervåkingssystemer, der verktøyet henter data fra vertene.
Loggservere mot loggstyring
Siden den har vært tilgjengelig på alle Unix-lignendesystem for en god stund, hvis Syslog ofte brukes som en logg-server med en datamaskin som mottar syslog-data fra flere andre. Selv om denne sentraliserte lagringen av logger har klare fordeler, er det ikke loggstyring.
For å fortjene navnet på Log Management System, aProduktet må inneholde minst noen av de mer avanserte funksjonene. I følge Wikipedia består loggstyring av følgende funksjoner: loggsamling, sentralisert loggsamling, langsiktig logglagring og oppbevaring, loggrotasjon, logganalyse, loggsøk og rapportering. Loggservere tilbyr ofte bare loggsamling og lagring og sjelden mer enn det. Hvert av loggstyringssystemene på vår toppliste tilbyr minst noen av de mer avanserte funksjonene.
Hva med SIEM-systemer?
En annen populær teknologi som ofte er dettilknyttet logger og forvirret med loggstyringssystemer er sikkerhetsinformasjon og hendelsesadministrasjon, eller SIEM. Dette er ganske forskjellig fra loggstyring, selv om det er nært beslektet. Noen produkter som annonseres som loggstyringssystemer er faktisk SIEM-systemer, mens noen grunnleggende SIEM-systemer ikke er noe annet enn loggstyringssystemer.
Hovedårsaken til den forvirringen er den loggenledelse - eller i det minste logganalyse - er en viktig komponent i SIEM-systemer. Faktisk tar SIEM-systemer vanligvis loggstyring til neste nivå ved å legge til litt intelligens til prosessen. Disse systemene utfører loganalyse med det endelige målet å identifisere sikkerhetsproblemer. De vil for eksempel se etter tegn på mislykkede pålogginger som kan indikere et uautorisert inntrengningsforsøk. Disse systemene skanner automatisk loggoppføringer på jakt etter noe uvanlig.
SIEM-systemer har mer å gjøre med IT-sikkerhetenn IT-administrasjon, og mens noen inkluderer omfattende loggstyringsfunksjoner, kan mange også bruke et eksternt loggstyringssystem, og det er ikke uvanlig å se begge systemene som kjører side om side.
Den beste loggstyringsprogramvaren
Nå som vi har en felles forståelse av hvaloggstyring er og hva det ikke er, la oss se på hva som er tilgjengelig. Vi har søkt på markedet etter noen av de beste loggstyringssystemene. Vårt første funn er at det er mange av dem og mange av dem veldig bra. Men vi har bare så mye plass, så vi er i ferd med å gjennomgå de åtte mest interessante vi kunne finne.
1. SolarWinds Papertrail
SolarWinds er et vanlig navn innennettverksadministrasjonsverktøy. Det har eksistert i nesten 20 år og har brakt oss et av de beste overvåkingsverktøyene for båndbredde og et av de beste NetFlow-analysatorene og samlerne. Selskapet er også kjent for å publisere flere gratis verktøy som imøtekommer noen spesifikke behov hos nettverksadministratorer som subnettkalkulator eller en syslog-server.
For noen år siden kjøpte SolarWinds Papirspor, et populært loggstyringssystem. Den samler loggfiler fra et bredt utvalg av populære produkter som Apache eller MySQL, så vel som Ruby on Rails-apper, forskjellige nettskyvertjenester og andre standard tekstloggfiler. Papirspor brukere kan deretter bruke det nettbaserte søkegrensesnittet eller kommandolinjeverktøyene for å søke gjennom disse filene for å diagnostisere feil og ytelsesproblemer. Papirspor integrerer også med andre SolarWinds-produkter som Librato og Geckoboard for å få grafiske resultater.
Papirspor er en skybasert programvare som en tjeneste (SaaS)tilbud fra SolarWinds. Det er enkelt å implementere, bruke og forstå. Og det vil gi deg øyeblikkelig synlighet på alle systemer på få minutter. Verktøyet har en veldig effektiv søkemotor som kan søke både i lagrede og streaminglogger. Og det er lynrask.
Papirspor er tilgjengelig under flere planer, inkludert en gratisplan. Det er imidlertid noe begrenset, og tillater bare 100 MB logger hver måned. Det vil imidlertid tillate 16 GB logger i løpet av den første måneden, noe som tilsvarer å gi deg en gratis prøveperiode på 30 dager. Betalte planer starter på $ 7 / måned for 1 GB / måned med logger, 1 års arkiv og 1 uke med indeks. Støyfiltrering lar verktøyet bevare data ved ikke å lagre unyttige logger.
