Sistemele de astăzi generează multă înregistraredate. Pe multe platforme, fiecare eveniment, important sau nu, este înregistrat undeva. De obicei, jurnalele sunt stocate local. Acest lucru are sens, deoarece jurnalele sunt legate de sursa lor. Dar când încercați să rezolvați probleme și să găsiți cauza lor rădăcină, asta înseamnă adesea că trebuie să analizăm mai multe fișiere jurnal pe numeroase dispozitive. Nu ar fi frumos dacă toate jurnalele de pe toate dispozitivele ar fi stocate într-un singur loc? Gestionarea jurnalului este asta și multe altele, după cum urmează să aflați. Și astăzi, analizăm cele mai bune sisteme de gestionare a jurnalelor.
Vom începe încercând să explicăm ce jurnalmanagementul este. După cum veți vedea, poate fi mult mai mult decât centralizarea stocării jurnalului. În continuare, vom vorbi despre protocoalele de logare. Este destul de important, deoarece managementul jurnalului nu ar exista fără ele. Vom încerca apoi să diferențiem serverele syslog de sistemele de gestionare a jurnalelor. Din păcate, nu există o delimitare clară între ele. Vom urmări o discuție despre sistemele de informații de securitate și de gestionare a evenimentelor, deoarece acesta este un alt tip de sistem care este adesea confundat cu gestionarea jurnalului, datorită definiției oarecum neclare a fiecăruia. Și, în sfârșit, vom examina primele opt sisteme de gestionare a jurnalelor pe care le-am putea găsi.
Managementul jurnalului - Ce este
Înainte de a putea vorbi despre managementul jurnalului, haidețivezi ce este un jurnal. Simplu definit, un jurnal este documentația produsă automat și timbrată de timp a evenimentelor relevante pentru un anumit sistem. Ori de câte ori un eveniment are loc pe un sistem, este generat un jurnal. Sisteme diferite vor genera jurnalele pentru diferite evenimente și multe sisteme oferă administratorilor un anumit grad de control asupra a ceea ce generează un jurnal și a ceea ce nu.
Când vorbim despre gestionarea jurnalelor, vom ficu referire la procesele și politicile utilizate pentru administrarea și facilitarea generarii, transmiterii, analizei, stocării, arhivării și eliminării ulterioare a volumelor mari de date de jurnal. Gestionarea jurnalului implică un sistem centralizat în care sunt colectate jurnalele din mai multe surse.
Dar managementul jurnalului nu este doar colectarea jurnalului. Partea de management este cea mai importantă. Sistemele de gestionare a jurnalului au de obicei funcționalități multiple, colectarea jurnalelor fiind doar unul dintre ele.
Odată ce jurnalele sunt primite de către managementul jurnaluluisistem, acestea trebuie „traduse” într-un format comun. Sisteme diferite formatează jurnalele în mod diferit și includ date diferite în jurnalele lor. Unii încep un jurnal cu data și ora, alții îl încep cu un număr de eveniment. Unele includ doar un ID de jurnal, în timp ce altele includ o descriere textuală completă a evenimentului. Unul dintre scopurile sistemelor de gestionare a jurnalului este să se asigure că toate intrările de jurnal colectate sunt stocate într-un format uniform. Acest lucru va face căutarea și corelarea evenimentelor mult mai ușoare în linie.
Vorbind despre căutare și chiar corelare,aceasta este o altă funcție importantă a multor sisteme de gestionare a jurnalelor. Unele dintre ele au un motor de căutare puternic, care permite administratorilor să intre zero în exact ceea ce au nevoie. Funcțiile de corelare vor grupa automat evenimente conexe, chiar dacă provin din surse diferite. Cum se realizează - și cât de reușit - diferite sisteme de gestionare a jurnalului care este un factor major de diferențiere.
Protocoale de jurnal
Administrarea jurnalului ar fi mult mai dificilă dacădeloc posibil, dacă nu ar fi fost pentru protocoalele de logare. Există câteva dintre acestea care definesc ce date trebuie incluse în jurnalele, cum ar trebui să fie formatate și cum ar trebui transmise între sisteme.
