- - 6 cele mai bune instrumente de gestionare a jurnalelor pentru Linux în 2019

6 cele mai bune instrumente de gestionare a jurnalelor pentru Linux în 2019

Cu sistemele de astăzi care generează o tonă de înregistraredate, nu este de mirare că administratorii caută întotdeauna soluții de gestionare a jurnalelor. În mod implicit, jurnalele sunt stocate local. Acest lucru are sens, deoarece face ușor conectarea acestora la sursa lor. Dar când încercăm să rezolvăm probleme și să găsim cauza lor rău, uneori trebuie să analizăm mai multe fișiere jurnal pe numeroase dispozitive. Nu ar fi frumos dacă toate jurnalele de pe toate dispozitivele ar fi stocate într-un singur loc centralizat? Acesta este scopul gestionării jurnalului. Și dacă platforma pe care o alegeți este Linux, există o mulțime de opțiuni disponibile. Citiți mai departe pe măsură ce descoperim unele dintre cele mai bune gestionări de jurnal pentru Linux

Instrumente de gestionare a jurnalului pentru Linux

Vom începe prin definirea gestionării jurnalului. Veți vedea că poate fi ceva mai mult decât centralizarea stocării jurnalului. În continuare, vom discuta despre diverse tehnologii de logare. Ele sunt piatra de temelie a gestionării jurnalului și nu ar exista fără ele. Continuând, vom diferenția serverele syslog de sistemele de gestionare a jurnalelor și vom da seama că nu există o delimitare clară între ele. În continuare, vom întrerupe scurt și vom discuta despre sistemele de informații de securitate și de gestionare a evenimentelor. Ele sunt un alt tip de sistem care este adesea confundat cu managementul jurnalului, datorită definiției oarecum neclare a fiecăruia. Și în final, vom examina cel mai bun management de jurnal pentru Linux.

Ce este managementul jurnalului?

Înainte de a putea vorbi despre managementul jurnalului, haidețidefiniți ce este un jurnal. Simplu definit, un jurnal este documentația produsă automat și timbrată de timp a unui eveniment relevant pentru un anumit sistem. Cu alte cuvinte, ori de câte ori un eveniment are loc pe un sistem, este generat un jurnal. Sistemele și dispozitivele vor genera jurnalele pentru diferite tipuri de evenimente și multe sisteme oferă administratorilor un anumit grad de control asupra evenimentului care generează un jurnal și care nu.

În ceea ce privește gestionarea jurnalului, se referă pur și simpluprocesele și politicile utilizate pentru administrarea și facilitarea generarii, transmiterii, analizei, stocării, arhivării și eliminării ulterioare a volumelor mari de date de jurnal. Deși nu este precizat clar, gestionarea jurnalului implică un sistem centralizat în care sunt colectate jurnalele din mai multe surse. Totuși, gestionarea jurnalului nu este doar colectarea jurnalului. Partea de management este cea mai importantă. Și sistemele de gestionare a jurnalelor au adesea funcționalități multiple, colectarea jurnalelor fiind doar unul dintre ele.

Odată ce jurnalele sunt primite de către managementul jurnaluluisistem, acestea trebuie să fie standardizate într-un format comun, deoarece diferite sisteme jurnalele de format diferite și includ date diferite. Unii încep un jurnal cu data și ora, alții îl încep cu un număr de eveniment. Unele includ doar un ID de eveniment, în timp ce altele includ o descriere text completă a evenimentului. Unul dintre scopurile sistemelor de gestionare a jurnalului este să se asigure că toate intrările de jurnal colectate sunt stocate într-un format uniform. Aceasta va face o corelație a evenimentelor și o căutare finală mult mai ușoară.

Chiar și corelația și căutarea sunt două suplimentarefuncții majore ale mai multor sisteme de gestionare a jurnalului. Cele mai bune dintre ele au un motor de căutare puternic, care permite administratorilor să intre zero în exact ceea ce au nevoie. Funcțiile de corelare vor grupa automat evenimente conexe, chiar dacă provin din surse diferite. Cum se realizează - și cât de reușit - diferite sistem de gestionare a jurnalului care este un factor major de diferențiere.

