Dzisiejsze systemy generują dużo rejestrowaniadane. Na wielu platformach każde zdarzenie, ważne czy nie, jest gdzieś rejestrowane. Zazwyczaj dzienniki są przechowywane lokalnie. Ma to sens, ponieważ dzienniki są powiązane z ich źródłem. Ale gdy próbujesz rozwiązać problemy i znaleźć ich główną przyczynę, często oznacza to, że musimy spojrzeć na wiele plików dziennika na wielu urządzeniach. Czy nie byłoby miło, gdyby wszystkie dzienniki ze wszystkich urządzeń były przechowywane w jednym miejscu? Zarządzanie logami to wszystko i wiele więcej, gdy już się dowiesz. A dziś sprawdzamy najlepsze systemy zarządzania dziennikami.
Zaczniemy od wyjaśnienia, jaki dziennikzarządzanie jest. Jak zobaczysz, może to być coś więcej niż tylko scentralizowanie przechowywania dzienników. Następnie porozmawiamy o protokołach logowania. Jest to raczej ważne, ponieważ zarządzanie dziennikami prawdopodobnie nie istniałoby bez nich. Spróbujemy następnie odróżnić serwery syslog od systemów zarządzania logami. Niestety nie ma między nimi wyraźnego rozgraniczenia. Kontynuujemy dyskusję na temat systemów bezpieczeństwa i zarządzania zdarzeniami, ponieważ jest to inny typ systemu, który często jest mylony z zarządzaniem logami, dzięki nieco niejasnej definicji każdego z nich. Na koniec dokonamy przeglądu ośmiu najlepszych systemów zarządzania logami, jakie udało nam się znaleźć.
Zarządzanie logami - co to jest
Zanim porozmawiamy o zarządzaniu logami, załóżmyzobacz, co to jest dziennik. Uproszczony dziennik to automatycznie tworzona i opatrzona znacznikiem czasu dokumentacja zdarzeń istotnych dla konkretnego systemu. Ilekroć zdarzenie ma miejsce w systemie, generowany jest dziennik. Różne systemy generują dzienniki dla różnych zdarzeń, a wiele systemów daje administratorom pewien stopień kontroli nad tym, co generuje dziennik, a co nie.
Kiedy mówimy o zarządzaniu logami, to mówimyodnoszące się do procesów i polityk używanych do administrowania i ułatwiania generowania, przesyłania, analizy, przechowywania, archiwizacji i ostatecznego usuwania dużych ilości danych dziennika. Zarządzanie logami oznacza scentralizowany system, w którym gromadzone są logi z wielu źródeł.
Ale zarządzanie dziennikami to nie tylko zbieranie dzienników. Najważniejsza jest część dotycząca zarządzania. Systemy zarządzania dziennikami mają zwykle wiele funkcji, zbieranie dzienników jest tylko jedną z nich.
Po otrzymaniu dzienników przez zarząd dziennikasystem, muszą zostać „przetłumaczone” na wspólny format. Różne systemy różnie formatują dzienniki i zawierają różne dane w swoich dziennikach. Niektóre rozpoczynają rejestr z datą i godziną, niektóre zaczynają od numeru zdarzenia. Niektóre zawierają tylko identyfikator dziennika, a inne zawierają pełny tekstowy opis zdarzenia. Jednym z celów systemów zarządzania dziennikami jest zapewnienie, że wszystkie zebrane wpisy dziennika są przechowywane w jednolitym formacie. To znacznie ułatwi wyszukiwanie i korelację zdarzeń.
Mówiąc o wyszukiwaniu, a nawet korelacji,jest to kolejna ważna funkcja wielu systemów zarządzania logami. Niektóre z nich mają zaawansowaną wyszukiwarkę, która pozwala administratorom dokładnie określić, czego potrzebują. Funkcje korelacji automatycznie grupują powiązane zdarzenia, nawet jeśli pochodzą z różnych źródeł. Jak - i jak skutecznie - osiągają różne systemy zarządzania dziennikami, jest to główny czynnik różnicujący.
Protokoły rejestrowania
Zarządzanie dziennikami byłoby znacznie trudniejszew ogóle możliwe, gdyby nie protokół protokołów. Istnieje kilka z nich, które określają, jakie dane mają być zawarte w logach, jak należy je sformatować i jak powinny być przesyłane między systemami.