Syslog este probabil cel mai utilizat protocol de logare. Inventat la începutul anilor optzeci, a devenit standardul de facto pentru sistemele similare Unix. Unul dintre cele mai mari active ale protocolului syslog este modul în care separă software-ul care generează jurnalele, sistemul care le stochează și software-ul care le raportează și le analizează. Utilizarea protocolului Syslog face gestionarea jurnalului mult mai ușoară. Multe dispozitive non-Unix, cum ar fi routerele de comutare și alte echipamente de rețea de la mulți furnizori folosesc o variantă a protocolului syslog.
Microsoft Windows, după cum probabil ați ghicit, foloseșteun sistem de logare diferit. Poate avea legătură cu faptul că sistemele de operare și aplicațiile Windows au jurnalele care conțin de obicei mult mai multe informații decât permisiunea syslog. Din fericire, funcțiile Windows Event Collector oferă un mijloc pentru sistemele de gestionare a jurnalului pe care le pot utiliza pentru a primi evenimente de la gazdele Windows.
Indiferent ce protocol de înregistrare este utilizat, ano parte importantă a managementului jurnalului este configurarea dispozitivelor pentru a trimite jurnalele lor în sistemul de management. Acest lucru este diferit de alte instrumente, cum ar fi sistemele de monitorizare a rețelei, în care instrumentul preia date de la gazde.
Server Servers Vs Managementul jurnalului
Întrucât a fost disponibil pe fiecare tip Unixsistem pentru o vreme, Syslog dacă este adesea folosit ca server de jurnal cu un computer care primește date syslog de la alte câteva. În timp ce această stocare centralizată a jurnalelor are avantaje definite, nu este vorba de gestionarea jurnalelor.
Pentru a merita numele sistemului de management al jurnalului, aprodusul trebuie să includă cel puțin unele dintre funcțiile mai avansate. Conform Wikipedia, gestionarea jurnalului cuprinde următoarele funcții: colectarea jurnalului, agregarea centralizată a jurnalelor, stocarea și păstrarea jurnalului pe termen lung, rotirea jurnalului, analiza jurnalului, căutarea jurnalului și raportarea. Serverele de jurnal oferă adesea doar colectarea și stocarea jurnalului și rareori mai mult decât atât. Fiecare dintre sistemele de gestionare a jurnalelor din lista noastră de top oferă cel puțin unele dintre funcțiile mai avansate.
Ce zici de sistemele SIEM?
O altă tehnologie populară care este adeseaasociate cu jurnalele și confundate cu sistemele de gestionare a jurnalelor sunt Informații de securitate și gestionarea evenimentelor sau SIEM. Acest lucru este destul de diferit de gestionarea jurnalului, deși este strâns legat. De fapt, unele produse publicitate ca sisteme de administrare a jurnalului sunt de fapt sisteme SIEM, în timp ce unele sisteme SIEM de bază nu sunt altceva decât sisteme de gestionare a jurnalelor.
Motivul principal al acestei confuzii este acel jurnalmanagementul - sau cel puțin, analiza jurnalului - este o componentă importantă a sistemelor SIEM. De fapt, sistemele SIEM duc de obicei managementul jurnalului la nivelul următor prin adăugarea unor informații la proces. Aceste sisteme efectuează analiza jurnalului cu scopul final de identificare a problemelor de securitate. Acestea vor căuta, de exemplu, semne de autentificare nereușită care ar indica o încercare de intruziune neautorizată. Aceste sisteme vor scana automat intrările de jurnal, căutând ceva neobișnuit.
Sistemele SIEM au mai mult de-a face cu securitatea ITdecât gestionarea IT și, în timp ce unii includ funcții extinse de gestionare a jurnalelor, mulți pot utiliza, de asemenea, sisteme externe de gestionare a jurnalelor și nu este neobișnuit să vezi ambele sisteme care rulează cot la cot.
Cel mai bun software de gestionare a jurnalului
Acum că avem o înțelegere comună a ceea cegestionarea jurnalului este și ceea ce nu este, să aruncăm o privire la ce este disponibil. Am căutat pe piață unele dintre cele mai bune sisteme de gestionare a jurnalelor. Constatarea noastră inițială este că sunt multe și multe dintre ele foarte bune. Dar avem doar atât de mult spațiu, încât suntem pe punctul de a trece în revistă cele opt dintre cele mai interesante pe care le-am putea găsi.