CITEȘTE ȘI: 15 cele mai bune instrumente de monitorizare a rețelei (propria noastră recenzie)

Tehnologii de exploatare

Gestionarea jurnalului ar fi mult mai dificilă,poate nici măcar posibil, dacă nu ar fi fost pentru protocoalele de logare. Câteva dintre ele există. Ei definesc ce date trebuie incluse în jurnalele, cum ar trebui să fie formatate și, uneori, cum trebuie transmise între sisteme.

Syslog este, probabil, cea mai utilizată înregistrareprotocol, în special în lumea Linux. Tehnologia a fost inventată la începutul anilor optzeci și a devenit standardul de facto pentru toate sistemele similare Unix. Unul dintre cele mai mari atuuri ale tehnologiei syslog este modul în care facilitează separarea între sistemul sau software-ul care generează jurnalele, sistemul care le stochează și software-ul care le raportează și le analizează. Utilizarea tehnologiei Syslog face gestionarea jurnalului mult mai ușoară. Și Syslog nu este unix exclusiv. Multe dispozitive non-Unix, cum ar fi switch-uri, routere și tot felul de echipamente de la mulți furnizori folosesc o variantă a protocolului syslog.

Există și alte tehnologii de jurnal. Microsoft Windows, de exemplu, folosește un sistem de înregistrare diferit. S-ar putea să aibă legătură cu faptul că sistemele de operare și aplicațiile Windows au jurnalele care conțin de obicei informații mai detaliate decât permite tehnologia Syslog. Din fericire, funcțiile de colecție de evenimente Windows oferă un mijloc pentru gestionarea jurnalului pe care diverse sisteme le pot utiliza pentru a primi evenimente de la gazdele Windows. Această postare este despre managementul jurnalului Linux, deci nu pierdem prea mult timp pe Windows.

Indiferent de tehnologia de logare folosită, ano parte importantă a managementului jurnalului este configurarea dispozitivelor pentru a trimite jurnalele lor în sistemul de management. Alte tipuri de instrumente, cum ar fi sistemele de monitorizare a rețelelor, pot prelua date din sistemele pe care le monitorizează, dar cu gestionarea jurnalului, fiecare dispozitiv trebuie să li se spună unde să-și trimită jurnalele. Cu toate acestea, este o sarcină relativ simplă, care este adesea îndeplinită prin emiterea unei simple comenzi.

CITIREA ULTERIOR: Cel mai bun software de mapare și topologie a rețelei de rețea

Servere de jurnal sau de gestionare a jurnalului?

Întrucât a fost disponibil pe fiecare tip Unixsistem - inclusiv Linux - o perioadă destul de îndelungată, Syslog este adesea folosit ca server de jurnal cu un computer care primește date Syslog de la alte câteva. Deși această stocare centralizată a jurnalelor are avantaje definite, nu este suficient să fie numit management jurnal.

Pentru a merita numele sistemului de management al jurnalului, aprodusul trebuie să includă cel puțin unele dintre funcțiile mai avansate. Conform Wikipedia, „managementul jurnalului cuprinde următoarele funcții: colectarea jurnalelor, agregarea centralizată a jurnalelor, stocarea și păstrarea jurnalului pe termen lung, rotirea jurnalului, analiza jurnalului, căutare jurnal și raportare”. Wow! Aceasta este multă funcționalitate. Serverele de jurnal, pe de altă parte, oferă adesea doar colectarea și stocarea jurnalului și mai rar mai mult decât atât.

Un cuvânt (sau două) despre SIEM

O altă tehnologie populară care este asociatăcu jurnalele și deseori confundate cu sistemele de gestionare a jurnalelor este Informații de securitate și gestionarea evenimentelor sau SIEM. Acest lucru diferă de gestionarea jurnalului, dar este strâns legat. Linia este atât de subțire între ele, încât unele produse publicitate ca sisteme de gestionare a jurnalului sunt de fapt sisteme SIEM, în timp ce unele sisteme SIEM de bază nu sunt altceva decât sisteme avansate de gestionare a jurnalului.

