Os sistemas de hoje estão gerando muitos logsdados. Em muitas plataformas, todos os eventos, importantes ou não, são registrados em algum lugar. Normalmente, os logs são armazenados localmente. Isso faz sentido, pois os logs são vinculados à sua origem. Mas, ao tentar solucionar problemas e encontrar sua causa raiz, isso geralmente significa que precisamos examinar vários arquivos de log em vários dispositivos. Não seria legal se todos os logs de todos os dispositivos estivessem armazenados em um só lugar? O gerenciamento de logs é isso e muito mais, como você está prestes a descobrir. E hoje, estamos analisando os principais sistemas de gerenciamento de logs.
Vamos começar tentando explicar qual loggestão é. Como você verá, pode ser muito mais do que apenas centralizar o armazenamento de logs. Em seguida, falaremos sobre protocolos de log. É muito importante, pois o gerenciamento de logs provavelmente não existiria sem eles. Em seguida, tentaremos diferenciar os servidores syslog dos sistemas de gerenciamento de logs. Infelizmente, não há demarcação clara entre eles. Seguiremos com uma discussão sobre sistemas de informações de segurança e gerenciamento de eventos, porque esse é outro tipo de sistema que geralmente é confundido com o gerenciamento de logs, graças à definição pouco clara de cada um. E, finalmente, revisaremos os oito principais sistemas de gerenciamento de logs que pudemos encontrar.
Gerenciamento de logs - o que é
Antes de falarmos sobre gerenciamento de logs, vamosveja o que é um log. Simplesmente definido, um log é a documentação produzida automaticamente e com registro de data e hora dos eventos relevantes para um sistema específico. Sempre que um evento ocorre em um sistema, um log é gerado. Sistemas diferentes geram logs para diferentes eventos e muitos sistemas dão aos administradores algum grau de controle sobre o que gera um log e o que não gera.
Quando falamos sobre gerenciamento de logs, estamosreferindo-se aos processos e políticas utilizados para administrar e facilitar a geração, transmissão, análise, armazenamento, arquivamento e eventual descarte de grandes volumes de dados de log. O gerenciamento de logs implica um sistema centralizado no qual os logs de várias fontes são coletados.
Mas o gerenciamento de logs não é apenas uma coleção de logs. A parte de gerenciamento é a mais importante. Os sistemas de gerenciamento de logs geralmente têm várias funcionalidades, sendo os registros de coleta apenas um deles.
Depois que os logs são recebidos pelo gerenciamento de logssistema, eles precisam ser "traduzidos" para um formato comum. Sistemas diferentes formatam logs de maneira diferente e incluem dados diferentes em seus logs. Alguns iniciam um log com a data e hora, outros iniciam com um número de evento. Alguns incluem apenas um ID de log, enquanto outros incluem uma descrição textual completa do evento. Um dos objetivos dos sistemas de gerenciamento de log é garantir que todas as entradas de log coletadas sejam armazenadas em um formato uniforme. Isso facilitará muito a pesquisa e a correlação de eventos.
Falando sobre pesquisa e até correlação,essa é outra função importante de muitos sistemas de gerenciamento de logs. Alguns deles apresentam um poderoso mecanismo de pesquisa que permite que os administradores se concentrem exatamente no que precisam. As funções de correlação agrupam automaticamente eventos relacionados, mesmo que sejam de fontes diferentes. Como - e com que sucesso - diferentes sistemas de gerenciamento de logs realizam esse é um importante fator diferenciador.
Protocolos de registro
O gerenciamento de logs seria muito mais difícil, sepossível, se não fosse para protocolos de log. Existem alguns deles que definem quais dados devem ser incluídos nos logs, como esses devem ser formatados e como devem ser transmitidos entre os sistemas.
O Syslog é sem dúvida o protocolo de log mais usado. Inventado no início dos anos 80, tornou-se o padrão de fato para sistemas do tipo Unix. Um dos maiores ativos do protocolo syslog é como ele separa o software que gera logs, o sistema que os armazena e o software que os relata e analisa. O uso do protocolo Syslog facilita muito o gerenciamento de logs. Muitos dispositivos não-Unix, como roteadores de switches e outros equipamentos de rede de muitos fornecedores, usam uma variante do protocolo syslog.
O Microsoft Windows, como você deve ter adivinhado, usaum sistema de registro diferente. Pode ter a ver com o fato de os sistemas operacionais e aplicativos do Windows terem logs que normalmente contêm muito mais informações do que o permitido pelo syslog. Felizmente, as funções do Windows Event Collector fornecem um meio para os sistemas de gerenciamento de logs poderem usar para receber eventos dos hosts do Windows.