1. SolarWinds Papertrail
SolarWinds este un nume comun în domeniulinstrumente de administrare a rețelei Au trecut de aproape 20 de ani și ne-au adus unul dintre cele mai bune instrumente de monitorizare a lățimii de bandă și unul dintre cei mai buni analizatori și colecționari NetFlow. De asemenea, compania este binecunoscută pentru publicarea mai multor instrumente gratuite care răspund unor nevoi specifice ale administratorilor de rețea, cum ar fi calculatorul de subrețea sau un server syslog.
Acum câțiva ani, SolarWinds a achiziționat Urma de hartie, un sistem popular de gestionare a jurnalelor. Agregă fișiere de jurnal dintr-o mare varietate de produse populare precum Apache sau MySQL, precum și aplicații Ruby on Rails, diferite servicii de hosting de cloud și alte fișiere de jurnal text. Urma de hartie utilizatorii pot folosi apoi interfața de căutare bazată pe web sau instrumentele din linia de comandă pentru a căuta prin aceste fișiere pentru a ajuta la diagnosticarea erorilor și a problemelor de performanță. Urma de hartie de asemenea, se integrează cu alte produse SolarWinds, cum ar fi Librato și Geckoboard, pentru rezultate grafice.
Urma de hartie este un software bazat pe cloud ca serviciu (SaaS)oferind de la SolarWinds. Este ușor de implementat, utilizat și înțeles. Și vă va oferi vizibilitate instantanee pe toate sistemele în câteva minute. Instrumentul are un motor de căutare foarte eficient care poate căuta atât jurnalele stocate, cât și fluxurile. Și fulgeră repede.
Urma de hartie este disponibil în mai multe planuri, inclusiv gratuitplan. Cu toate acestea, este oarecum limitată și permite doar 100 MB de jurnale în fiecare lună. Cu toate acestea, va permite 16 GB de jurnale în prima lună, ceea ce echivalează cu oferirea unui proces gratuit de 30 de zile. Planurile plătite încep de la 7 USD / lună pentru 1 GB / lună de jurnal, 1 an de arhivă și 1 săptămână de index. Filtrarea zgomotului permite instrumentului să păstreze datele fără a salva jurnalele inutile.
2. SolarWinds Log & Event Manager (ÎNCERCARE GRATUITĂ)
Următoarea noastră intrare este un alt produs de la SolarWinds numit SolarWinds Log & Event Manager. Spre deosebire de intrarea noastră anterioară, aceasta este oprodus instalat local. De asemenea, este mult mai mult decât un simplu sistem de gestionare a jurnalelor. Multe dintre caracteristicile avansate ale acestui produs îl plasează în gama SIEM. Are corelație de ventilație în timp real și remediere în timp real, de exemplu.
Iată o imagine de ansamblu asupra SolarWinds Log & Event ManagerPrincipalele caracteristici. Elimina rapid amenințările folosind detectarea instantanee a activității suspecte și a răspunsurilor automatizate. De asemenea, poate efectua investigarea evenimentelor de securitate și criminalistică pentru atenuare și conformitate. Și vorbind despre conformitate, produsul vă va permite să îl demonstrați, datorită raportării sale dovedite de audit pentru HIPAA, PCI DSS și SOX, printre altele. Acest instrument are, de asemenea, monitorizarea integrității fișierelor și monitorizarea dispozitivelor USB, două caracteristici care sunt cu mult peste ceea ce vedem în mod obișnuit în sistemele de gestionare a jurnalelor.
Prețuri pentru SolarWinds Log & Event Manager începe de la 4.585 USD pentru până la 30 de noduri monitorizate. Licențele pentru până la 2500 de noduri pot fi achiziționate, ceea ce face ca produsul să fie scalabil. Și dacă doriți să verificați dacă produsul este potrivit pentru dvs., este disponibil un proces gratuit, complet de 30 de zile.
