- - 6 beste verktøy for logbehandling for Linux i 2019

6 Beste verktøy for logbehandling for Linux i 2019

Med dagens systemer som genererer massevis av loggingdata, er det ingen overraskelse at administratorer alltid leter etter løsninger for loggadministrasjon. Logger lagres som standard ofte lokalt. Dette er fornuftig da det gjør det enkelt å knytte dem til kilden. Men når vi prøver å feilsøke problemer og finne årsaken til dem, må vi noen ganger se på flere loggfiler på mange enheter. Ville det ikke være fint hvis alle loggene fra alle enhetene var lagret på ett, sentralt sted? Dette er formålet med logghåndtering. Og hvis din valgte plattform er Linux, er det mange tilgjengelige alternativer. Les videre når vi oppdager noen av de beste loggadministrasjonene for Linux

Logbehandlingsverktøy for Linux

Vi starter med å definere loggstyring. Du vil se at det kan være mye mer enn bare å sentralisere logglagring. Deretter diskuterer vi forskjellige loggingsteknologier. De er hjørnesteinen i loggstyring, og det ville sannsynligvis ikke eksistert uten dem. Fortsatt vil vi skille syslog-servere fra loggstyringssystemer og innse at det ikke er noen tydelig avgrensning mellom dem. Deretter tar vi en kort pause og diskuterer sikkerhetsinformasjon og hendelsesstyringssystemer. De er en annen type system som ofte forveksles med loggstyring, takket være den noe uklare definisjonen av hver. Og til slutt vil vi gjennomgå den beste loggadministrasjonen for Linux.

Hva er loggstyring?

La oss gjøre det før vi kan snakke om logghåndteringdefinere hva en logg er. Enkelt definert er en logg den automatisk produserte og tidsstemplete dokumentasjonen av en hendelse som er relevant for et bestemt system. Med andre ord, når en hendelse finner sted i et system, genereres en logg. Systemer og enheter vil generere logger for forskjellige typer hendelser, og mange systemer gir administratorer en viss grad av kontroll over hvilken hendelse som genererer en logg og hvilken som ikke gjør det.

Når det gjelder loggstyring, refererer det ganske enkelt tilprosessene og policyene som brukes til å administrere og lette generering, overføring, analyse, lagring, arkivering og eventuell avhending av store mengder loggdata. Selv om det ikke er klart angitt, innebærer loggstyring et sentralisert system der logger fra flere kilder er samlet. Loggbehandling er imidlertid ikke bare loggsamling. Det er ledelsesdelen som er den viktigste. Og loggstyringssystemer har ofte flere funksjoner, og samler logger er bare en av dem.

Når loggene er mottatt av loggledelsensystem, må de standardiseres i et felles format da forskjellige systemer logger annerledes og inkluderer forskjellige data. Noen starter en logg med dato og klokkeslett, noen starter den med et hendelsesnummer. Noen inkluderer bare en hendelses-ID, mens andre inneholder en fulltekstbeskrivelse av hendelsen. Et av formålene med loggstyringssystemer er å sikre at alle innsamlede loggoppføringer lagres i et enhetlig format. Dette vil sammenheng med hendelser og eventuell søk mye lettere nedover linjen.

Til og med korrelasjon og søking er to tilhovedfunksjoner i flere loggstyringssystemer. De beste av dem har en kraftig søkemotor som lar administratorer nullstille nøyaktig hva de trenger. Korrelasjonsfunksjoner grupperer automatisk relaterte hendelser, selv om de er fra forskjellige kilder. Hvordan — og hvor vellykket — forskjellige loggstyringssystemer oppnår det er en viktig differensierende faktor.

LES OGSÅ: 15 beste verktøy for nettverksovervåking (vår egen anmeldelse)

Loggingsteknologier

Loggstyring ville være mye vanskeligere,kanskje ikke engang mulig, hvis det ikke var for loggføringsprotokoller. Noen få av dem eksisterer. De definerer hvilke data som skal inkluderes i logger, hvordan de skal formateres og noen ganger hvordan de skal overføres mellom systemer.

Syslog er uten tvil den mest brukte loggføringenprotokoll, spesielt i Linux-verdenen. Teknologien ble oppfunnet på begynnelsen av åttitallet og har blitt de-facto-standarden for alle Unix-lignende systemer. En av de største eiendelene til syslog-teknologien er hvordan den letter separasjonen mellom systemet eller programvaren som genererer logger, systemet som lagrer dem, og programvaren som rapporterer og analyserer dem. Å bruke Syslog-teknologien gjør logghåndtering mye enklere. Og Syslog er ikke en Unix-eksklusiv. Mange ikke-Unix-enheter som brytere, rutere og alle slags utstyr fra mange leverandører bruker en variant av syslog-protokollen.