Independentemente do protocolo de registro usado, umparte importante do gerenciamento de logs é a configuração de dispositivos para enviar seus logs ao sistema de gerenciamento. Isso é diferente de outras ferramentas, como sistemas de monitoramento de rede, onde a ferramenta busca dados dos hosts.
Servidores de log versus gerenciamento de log
Como está disponível em todos os tipos Unix,sistema por um bom tempo, o Syslog, se usado frequentemente como um servidor de log, com um computador recebendo dados syslog de vários outros. Embora esse armazenamento centralizado de logs tenha vantagens definidas, não é um gerenciamento de logs.
Para merecer o nome do Sistema de Gerenciamento de Log, umO produto deve incluir pelo menos algumas das funções mais avançadas. De acordo com a Wikipedia, o gerenciamento de logs é composto pelas seguintes funções: coleta de logs, agregação centralizada de logs, armazenamento e retenção de logs de longo prazo, rotação de logs, análise de logs, pesquisa de logs e relatórios. Os servidores de log geralmente oferecem apenas a coleção e o armazenamento de log e raramente mais do que isso. Cada um dos sistemas de gerenciamento de logs em nossa lista superior oferece pelo menos algumas das funções mais avançadas.
E quanto aos sistemas SIEM?
Outra tecnologia popular que é frequentementeassociado a logs e confundido com sistemas de gerenciamento de log é o Security Information and Event Management, ou SIEM. Isso é bem diferente do gerenciamento de logs, embora esteja intimamente relacionado. De fato, alguns produtos anunciados como sistemas de gerenciamento de logs são na verdade sistemas SIEM, enquanto alguns sistemas SIEM básicos nada mais são do que sistemas de gerenciamento de logs.
A principal razão para essa confusão é que o logo gerenciamento - ou pelo menos a análise de logs - é um componente importante dos sistemas SIEM. De fato, os sistemas SIEM normalmente levam o gerenciamento de logs para o próximo nível, adicionando alguma inteligência ao processo. Esses sistemas executam análises de log com o objetivo final de identificar problemas de segurança. Eles procurarão, por exemplo, sinais de logons malsucedidos que indicariam uma tentativa de invasão não autorizada. Esses sistemas verificarão automaticamente as entradas do log procurando algo incomum.
Os sistemas SIEM têm mais a ver com segurança de TIdo que o gerenciamento de TI e, embora alguns incluam recursos abrangentes de gerenciamento de logs, muitos também podem usar sistemas externos de gerenciamento de logs e não é incomum ver os dois sistemas funcionando lado a lado.
O melhor software de gerenciamento de logs
Agora que temos um entendimento comum do queo gerenciamento de logs e o que não é, vamos dar uma olhada no que está disponível. Pesquisamos no mercado alguns dos melhores sistemas de gerenciamento de logs. Nossa descoberta inicial é que existem muitos deles e muitos deles muito bons. Mas como temos muito espaço, estamos prestes a revisar os oito mais interessantes que pudemos encontrar.
1. SolarWinds Papertrail
SolarWinds é um nome comum no campo deferramentas de administração de rede. Ele existe há quase 20 anos e nos trouxe uma das melhores ferramentas de monitoramento de largura de banda e um dos melhores analisadores e coletores NetFlow. A empresa também é conhecida por publicar várias ferramentas gratuitas que atendem a algumas necessidades específicas de administradores de rede, como calculadora de sub-rede ou um servidor syslog.
Alguns anos atrás, a SolarWinds adquiriu Papertrail, um sistema popular de gerenciamento de logs. Ele agrega arquivos de log de uma ampla variedade de produtos populares como Apache ou MySQL, bem como aplicativos Ruby on Rails, diferentes serviços de hospedagem na nuvem e outros arquivos de log de texto padrão. Papertrail os usuários podem usar a interface de pesquisa baseada na Web ou as ferramentas de linha de comando para pesquisar esses arquivos e ajudar a diagnosticar erros e problemas de desempenho. Papertrail também se integra a outros produtos SolarWinds, como Librato e Geckoboard, para obter gráficos dos resultados.
Papertrail é um software como serviço (SaaS) baseado em nuvemoferta da SolarWinds. É fácil de implementar, usar e entender. E isso lhe dará visibilidade instantânea em todos os sistemas em minutos. A ferramenta possui um mecanismo de pesquisa muito eficaz que pode pesquisar logs armazenados e de streaming. E é extremamente rápido.