3. ipswitch Log Management Suite
În Suita de gestionare a jurnalului este un instrument de la Ipswitch, aceeași companie carene-a adus WhatsUp Gold, un instrument de monitorizare a rețelei extrem de popular. Acesta este un instrument automat care colectează, stochează, arhivează și salvează jurnalele de sistem, evenimentele Windows și jurnalele W3C / IIC. Mai mult, supravegherea sa continuă a jurnalului vă va avertiza cu privire la orice activitate suspectă.
Evenimente auditate frecvent, cum ar fi drepturile de accesși privilegiile fișierului, folderului și obiectului pot fi urmărite, generând alerte după cum este necesar și utilizate pentru a crea rapoarte de conformitate pentru conformitatea HIPAA, SOX, FISMA, PCI, MiFID sau Basel II. Instrumentul vă poate ajuta, de asemenea, să vă transformați datele de jurnal brut în date semnificative pentru manageri sau echipe de securitate IT, datorită filtrării automate, corelației, raportării și convertirii funcțiilor.
Informații privind prețurile pentru Suita de gestionare a jurnalului nu este ușor disponibil de la Ipswitch. Produsul poate fi achiziționat fie direct de la editor, fie prin intermediul rețelei de distribuitori a Ipswitch. O versiune de încercare gratuită este de asemenea disponibilă.
4. ManageEngine EventLog Analyzer
ManageEngine, un alt nume comun cu administratorul rețelei, creează un sistem excelent de gestionare a jurnalului numit Analizați Analizatorul de gestionare a evenimentelor. Produsul va colecta, gestiona, analiza, corela și căuta prin datele de jurnal din peste 700 de surse folosind o combinație sau o colecție de jurnale fără agent sau agent-agent, precum și import de jurnal.
Viteza este una dintre Analizați Analizatorul de gestionare a evenimentelorPuterea. Poate prelucra datele de jurnal la un impresionant 25.000 de jurnale / secundă și detecta atacuri în timp real. De asemenea, poate efectua o analiză criminalistică rapidă pentru a reduce impactul unei încălcări. Capacitățile de audit ale sistemului se extind la jurnalele perimetrului rețelei, activitățile utilizatorului, modificările contului serverului, accesele utilizatorilor și multe altele, ceea ce vă ajută să îndepliniți nevoile de audit de securitate.
În Analizați Analizatorul de gestionare a evenimentelor este disponibil într-o ediție gratuită redusă pentru funcțiicare acceptă doar 5 surse de jurnal sau într-o ediție premium, care începe de la 595 USD și variază în funcție de numărul de dispozitive și aplicații. O versiune gratuită, completă, de 30 de zile, este de asemenea disponibilă.
5. Nagios Log Server
Nagios este cel mai cunoscut pentru software-ul său excelent de monitorizare a rețelei, dar serverul său de jurnal este posibil la fel de interesant. Aptly numit Server de jurnal Nagios, oferă management centralizat, monitorizare și analiză a jurnalului. Server de jurnal Nagios simplifică procesul de căutare a datelor de jurnal. Vă permite, de asemenea, să setați alertele pentru a fi notificate cu privire la potențialele amenințări. De asemenea, software-ul are o disponibilitate ridicată și eșecuri încorporate chiar. Purtătorii de asistență ușor de configurare a sursei vă vor ajuta să configurați rapid serverele pentru a trimite toate datele de jurnal și să începeți să vă monitorizați jurnalele în câteva minute. .
În Server de jurnal Nagios vă permite să corelați cu ușurință evenimentele de jurnal între toateservere în doar câteva clicuri. Și vă permite să vizualizați datele jurnalului în timp real, oferindu-vă capacitatea de a analiza și rezolva problemele pe măsură ce apar. Produsul are o scalabilitate impresionantă și va continua să răspundă nevoilor dvs. pe măsură ce organizația dvs. crește. Adiţional Server de jurnal Nagios instanțele pot fi adăugate la un cluster de monitorizare, permițându-vă să adăugați rapid mai multă putere, viteză, stocare și fiabilitate.
Prețul pentru o singură instanță pentru Server de jurnal Nagios este de 3 995 USD și, deși o probă gratuită nu pare să fie disponibilă, o demonstrație online gratuită este dacă preferați să aruncați o privire de primă mână asupra produsului.