2. SolarWinds Log & Event Manager (GRATIS PRØVEPERIODE)
Vår neste oppføring er et annet produkt fra SolarWinds kalt the Solarwinds Logg & Event Manager. I motsetning til forrige oppføring, er dette enlokalt installert produkt. Og det er også mye mer enn bare et loggstyringssystem. Mange av de avanserte funksjonene til dette produktet setter det i SIEM-serien. Det har for eksempel ventekorrelasjon i sanntid og sanering i sanntid.
Her er en oversikt over SolarWinds Log & Event ManagerHovedfunksjonene. Det eliminerer trusler raskt ved å øyeblikkelig oppdage mistenkelig aktivitet og automatiserte svar. Den kan også utføre undersøkelser av sikkerhetshendelser og rettsmedisiner for å dempe og overholde kravene. Og når vi snakker om samsvar, vil produktet tillate deg å demonstrere det, takket være revisjonsprøvd rapportering for blant annet HIPAA, PCI DSS og SOX. Dette verktøyet har også overvåking av filintegritet og overvåking av USB-enheter, to funksjoner som ligger over det vi ofte ser i loggstyringssystemer.
Prisene for SolarWinds Log & Event Manager start på $ 4585 for opptil 30 overvåkte noder. Lisenser for opptil 2500 noder kan kjøpes, noe som gjør produktet svært skalerbart. Og hvis du vil bekrefte at produktet passer riktig for deg, er en gratis, full funksjonalitet 30-dagers prøveversjon tilgjengelig.
3. ipswitch Log Management Suite
De Log Management Suite er et verktøy fra Ipswitch, det samme selskapet sombrakte oss WhatsUp Gold, et utrolig populært verktøy for nettverksovervåking. Dette er et automatisert verktøy som samler, lagrer, arkiverer og lagrer systemlogger, Windows-hendelser og W3C / IIC-logger. Videre vil dens kontinuerlige loggovervåking varsle deg om mistenkelig aktivitet.
Ofte reviderte hendelser som tilgangsrettigheterog fil-, mappe- og objektprivilegier kan følges, og generere varsler etter behov og brukes til å lage samsvarsrapporter for HIPAA, SOX, FISMA, PCI, MiFID eller Basel II samsvar. Verktøyet kan også hjelpe deg med å omdanne råloggdataene dine til betydningsfulle data for ledere eller IT-sikkerhetsteam, takket være automatisert filtrering, korrelering, rapportering og konvertering.
Prisinformasjon for Log Management Suite er ikke lett tilgjengelig fra Ipswitch. Produktet kan kjøpes enten direkte fra utgiveren eller gjennom Ipswitchs forhandlernettverk. En gratis prøveversjon er også tilgjengelig.
4. ManageEngine EventLog Analyzer
ManageEngine, et annet vanlig navn med nettverksadministrator, lager et utmerket loggstyringssystem som heter ManageEngine EventLog Analyzer. Produktet vil samle inn, administrere, analysere, korrelere og søke gjennom loggdata fra over 700 kilder ved å bruke en kombinasjon eller agentløs og agentbasert loggsamling samt loggimport.
Hastighet er en av ManageEngine EventLog AnalyzerStyrke. Den kan behandle loggdata på imponerende 25 000 logger / sekund og oppdage angrep i sanntid. Den kan også utføre hurtig rettsmedisinske analyser for å redusere virkningen av et brudd. Systemets revisjonsfunksjoner utvides til å omfatte nettverkets omkretsenheters logger, brukeraktiviteter, endring av serverkonto, brukertilganger og mer, noe som hjelper deg å oppfylle sikkerhetsrevisjonsbehov.
De ManageEngine EventLog Analyzer er tilgjengelig i en funksjonsredusert gratis utgavesom bare støtter 5 loggkilder eller i en premiumutgave som starter på $ 595 og varierer avhengig av antall enheter og applikasjoner. En gratis, full funksjonalitet 30-dagers prøveversjon er også tilgjengelig.
5. Nagios Log Server
Nagios er mest kjent for sin utmerkede programvare for nettverksovervåking, men Log Server er muligens like interessant. Helt kalt the Nagios Log Server, tilbyr sentralisert loggstyring, overvåking og analyse. De Nagios Log Server forenkler prosessen med å søke i loggdataene dine. Den lar deg også stille inn varsler for å bli varslet om potensielle trusler. Programvaren har dessuten høy tilgjengelighet og fail-over innebygd rett i. Dens enkle kildekonfigurasjonsveivisere vil hjelpe deg med å raskt konfigurere servere til å sende alle loggdata og begynne å overvåke loggene dine på få minutter .