Syslog jest prawdopodobnie najczęściej używanym protokołem logowania. Wynaleziony na początku lat osiemdziesiątych, stał się de facto standardem dla systemów uniksopodobnych. Jednym z największych atutów protokołu syslog jest to, w jaki sposób oddziela oprogramowanie, które generuje dzienniki, system, który je przechowuje, oraz oprogramowanie, które je raportuje i analizuje. Korzystanie z protokołu Syslog znacznie ułatwia zarządzanie logami. Wiele urządzeń nieunixowych, takich jak przełączniki, routery i inny sprzęt sieciowy wielu dostawców, korzysta z wariantu protokołu syslog.
Microsoft Windows, jak można się domyślać, używainny system rejestrowania. Może to mieć związek z faktem, że systemy operacyjne i aplikacje Windows mają dzienniki, które zwykle zawierają znacznie więcej informacji niż pozwala na to syslog. Na szczęście funkcje modułu zbierającego zdarzenia systemu Windows umożliwiają systemom zarządzania dziennikami odbieranie zdarzeń od hostów systemu Windows.
Bez względu na używany protokół rejestrowania, anważną częścią zarządzania logami jest konfiguracja urządzeń do wysyłania ich logów do systemu zarządzania. Różni się to od innych narzędzi, takich jak systemy monitorowania sieci, w których narzędzie pobiera dane z hostów.
Log Servers Vs Log Management
Ponieważ był dostępny na każdym Uniksiesystem przez dłuższy czas, Syslog często używany jako serwer logów, a jeden komputer odbiera dane syslog od kilku innych. Chociaż scentralizowane przechowywanie dzienników ma określone zalety, nie jest to zarządzanie dziennikami.
Aby zasłużyć na nazwę Systemu zarządzania logami, aprodukt musi zawierać przynajmniej niektóre bardziej zaawansowane funkcje. Według Wikipedii zarządzanie logami składa się z następujących funkcji: zbieranie logów, scentralizowane agregowanie logów, długoterminowe przechowywanie i przechowywanie logów, rotacja logów, analiza logów, wyszukiwanie logów i raportowanie. Serwery dziennika często oferują tylko gromadzenie i przechowywanie dzienników, a rzadko więcej. Każdy z systemów zarządzania logami z naszej górnej listy oferuje przynajmniej niektóre bardziej zaawansowane funkcje.
Co z systemami SIEM?
Inna popularna technologia, która jest częstoz logami i mylony z systemami zarządzania logami jest Security Information and Event Management, lub SIEM. Jest to całkiem odmienne od zarządzania logami, chociaż jest ściśle powiązane. W rzeczywistości niektóre produkty reklamowane jako systemy zarządzania logami są w rzeczywistości systemami SIEM, podczas gdy niektóre podstawowe systemy SIEM to tylko systemy zarządzania logami.
Głównym powodem tego zamieszania jest ten dziennikzarządzanie - a przynajmniej analiza logów - jest ważnym elementem systemów SIEM. W rzeczywistości systemy SIEM zazwyczaj przenoszą zarządzanie logami na wyższy poziom, dodając nieco inteligencji do procesu. Systemy te przeprowadzają analizę logów, której ostatecznym celem jest identyfikacja problemów bezpieczeństwa. Będą na przykład szukać oznak nieudanego logowania, które wskazywałyby na nieautoryzowaną próbę włamania. Systemy te automatycznie skanują wpisy dziennika w poszukiwaniu czegokolwiek niezwykłego.
Systemy SIEM mają więcej wspólnego z bezpieczeństwem ITniż zarządzanie IT i chociaż niektóre z nich zawierają rozbudowane funkcje zarządzania logami, wielu może również korzystać z zewnętrznych systemów zarządzania logami i często zdarza się, że oba systemy działają obok siebie.
Najlepsze oprogramowanie do zarządzania logami
Teraz, gdy mamy wspólne rozumienie tego, cozarządzanie logami jest, a czym nie jest, rzućmy okiem na to, co jest dostępne. Przeszukaliśmy rynek w poszukiwaniu najlepszych systemów zarządzania logami. Nasze początkowe odkrycie jest takie, że jest ich wiele, a wiele z nich jest bardzo dobrych. Ale mamy tylko tyle miejsca, więc zamierzamy przejrzeć osiem najciekawszych, jakie mogliśmy znaleźć.