6. Alert Log Log Log Manager
Principalul obiectiv al Alert Logic este securitatea și conformitatea. Și având în vedere că managementul jurnalului este strâns legat de ambele, nu este surprinzător faptul că compania oferă Alert Log Log Log Manager. Acest instrument bazat pe cloud oferă automat șigestionarea unificată a jurnalului în toate mediile dvs. Acesta va colecta, agrega și căuta date de jurnal din activitățile din cloud, server, aplicație, securitate și rețele.
În Alert Log Log Log Manager include monitorizarea și analiza jurnalului, precum șirevizuirea jurnalului, care se face în direct de către analizatorii umani. Experții Alert Logic vă vor avertiza despre o posibilă activitate de amenințare 365 de zile pe an. Serviciul va ajuta, de asemenea, la îndeplinirea cerințelor de revizuire a jurnalelor din SOC 2, HIPAA și SOX și va descărca sarcina verificării jurnalelor și a monitorizării evenimentelor, pentru a respecta PCI / DSS 10.6, 10.6.1, 10.6.3
Informații privind prețurile pentru Alert Log Log Log Manager nu este ușor disponibil pe web și va trebui să contactați vânzările Alert Logic pentru a obține o ofertă oficială. De asemenea, nu este disponibilă o probă gratuită, dar o demo gratuită poate fi organizată contactând Alert Logic.
7. LogDNA
Fondată în 2015, LogDNA este noul copil din bloc. Compania susține că „LogDNA este cel mai rapid, cel mai intuitiv șiSistem de management al jurnalului rentabil ”. Totul începe cu instalarea care durează doar câteva minute înainte de a putea începe monitorizarea jurnalelor. Indiferent de modul în care sunt generate și transmise jurnalele, sute de scheme de integrare personalizate sunt disponibile pentru a centraliza jurnalele într-un singur panou.
LogDNA poate fi bazat pe cloud sau găzduit de sine, în funcție depreferința ta. Este extrem de scalabil și poate gestiona sute de mii de jurnale pe secundă și zeci de terabyți pe client, pe zi în securitate totală cu analiza jurnalului în timp real. Compania și produsele sale sunt compatibile cu SOC2, PCI și HIPAA, precum și cu certificatul de confidențialitate.
Cu modelul său simplu de tarifare plătit-pe-GB careelimină contractele și gălețile de date fixe, compania are unul dintre cele mai mici costuri totale de proprietate. Mai multe planuri de abonament sunt disponibile cu funcții în creștere. Planul de jos este gratuit și planurile plătite variază de la 1,50 USD / GB / lună la 3 USD / GB / lună, în funcție de durata de păstrare și numărul de utilizatori. O probă gratuită, completă, de 14 zile, este de asemenea disponibilă.
8. Graylog
Ultimul pe lista noastră este un produs numit Graylog. Produsul oferă multe caracteristici interesante. Instrumentul va analiza și îmbogăți jurnalele și datele de evenimente de la orice sursă de date. Conductele sale de procesare permit o anumită flexibilitate în rutarea, listarea neagră, modificarea și îmbogățirea mesajelor în timp real. Graylog va căuta prin terabyte de date de jurnal pentru a descoperi și analiza informații importante. Sintaxa puternică de căutare vă permite să găsiți exact ceea ce căutați.
Cu Graylog, puteți crea tablouri de bord pentru a vizualiza valorileși observați tendințele într-o locație centrală. Puteți utiliza statistici de câmp, valori rapide și diagrame din pagina cu rezultatele căutării pentru a vă scufunda pentru o analiză mai profundă a datelor dvs. De asemenea, sistemul are opțiunea de a declanșa acțiuni sau de a emite notificări cu privire la evenimente, cum ar fi încercări de autentificare eșuate, excepții sau degradare a performanței.
Graylog este disponibil fie ca o sursă gratuită și deschisversiune limitată de caracteristici, care are, de asemenea, suport limitat sau ca versiune de întreprindere, cu funcții extinse și asistență nelimitată. O licență de încercare poate fi obținută și prin contactare Graylog vânzări.
Comentarii