Papertrail está disponível em vários planos, incluindo umplano. No entanto, é um pouco limitado e permite apenas 100 MB de logs por mês. No entanto, permitirá 16 GB de logs no primeiro mês, o que equivale a uma avaliação gratuita de 30 dias. Os planos pagos começam em US $ 7 / mês por 1 GB / mês de logs, 1 ano de arquivamento e 1 semana de índice. A filtragem de ruído permite que a ferramenta preserve os dados, não salvando logs inúteis.
2. Gerenciador de log e eventos da SolarWinds (TESTE GRÁTIS)
Nossa próxima entrada é outro produto da SolarWinds chamado SolarWinds Gerente de Logs e Eventos. Contrariamente à nossa entrada anterior, esta é umaproduto instalado localmente. E também é muito mais do que apenas um sistema de gerenciamento de logs. Muitos dos recursos avançados deste produto o colocam na linha SIEM. Possui correlação de ventilação em tempo real e correção em tempo real, por exemplo.
Aqui está uma visão geral do Gerenciador de log e eventos da SolarWindsOs principais recursos. Elimina ameaças rapidamente, usando a detecção instantânea de atividades suspeitas e respostas automatizadas. Ele também pode executar investigação de eventos de segurança e forense para mitigação e conformidade. E por falar em conformidade, o produto permitirá que você a demonstre, graças aos relatórios comprovados por auditoria para HIPAA, PCI DSS e SOX, entre outros. Essa ferramenta também possui monitoramento de integridade de arquivos e monitoramento de dispositivos USB, dois recursos muito acima do que geralmente vemos nos sistemas de gerenciamento de logs.
Preços para o Gerenciador de log e eventos da SolarWinds começam em US $ 4.585 para até 30 nós monitorados. É possível adquirir licenças para até 2500 nós, tornando o produto altamente escalável. E se você deseja verificar se o produto é adequado para você, está disponível uma avaliação gratuita de 30 dias com todos os recursos.
3. Conjunto de Gerenciamento de Log ipswitch
o Conjunto de Gerenciamento de Log é uma ferramenta da Ipswitch, a mesma empresa quenos trouxe o WhatsUp Gold, uma ferramenta de monitoramento de rede imensamente popular. Esta é uma ferramenta automatizada que coleta, armazena, arquiva e salva logs do sistema, eventos do Windows e logs do W3C / IIC. Além disso, sua vigilância contínua de logs alertará você sobre qualquer atividade suspeita.
Eventos auditados frequentemente, como direitos de acessoe os privilégios de arquivo, pasta e objeto podem ser seguidos, gerando alertas conforme necessário e usados para criar relatórios de conformidade para conformidade com HIPAA, SOX, FISMA, PCI, MiFID ou Basel II. A ferramenta também pode ajudá-lo a transformar seus dados brutos de log em dados significativos para gerentes ou equipes de segurança de TI, graças aos seus recursos automatizados de filtragem, correlação, relatório e conversão.
Informações sobre preços para o Conjunto de Gerenciamento de Log não está prontamente disponível no Ipswitch. O produto pode ser adquirido diretamente do editor ou pela rede de revendedores da Ipswitch. Uma versão de avaliação gratuita também está disponível.
4. ManageEngine EventLog Analyzer
ManageEngine, outro nome comum do administrador de rede, cria um excelente sistema de gerenciamento de logs chamado Analisador ManageEngine EventLog. O produto coletará, gerenciará, analisará, correlacionará e pesquisará os dados de log de mais de 700 fontes usando uma combinação ou coleção de logs sem agente e baseada em agente, bem como importação de log.
A velocidade é um dos Analisador ManageEngine EventLogForça. Ele pode processar dados de log em impressionantes 25.000 logs / segundo e detectar ataques em tempo real. Ele também pode executar análises forenses rápidas para reduzir o impacto de uma violação. Os recursos de auditoria do sistema se estendem aos registros dos dispositivos de perímetro da rede, atividades do usuário, alterações na conta do servidor, acessos do usuário e muito mais, ajudando você a atender às necessidades de auditoria de segurança.
o Analisador ManageEngine EventLog está disponível em uma edição gratuita com redução de recursosque suporta apenas 5 fontes de log ou em uma edição premium que começa em US $ 595 e varia de acordo com o número de dispositivos e aplicativos. Também está disponível uma versão de avaliação gratuita de 30 dias com todos os recursos.