1. SolarWinds Papertrail
SolarWinds to popularna nazwa w dziedzinienarzędzia do administrowania siecią. Istnieje już od prawie 20 lat i przyniósł nam jedno z najlepszych narzędzi do monitorowania przepustowości oraz jeden z najlepszych analizatorów i kolektorów NetFlow. Firma jest również znana z publikowania kilku bezpłatnych narzędzi, które spełniają określone potrzeby administratorów sieci, takich jak kalkulator podsieci lub serwer syslog.
Kilka lat temu zakupiono SolarWinds Papierowy szlak, popularny system zarządzania logami. Gromadzi pliki dziennika z wielu popularnych produktów, takich jak Apache lub MySQL, a także aplikacje Ruby on Rails, różne usługi hostingu w chmurze i inne standardowe pliki dziennika tekstowego. Papierowy szlak użytkownicy mogą następnie skorzystać z internetowego interfejsu wyszukiwania lub narzędzi wiersza polecenia do przeszukiwania tych plików, aby pomóc w diagnozowaniu błędów i problemów z wydajnością. Papierowy szlak integruje się również z innymi produktami SolarWinds, takimi jak Librato i Geckoboard, w celu tworzenia wykresów wyników.
Papierowy szlak to oparte na chmurze oprogramowanie jako usługa (SaaS)oferowanie od SolarWinds. Jest łatwy do wdrożenia, użycia i zrozumienia. Zapewni to natychmiastową widoczność we wszystkich systemach w ciągu kilku minut. Narzędzie ma bardzo skuteczną wyszukiwarkę, która może przeszukiwać zarówno zapisane, jak i przesyłane dzienniki. I to błyskawicznie.
Papierowy szlak jest dostępny w ramach kilku planów, w tym bezpłatnyplan. Jest to jednak nieco ograniczone i pozwala tylko 100 MB dzienników każdego miesiąca. Umożliwi to jednak 16 GB dzienników w pierwszym miesiącu, co jest równoznaczne z przyznaniem bezpłatnej 30-dniowej wersji próbnej. Plany płatne zaczynają się od 7 USD / miesiąc za 1 GB / miesiąc dzienników, 1 rok archiwizacji i 1 tydzień indeksowania. Filtrowanie szumów pozwala narzędziu zachować dane, nie zapisując bezużytecznych dzienników.
2. Menedżer dzienników i zdarzeń SolarWinds (BEZPŁATNA WERSJA PRÓBNA)
Nasz następny wpis to kolejny produkt SolarWinds o nazwie SolarWinds Menedżer dziennika i zdarzeń. W przeciwieństwie do naszego poprzedniego wpisu jest toprodukt zainstalowany lokalnie. To także znacznie więcej niż tylko system zarządzania logami. Wiele zaawansowanych funkcji tego produktu umieszcza go w zakresie SIEM. Ma na przykład korelację otworów wentylacyjnych i środki zaradcze w czasie rzeczywistym.
Oto przegląd Menedżer dzienników i zdarzeń SolarWindsGłówne cechy. Szybko eliminuje zagrożenia, wykorzystując natychmiastowe wykrywanie podejrzanej aktywności i automatyczne odpowiedzi. Może także przeprowadzać dochodzenie w sprawie zdarzeń bezpieczeństwa i kryminalistykę w celu ograniczenia ryzyka i zapewnienia zgodności. Mówiąc o zgodności, produkt pozwoli Ci to zademonstrować, dzięki sprawdzonym raportom między innymi dla HIPAA, PCI DSS i SOX. To narzędzie ma również monitorowanie integralności plików i monitorowanie urządzenia USB, czyli dwie funkcje, które znacznie przewyższają to, co zwykle widzimy w systemach zarządzania logami.
Ceny za Menedżer dzienników i zdarzeń SolarWinds zacznij od 4585 USD za maksymalnie 30 monitorowanych węzłów. Można kupić licencje na maksymalnie 2500 węzłów, dzięki czemu produkt jest wysoce skalowalny. A jeśli chcesz sprawdzić, czy produkt jest odpowiedni dla Ciebie, dostępna jest bezpłatna, w pełni wyposażona 30-dniowa wersja próbna.
3. ipswitch Log Management Suite
The Log Management Suite jest narzędziem firmy Ipswitch, tej samej firmy, któraprzyniósł nam WhatsUp Gold, niezwykle popularne narzędzie do monitorowania sieci. Jest to zautomatyzowane narzędzie, które gromadzi, przechowuje, archiwizuje i zapisuje logi systemowe, zdarzenia Windows oraz logi W3C / IIC. Co więcej, ciągły nadzór dziennika będzie ostrzegał o każdej podejrzanej działalności.