Det er andre loggingsteknologier. Microsoft Windows bruker for eksempel et annet loggesystem. Det kan ha å gjøre med at Windows-operativsystemer og applikasjoner har logger som vanligvis inneholder mer detaljert informasjon enn Syslog-teknologien tillater. Heldigvis gir Windows Event Collector-funksjonene et middel for loggstyring som forskjellige systemer kan bruke til å motta hendelser fra Windows-verter. Dette innlegget handler om Linux-loggadministrasjon, så la oss ikke kaste bort for mye tid på Windows.

Uansett hvilken loggingsteknologi som brukes, enviktig del av loggadministrasjonen er å konfigurere enheter for å sende loggene til styringssystemet. Andre typer verktøy, for eksempel nettverksovervåkningssystemer, kan hente data fra systemene de overvåker, men med loggstyring må hver enhet "bli fortalt" hvor de skal sende loggene. Det er imidlertid en relativt enkel oppgave som ofte utføres ved å utstede en enkel kommando.

VIDERE LESNING: Beste programvare for kartlegging og topologi av nettverksdiagrammer

Loggservere eller loggstyring?

Siden den har vært tilgjengelig på alle Unix-lignendesystem - inkludert Linux - for en god stund blir Syslog ofte brukt som en loggserver med en datamaskin som mottar Syslog-data fra flere andre. Selv om denne sentraliserte lagringen av logger har klare fordeler, er det ikke nok å bli kalt loggstyring.

For å fortjene navnet på Log Management System, aProduktet må inneholde minst noen av de mer avanserte funksjonene. I følge Wikipedia består "loggstyring av følgende funksjoner: loggsamling, sentralisert loggaggregering, langsiktig logglagring og oppbevaring, loggrotasjon, logganalyse, loggsøk og rapportering". Wow! Det er mye funksjonalitet. Loggservere derimot tilbyr ofte bare loggsamling og lagring og sjelden mer enn det.

Et ord (eller to) om SIEM

En annen populær teknologi som er tilknyttetmed logger og ofte forvekslet med loggstyringssystemer er sikkerhetsinformasjon og hendelsesadministrasjon, eller SIEM. Dette er forskjellig fra loggstyring, men det er nært beslektet. Linjen er så tynn mellom dem at noen produkter som annonseres som loggstyringssystemer faktisk er SIEM-systemer, mens noen grunnleggende SIEM-systemer ikke er noe mer enn avanserte loggstyringssystemer.

Forvirringen stammer fra det faktum at loggledelse - eller i det minste logganalyse - er en viktig komponent i SIEM-systemer. Det som skiller SIEM-systemer er at de utfører logganalyse med det endelige målet å identifisere sikkerhetsproblemer. De vil for eksempel se etter tegn på mislykkede pålogginger som kan være et fortellingstegn på et uautorisert inntrengningsforsøk. Disse systemene skanner kontinuerlig loggoppføringer på jakt etter noe utenom det vanlige. Noen SIEM-systemer inneholder omfattende loggstyringsfunksjoner, men noen bruker et eksternt loggstyringssystem, og det er ikke uvanlig å se begge systemene som kjører side om side.

RELATERT LESING: Beste IP-skannere for Mac

Den beste loggadministrasjonen for Linux

Forhåpentligvis har vi nå en felles forståelse avhva loggstyring er og hva det ikke er. Så la oss se på hva som er tilgjengelig for Linux. Men først, la oss avklare noe. Når vi refererer til Linux-loggadministrasjon, er det vi mener logghåndteringssystemer som har plass til Linux-logger, og som enten vil kjøre på Linux-plattformen eller i skyen. Noen av valgene våre - spesielt skybaserte systemer - vil også fungere med logger fra andre plattformer.

1. SolarWinds Papertrail (GRATIS PLAN TILGJENGELIG)

Solarwinds har blitt et husholdningsnavn blant nettverkadministratorer. Det lager noen av de beste verktøyene på nesten 20 år, og gir oss gode overvåkningsverktøy for båndbredde og et av de beste NetFlow-analysatorene og samlerne. Selskapet er også kjent for å publisere flere gratis verktøy som imøtekommer noen spesifikke behov hos nettverksadministratorer som subnettkalkulator eller en syslog-server.

SolarWinds Papertrail instrumentbord

  • GRATIS PLAN: SolarWinds Papertrail
  • Offisiell nedlastingslenke: https://papertrailapp.com/plans

Ikke så lenge siden, Solarwinds ervervet Papirspor, et populært loggstyringssystem. Den samler loggfiler fra et bredt utvalg av populære produkter som Apache eller MySQL, så vel som Ruby on Rails-apper, forskjellige nettskyvertjenester og andre standard syslog- og tekstbaserte loggfiler. Papirspor brukere kan deretter bruke det nettbaserte søkegrensesnitteteller kommandolinjeverktøy for å søke gjennom disse filene for å diagnostisere forskjellige problemer. Papertrail integreres også med andre SolarWinds-produkter som Librato og Geckoboard for graferingsresultater.