De Nagios Log Server lar deg enkelt korrelere logghendelser på tvers av alleservere med bare noen få klikk. Og det lar deg se loggdata i sanntid, noe som gir deg muligheten til å analysere og løse problemer når de oppstår. Produktet har imponerende skalerbarhet, og det vil fortsette å dekke dine behov når organisasjonen din vokser. Ytterligere Nagios Log Server forekomster kan legges til en overvåkningsklynge, slik at du raskt kan legge til mer kraft, hastighet, lagring og pålitelighet.
Enkeltinstansprisen for Nagios Log Server er $ 3 995 og selv om en gratis prøveversjon ikke ser ut til å være tilgjengelig, er det en gratis online demo hvis du foretrekker å ta en førstehånds titt på produktet.
6. Alert Logic Log Manager
Hovedfokus for Alert Logic er sikkerhet og etterlevelse. Og siden loggstyring er nært knyttet til begge deler, er det ingen overraskelse at selskapet tilbyr Alert Logic Log Manager. Dette skybaserte verktøyet tilbyr automatiserte ogenhetlig loggstyring i alle miljøene dine. Den vil samle inn, samle og søke i loggdata fra skyen, serveren, applikasjonen, sikkerheten og nettverksressursene.
De Alert Logic Log Manager inkluderer loggovervåking og analyse samtlogggjennomgang som gjøres live av menneskelige analysatorer. Eksperter fra Alert Logic vil varsle deg om mulig trusselaktivitet 365 dager i året. Tjenesten vil også hjelpe deg med å oppfylle kravene til logggjennomgang fra SOC 2, HIPAA og SOX og avlaste byrden ved å gjennomgå logger og følge opp hendelser, for å overholde PCI / DSS 10.6, 10.6.1, 10.6.3
Prisinformasjon for Alert Logic Log Manager er ikke lett tilgjengelig fra nettet, og du må kontakte Alert Logic-salget for å få et formelt tilbud. En gratis prøveversjon er heller ikke tilgjengelig, men en gratis demo kan ordnes ved å kontakte Alert Logic.
7. LogDNA
Stiftet i 2015, LogDNA er den nye ungen på blokka. Selskapet hevder at “LogDNA er den raskeste, mest intuitive, ogkostnadseffektivt loggstyringssystem ”. Det hele starter med installasjonen som bare tar et par minutter før du kan begynne å overvåke loggene dine. Uansett hvordan logger blir generert og overført, er hundrevis av tilpassede integrasjonsordninger tilgjengelige for å sentralisere logger i en enkelt rute.
LogDNA kan være skybasert eller selv vert, avhengig avdin preferanse. Det er svært skalerbart og kan håndtere hundretusener av tømmerstokker i sekundet og dusinvis av terabyte per kunde, per dag i total sikkerhet med sanntids logganalyse. Selskapet og dets produkter er SOC2, PCI og HIPAA-kompatible samt Privacy Shield-sertifisert.
Med sin enkle prismodell med betaling per GB hvilkeneliminerer kontrakter og faste datafelter, har selskapet en av de laveste totale eierkostnadene. Flere abonnementsplaner er tilgjengelige med økende funksjoner. Den nederste nivå planen er gratis og betalte planer varierer fra $ 1,50 / GB / måned til $ 3 / GB / måned, avhengig av oppbevaringsvarighet og antall brukere. En gratis 14-dagers prøveversjon med full funksjonalitet er også tilgjengelig.
8. Graylog
Sist på listen vår er et produkt som heter Graylog. Produktet tilbyr mange interessante funksjoner. Verktøyet vil analysere og berike logger og hendelsesdata fra hvilken som helst datakilde. Prosesseringsrørledningene gir mulighet for litt fleksibilitet i ruting, svartelisting, endring og berikelse av meldinger i sanntid. Graylog vil søke gjennom terabyte med loggdata for å oppdage og analysere viktig informasjon. Den kraftige søkesyntaxen lar deg finne nøyaktig hva du leter etter.
Med Graylog, kan du lage dashbord for å visualisere beregningerog observere trender på ett sentralt sted. Du kan bruke feltstatistikk, hurtigverdier og diagrammer fra søkeresultatsiden for å dykke inn for en dypere analyse av dataene dine. Systemet har også muligheten til å utløse handlinger eller gi ut varsler om hendelser som for eksempel mislykkede påloggingsforsøk, unntak eller prestasjonsforringelse.
Graylog er tilgjengelig enten som en gratis og åpen kildekode,funksjonsbegrenset versjon som også har begrenset støtte eller som bedriftsversjon med utvidede funksjoner og ubegrenset støtte. En prøvelisens kan også fås ved å kontakte Graylog salg.
kommentarer