Często kontrolowane zdarzenia, takie jak prawa dostępumożna również postępować zgodnie z uprawnieniami do plików, folderów i obiektów, generując w razie potrzeby alerty i wykorzystywane do tworzenia raportów zgodności dla zgodności z HIPAA, SOX, FISMA, PCI, MiFID lub Basel II. Narzędzie może również pomóc Ci przekształcić surowe dane dziennika w istotne dane dla menedżerów lub zespołów bezpieczeństwa IT, dzięki jego automatycznemu filtrowaniu, korelowaniu, raportowaniu i konwertowaniu funkcji.
Informacje o cenach dla Log Management Suite nie jest łatwo dostępny w Ipswitch. Produkt można kupić bezpośrednio od wydawcy lub za pośrednictwem sieci dystrybutorów Ipswitch. Dostępna jest również bezpłatna wersja próbna.
4. ManageEngine EventLog Analyzer
ManageEngine, inna popularna nazwa z administratorem sieci, tworzy doskonały system zarządzania logami o nazwie ManageEngine EventLog Analyzer. Produkt będzie gromadzić, zarządzać, analizować, korelować i przeszukiwać dane dziennika z ponad 700 źródeł przy użyciu kombinacji lub gromadzenia dzienników bez agentów i agentów oraz importu dzienników.
Prędkość jest jednym z ManageEngine EventLog AnalyzerSiła Może przetwarzać dane dziennika z imponującą liczbą 25 000 dzienników / sekundę i wykrywać ataki w czasie rzeczywistym. Może także przeprowadzać szybką analizę kryminalistyczną, aby zmniejszyć wpływ naruszenia. Możliwości kontrolne systemu obejmują dzienniki urządzeń peryferyjnych sieci, działania użytkowników, zmiany kont serwerów, dostęp użytkowników i inne, pomagając zaspokoić potrzeby kontroli bezpieczeństwa.
The ManageEngine EventLog Analyzer jest dostępny w bezpłatnej wersji z ograniczoną liczbą funkcjiktóry obsługuje tylko 5 źródeł dziennika lub w wersji premium, która zaczyna się od 595 USD i różni się w zależności od liczby urządzeń i aplikacji. Dostępna jest również bezpłatna, w pełni funkcjonalna 30-dniowa wersja próbna.
5. Serwer dziennika Nagios
Nagios jest najbardziej znany z doskonałego oprogramowania do monitorowania sieci, ale jego Serwer Logów jest prawdopodobnie równie interesujący. Aptly o nazwie Serwer dziennika Nagios, oferuje scentralizowane zarządzanie logami, monitorowanie i analizę. The Serwer dziennika Nagios upraszcza proces wyszukiwania danych dziennika. Umożliwia także ustawianie alertów w celu powiadamiania o potencjalnych zagrożeniach. Ponadto, oprogramowanie ma wbudowaną wysoką dostępność i przełączanie awaryjne. Łatwe w obsłudze kreatory konfiguracji źródła pomogą ci szybko skonfigurować serwery do wysyłania wszystkich danych dziennika i rozpocząć monitorowanie dzienników w ciągu kilku minut .
The Serwer dziennika Nagios pozwala łatwo korelować zdarzenia dziennika we wszystkich przypadkachserwery za pomocą kilku kliknięć. Umożliwia przeglądanie danych dziennika w czasie rzeczywistym, co pozwala analizować i rozwiązywać pojawiające się problemy. Produkt cechuje się imponującą skalowalnością i będzie spełniał Twoje potrzeby w miarę rozwoju organizacji. Dodatkowy Serwer dziennika Nagios instancje można dodawać do klastra monitorowania, co pozwala szybko zwiększyć moc, szybkość, pamięć i niezawodność.
Cena pojedynczego wystąpienia dla Serwer dziennika Nagios kosztuje 3 995 USD i chociaż wydaje się, że bezpłatna wersja próbna nie jest dostępna, bezpłatna wersja demonstracyjna online jest lepsza, jeśli wolisz obejrzeć produkt z pierwszej ręki.