5. Servidor de Registro Nagios
O Nagios é mais conhecido por seu excelente software de monitoramento de rede, mas seu Log Server é possivelmente igualmente interessante. Apropriadamente chamado de Nagios Log Server, oferece gerenciamento, monitoramento e análise centralizados de logs. o Nagios Log Server simplifica o processo de pesquisar seus dados de log. Ele também permite que você defina alertas para serem notificados sobre possíveis ameaças Além disso, o software possui alta disponibilidade e failover embutido. Seus assistentes de configuração fácil de origem o ajudarão a configurar rapidamente servidores para enviar todos os dados de log e começar a monitorar seus logs em minutos .
o Nagios Log Server permite correlacionar facilmente eventos de log em todos osservidores em apenas alguns cliques. E permite visualizar dados de log em tempo real, permitindo analisar e resolver problemas à medida que eles ocorrem. O produto apresenta uma escalabilidade impressionante e continuará atendendo às suas necessidades à medida que sua organização cresce. Adicional Nagios Log Server instâncias podem ser adicionadas a um cluster de monitoramento, permitindo adicionar rapidamente mais energia, velocidade, armazenamento e confiabilidade.
O preço de instância única para o Nagios Log Server custa US $ 3.995 e, embora não pareça estar disponível uma avaliação gratuita, uma demonstração on-line gratuita é se você preferir dar uma olhada em primeira mão no produto.
6. Alert Logic Log Manager
O foco principal da Alert Logic é segurança e conformidade. E como o gerenciamento de logs está intimamente relacionado a ambos, não é surpresa que a empresa ofereça o Alert Logic Log Manager. Essa ferramenta baseada em nuvem oferece automação egerenciamento unificado de logs em todos os seus ambientes. Ele coletará, agregará e pesquisará dados de log dos ativos de nuvem, servidor, aplicativo, segurança e rede.
o Alert Logic Log Manager inclui monitoramento e análise de logs, bem comorevisão de log feita ao vivo por analisadores humanos. Os especialistas da Alert Logic o alertarão sobre uma possível atividade de ameaça 365 dias por ano. O serviço também ajudará a atender aos requisitos de revisão de logs do SOC 2, HIPAA e SOX e descarregará o ônus de revisar os logs e acompanhar os eventos, em conformidade com o PCI / DSS 10.6, 10.6.1, 10.6.3
Informações sobre preços para o Alert Logic Log Manager não está prontamente disponível na web e você precisará entrar em contato com as vendas da Alert Logic para obter uma cotação formal. Uma avaliação gratuita também não está disponível, mas uma demonstração gratuita pode ser organizada entrando em contato com a Alert Logic.
7. LogDNA
Fundada em 2015, LogDNA é o garoto novo do quarteirão. A empresa afirma que "LogDNA é o mais rápido, mais intuitivo esistema de gerenciamento de logs econômico ”. Tudo começa com a instalação, que leva apenas alguns minutos para você começar a monitorar seus logs. Independentemente de como os logs sejam gerados e transmitidos, centenas de esquemas de integração personalizados estão disponíveis para centralizar os logs em um único painel.
LogDNA pode ser baseado em nuvem ou auto-hospedado, dependendo dasua preferencia. É altamente escalável e pode lidar com centenas de milhares de logs por segundo e dezenas de terabytes por cliente, por dia em total segurança com análise de log em tempo real. A empresa e seus produtos são compatíveis com SOC2, PCI e HIPAA, além de certificados com Privacy Shield.
Com seu modelo de preço simples, pago por GB, queelimina contratos e depósitos fixos de dados, a empresa possui um dos menores custos totais de propriedade. Vários planos de assinatura estão disponíveis com recursos crescentes. O plano da camada inferior é gratuito e os planos pagos variam de US $ 1,50 / GB / mês a US $ 3 / GB / mês, dependendo da duração da retenção e do número de usuários. Também está disponível uma avaliação gratuita de 14 dias com todos os recursos.
8. Graylog
O último da nossa lista é um produto chamado Graylog. O produto oferece muitos recursos interessantes. A ferramenta irá analisar e enriquecer logs e dados de eventos de qualquer fonte de dados. Seus pipelines de processamento permitem alguma flexibilidade no roteamento, lista negra, modificação e enriquecimento de mensagens em tempo real. Graylog pesquisará terabytes de dados de log para descobrir e analisar informações importantes. A poderosa sintaxe de pesquisa permite encontrar exatamente o que você está procurando.
Com Graylog, você pode criar painéis para visualizar métricase observe as tendências em um local central. Você pode usar estatísticas de campo, valores rápidos e gráficos na página de resultados da pesquisa para se aprofundar nas análises de seus dados. O sistema também tem a opção de acionar ações ou emitir notificações sobre eventos como tentativas falhas de login, exceções ou degradação do desempenho.
Graylog está disponível como um código aberto e gratuito,versão limitada a recursos, que também possui suporte limitado ou como uma versão corporativa, com recursos estendidos e suporte ilimitado. Uma licença de teste também pode ser obtida entrando em contato com Graylog vendas.
Comentários