Papirspor er en skybasert programvare som en tjeneste (SaaS)tilbud fra SolarWinds. Å være skybasert betyr at det vil fungere fint i et Linux-miljø. Plattformen er enkel å implementere, bruke og forstå, og den vil gi deg øyeblikkelig synlighet på alle systemer i løpet av få minutter. Videre har produktet en veldig effektiv søkemotor som kan søke både i lagrede og streaminglogger. Og det er lynrask.

Papirspor er tilgjengelig under flere planer, inkludert en gratisplan. Det er imidlertid noe begrenset, og tillater bare 100 MB logger hver måned. Det vil imidlertid tillate 16 GB logger i løpet av den første måneden, noe som tilsvarer å gi deg en gratis prøveperiode på 30 dager. Betalte planer starter på $ 7 / måned for 1 GB / måned med logger, 1 års arkiv og 1 uke med indeks. Støyfiltrering lar verktøyet bevare data ved ikke å lagre unyttige logger.

2. Loggly

Loggly er en annen skybasert online tjeneste. Primært en loggkonsolidering, og tilbyr også loggeanalysefunksjonalitet. I kraft av å være skybasert krever dette systemet ingen installasjon og er klart til å bruke i det øyeblikket du abonnerer. Selvfølgelig må systemene og enhetene dine konfigureres slik at de jevnlig laster opp standardloggfilene til den elektroniske serveren.

Loggly-skjermbilde

  • GRATIS PRØVEPERIODE: Loggly planer
  • Offisiell lenke: https://www.loggly.com

Loggly konverterer deretter de mottatte loggdataene til astandardformat, og lar dermed analysatoren behandle poster fra forskjellige kilder og muliggjøre sporings og sammenhenger av hendelser på tvers av alle systemer, uavhengig av operativsystem eller loggingsteknologi. Kildene til loggdata er ikke begrenset til lokale servere. Systemet er selvfølgelig i stand til å behandle logger generert av online-servere, for eksempel Amazons AWS, og det kan inkludere meldinger laget av spesifikke applikasjoner som Docker og Logstash, bare for å nevne noen.

De Loggly tjenesten er tilgjengelig under tre forskjellige planer,med økende databehandlingsgrenser og oppbevaringstid. Du må velge den rette for å gi deg nok plass til loggdataene dine. Inngangsplanen heter Loggly Lite. Det er gratis å bruke. I henhold til denne planen kan du laste opp 200 MB loggdata per dag, og systemet vil beholde hver post i syv dager. Neste er standardplanen som gir deg en opplastningsfradrag på 1 GB per dag og beholder poster i 30 dager. Betalte planer lar deg også bruke flere brukerkontoer. Med Standard-pakken kan du ha tre brukerkontoer. Det øverste laget heter Loggly Bedriften. Det har ingen begrensning for antall brukerkontoer du kan sette opp, og prisene varierer avhengig av mengden opplastningskapasitet og oppbevaringsperioden du trenger. Betaling for alle betalte planer kan være enten månedlig eller årlig, og en gratis 14-dagers prøveversjon er tilgjengelig på Standardplanen.

3. Splunk

Splunk er et velkjent — innen systemadministrasjonencommunity - omfattende loggbehandlingssystem for Linux, Mac OS og Windows. Flere enn bare et grunnleggende logghåndteringssystem, anser noen for å være et fullverdig innbruddsforebyggende system. Produktet er tilgjengelig i tre versjoner. På toppen er Splunk Enterprise som er mer et nettverksstyringssystem i stedet for bare et loggstyringsverktøy. Prisingen starter på $ 173 per måned, og du får mye funksjonalitet.

Skjermbilde av Splunk Log Management

Det er også en gratis versjon av Splunk som i utgangspunktet er det samme verktøyet uten noe avdets mest avanserte funksjonaliteter. I hovedsak er det begrenset til analyse av loggfiler. Du kan mate inn hvilken som helst av dine standard loggfiler eller sende den direktedata gjennom en fil til analysatoren. Gratisversjonen har noen begrensninger. Det kan for eksempel bare ha en brukerkonto, og datagjennomstrømningen er begrenset til 500 MB logger per dag. Datasorterings- og filtreringsfunksjonalitet er innebygd i Splunk, noe som letter feilsøkingsarbeidet ditt. Du kan bruke disse funksjonene til å dele loggposter etter dato og skrive ut hver gruppe til nye filer. Faktisk er denne funksjonaliteten veldig fleksibel.