6. Alert Logic Log Manager
Alert Logic koncentruje się przede wszystkim na bezpieczeństwie i zgodności. A ponieważ zarządzanie logami jest ściśle z nimi związane, nic dziwnego, że firma oferuje Alert Logic Log Manager. To narzędzie chmurowe oferuje zautomatyzowane iujednolicone zarządzanie logami we wszystkich środowiskach. Będzie gromadzić, agregować i przeszukiwać dane dziennika z chmury, serwera, aplikacji, bezpieczeństwa i zasobów sieciowych.
The Alert Logic Log Manager obejmuje monitorowanie i analizę logów, a takżeprzegląd logów wykonywany na żywo przez ludzkie analizatory. Eksperci Alert Logic powiadomią Cię o możliwej aktywności związanej z zagrożeniem przez 365 dni w roku. Usługa pomoże również spełnić wymagania SOC 2, HIPAA i SOX dotyczące przeglądania logów i odciąży przeglądanie logów i monitorowanie zdarzeń, aby zachować zgodność z PCI / DSS 10.6, 10.6.1, 10.6.3
Informacje o cenach dla Alert Logic Log Manager nie jest łatwo dostępny w Internecie i musisz skontaktować się ze sprzedażą Alert Logic, aby uzyskać formalną ofertę. Bezpłatna wersja próbna również nie jest dostępna, ale można uzyskać bezpłatną wersję demo, kontaktując się z Alert Logic.
7. LogDNA
Założona w 2015 roku LogDNA jest nowym dzieckiem na bloku. Firma twierdzi, że „LogDNA jest najszybszy, najbardziej intuicyjny iopłacalny system zarządzania logami ”. Wszystko zaczyna się od instalacji, która zajmuje tylko kilka minut, zanim można rozpocząć monitorowanie dzienników. Bez względu na to, w jaki sposób dzienniki są generowane i przesyłane, dostępne są setki niestandardowych schematów integracji w celu scentralizowania dzienników w jednym okienku.
LogDNA może być oparty na chmurze lub hostowany, w zależności odTwoje preferencje. Jest wysoce skalowalny i może obsłużyć setki tysięcy dzienników na sekundę i dziesiątki terabajtów na klienta, z całkowitym bezpieczeństwem dziennie dzięki analizie dzienników w czasie rzeczywistym. Firma i jej produkty są zgodne z SOC2, PCI i HIPAA, a także posiadają certyfikat Privacy Shield.
Dzięki prostemu modelowi cenowemu pay-per-GB, któryeliminuje kontrakty i stałe zestawy danych, firma ma jeden z najniższych całkowitych kosztów posiadania. Dostępnych jest kilka planów subskrypcji z rosnącymi funkcjami. Plan najniższego poziomu jest bezpłatny, a plany płatne wahają się od 1,50 USD / GB / miesiąc do 3 USD / GB / miesiąc w zależności od czasu przechowywania i liczby użytkowników. Dostępna jest również bezpłatna, w pełni funkcjonalna 14-dniowa wersja próbna.
8. Graylog
Ostatni na naszej liście jest produkt o nazwie Graylog. Produkt oferuje wiele interesujących funkcji. Narzędzie będzie analizować i wzbogacać dzienniki i dane zdarzeń z dowolnego źródła danych. Jego potoki przetwarzania pozwalają na pewną elastyczność w routingu, czarnej liście, modyfikowaniu i wzbogacaniu wiadomości w czasie rzeczywistym. Graylog przeszukuje terabajty danych dziennika, aby odkryć i przeanalizować ważne informacje. Zaawansowana składnia wyszukiwania pozwala znaleźć dokładnie to, czego szukasz.
Z Graylog, możesz tworzyć pulpity nawigacyjne w celu wizualizacji danychi obserwuj trendy w jednym centralnym miejscu. Możesz użyć statystyk polowych, szybkich wartości i wykresów ze strony wyników wyszukiwania, aby zanurkować w celu głębszej analizy danych. System ma również opcję wyzwalania akcji lub wydawania powiadomień o zdarzeniach, takich jak nieudane próby logowania, wyjątki lub obniżenie wydajności.
Graylog jest dostępny jako darmowy i open-source,wersja z ograniczonymi funkcjami, która również ma ograniczoną obsługę lub jako wersja korporacyjna z rozszerzonymi funkcjami i nieograniczoną obsługą. Licencję próbną można również uzyskać kontaktując się Graylog obroty.
Komentarze