4. Nagios Log Server

Nagios er mest kjent for sin utmerkede programvare for nettverksovervåking, men Log-serveren er like interessant. Produktet kalles ganske enkelt the Nagios Log Server og det tilbyr sentralisert loggstyring,overvåking og analyse. Dette verktøyet kan i stor grad forenkle prosessen med å søke i loggdataene dine. Den lar deg også stille varsler for å bli varslet om potensielle trusler. Programvaren har dessuten høy tilgjengelighet og fail-over innebygd rett i den. Videre vil de enkle veiviserne for kildekonfigurering hjelpe deg med å raskt konfigurere servere til å sende alle loggdata og begynne å overvåke loggene på få minutter.

Nagios Log Server-sanntidsdata

De Nagios Log Server muliggjør en enkel sammenheng av logghendelserpå tvers av alle servere med bare noen få klikk. Systemet lar deg se loggdata i sanntid, og gir deg muligheten til å analysere og løse problemer når de oppstår. Produktet har imponerende skalerbarhet, og det vil fortsette å dekke dine behov når organisasjonen din vokser. Ytterligere Nagios Log Server forekomster kan legges til en overvåkningsklynge, slik at du raskt kan legge til mer kraft, hastighet, lagring og pålitelighet.

Enkeltinstansprisen for Nagios Log Server er $ 3 995 dollar, og selv om en gratis prøveversjon ikke ser ut til å være tilgjengelig, er en gratis online demo, hvis du foretrekker å ta en førstehånds titt på produktet.

5. Graylog

Neste på vår liste er et produkt som heter Graylog. Produktet tilbyr mange interessante funksjoner. Verktøyet vil analysere og berike logger og hendelsesdata fra hvilken som helst datakilde. Prosesseringsrørledningene gir mulighet for litt fleksibilitet i ruting, svartelisting, endring og berikelse av meldinger i sanntid. Graylog vil søke gjennom terabyte med loggdata for å oppdage og analysere viktig informasjon. Den kraftige søkesyntaxen lar deg finne nøyaktig hva du leter etter.

Graylog-skjermbilde

Med Graylog, kan du lage dashbord for å visualisere beregningerog observere trender på ett sentralt sted. Du kan bruke feltstatistikk, hurtigverdier og diagrammer fra søkeresultatsiden for å dykke inn for en dypere analyse av dataene dine. Systemet har også muligheten til å utløse handlinger eller gi ut varsler om hendelser som mislykkede påloggingsforsøk, unntak eller prestasjonsforringelse.

Graylog er et gratis, open source loggfilbasert system somkan gi deg mye mer funksjonalitet enn bare et loggearkiveringsverktøy. Denne logganalysatoren har et grafisk brukergrensesnitt, og den kan kjøres på Ubuntu, Debian, CentOS og SUSE Linux. Du kan også kjøre den på en virtuell maskin på Microsoft Windows, og du kan installere Graylog-systemet på Amazon AWS.

6. ManageEngine EventLog Analyzer

ManageEngine, et annet vanlig navn blant nettverksadministrator, gjør et utmerket loggstyringssystem kalt ManageEngine EventLog Analyzer. Produktet vil samle inn, administrere, analysere, korrelere og søke gjennom loggdata fra over 700 kilder ved å bruke en kombinasjon av agentløs og agentbasert loggsamling samt loggimport.

ManageEngine EventLog Analyzer

Hastighet er en av ManageEngine EventLog AnalyzerStyrke. Den kan behandle loggdata med imponerende 25 000 logger / sekund og oppdage angrep i sanntid. Den kan også utføre hurtig rettsmedisinske analyser for å redusere virkningen av et brudd. Systemets revisjonsfunksjoner utvides til å omfatte nettverkets omkretsenheters logger, brukeraktiviteter, endring av serverkonto, brukertilganger og mer, noe som hjelper deg å oppfylle sikkerhetsrevisjonsbehov.

De ManageEngine EventLog Analyzer er tilgjengelig i en funksjonsredusert gratis utgavesom bare støtter 5 loggkilder eller i en premiumutgave som starter på $ 595 og varierer avhengig av antall enheter og applikasjoner. En gratis, full funksjonalitet 30-dagers prøveversjon er også tilgjengelig.

Les også

MyGodMode: Vis alle systemoppgaver og Windows-administrasjonsverktøy under en hette
Slik installerer du gruppepolicystyring i Windows 7
De 4 beste ftp-klientene for Linux
Beste Antivirus for Linux i 2019 gjennomgang
7 beste mørke temaer for Linux i 2019
De 6 beste fotoadministrasjonsverktøyene for Linux
Hvordan sette opp Android-utviklingsverktøy på Linux
6 beste verktøy for tidsstyring for Linux
De 7 beste oppgavebehandlerverktøyene for Linux
Slik deaktiverer du uønskede tjenester i Ubuntu Linux
HomeBank administrerer boligfinansiering enkelt på Windows, Mac og Linux
Hindre at skjermen blir tom i Ubuntu

kommentarer