Confuzia provine din faptul că jurnalulmanagementul sau, cel puțin, analiza jurnalului - este o componentă importantă a sistemelor SIEM. Ceea ce diferențiază sistemele SIEM este faptul că realizează analize de jurnal cu scopul final de identificare a problemelor de securitate. Aceștia vor căuta, de exemplu, semne ale unor autentificări nereușite, care ar putea fi un semn de poveste al unei încercări de intruziune neautorizate. Aceste sisteme scanează continuu intrările de jurnal pentru a căuta ceva ieșit din comun. În timp ce unele sisteme SIEM includ funcții extinse de gestionare a jurnalelor, unele folosesc un sistem extern de gestionare a jurnalului și nu este neobișnuit să vedem ambele sisteme care rulează cot la cot.

CITIREA RELATĂ: Cele mai bune scanere IP pentru Mac

Cel mai bun management de jurnal pentru Linux

Sperăm că acum avem o înțelegere comunăce este managementul jurnalului și ce nu este. Deci, să aruncăm o privire la ce este disponibil pentru Linux. Dar mai întâi, să lămurim ceva. Când ne referim la gestionarea jurnalelor Linux, ceea ce ne referim la sistemele de gestionare a jurnalelor care pot găzdui jurnalele Linux și care vor fi rulate fie pe platforma Linux, fie în cloud. Unele dintre selecțiile noastre - în special sistemele bazate pe cloud - vor funcționa, de asemenea, cu jurnalele de pe alte platforme.

1. SolarWinds Papertrail (PLAN GRATUIT DISPONIBIL)

SolarWinds a devenit un nume gospodăresc printre rețeleadministratori. Realizează unele dintre cele mai bune instrumente de aproape 20 de ani, aducându-ne instrumente excelente de monitorizare a lățimii de bandă și unul dintre cei mai buni analizatori și colecționari NetFlow. De asemenea, compania este binecunoscută pentru publicarea mai multor instrumente gratuite care răspund unor nevoi specifice ale administratorilor de rețea, cum ar fi calculatorul de subrețea sau un server syslog.

Panoul de bord SolarWinds Papertrail

  • PLAN GRATUIT: SolarWinds Papertrail
  • Link oficial de descărcare: https://papertrailapp.com/plans

Nu cu mult timp în urmă, SolarWinds dobândite Urma de hartie, un sistem popular de gestionare a jurnalelor. Agregează fișierele de jurnal dintr-o mare varietate de produse populare, cum ar fi Apache sau MySQL, precum și aplicațiile Ruby on Rails, diferite servicii de hosting de cloud și alte fișiere de jurnal standard și bazate pe text. Urma de hartie utilizatorii pot utiliza apoi interfața de căutare bazată pe websau instrumente din linia de comandă pentru a căuta în aceste fișiere pentru a ajuta la diagnosticarea diverselor probleme. Papertrail se integrează și cu alte produse SolarWinds, precum Librato și Geckoboard, pentru rezultate grafice.

Urma de hartie este un software bazat pe cloud ca serviciu (SaaS)oferind de la SolarWinds. A fi bazat pe cloud înseamnă că va funcționa bine într-un mediu all-Linux. Platforma este ușor de implementat, utilizat și de înțeles și vă va oferi vizibilitate instantanee pe toate sistemele în câteva minute. Mai mult, produsul are un motor de căutare foarte eficient care poate căuta atât jurnalele stocate cât și fluxurile de fluxuri. Și fulgeră repede.

Urma de hartie este disponibil în mai multe planuri, inclusiv gratuitplan. Cu toate acestea, este oarecum limitată și permite doar 100 MB de jurnale în fiecare lună. Cu toate acestea, va permite 16 GB de jurnale în prima lună, ceea ce echivalează cu oferirea unui proces gratuit de 30 de zile. Planurile plătite încep de la 7 USD / lună pentru 1 GB / lună de jurnal, 1 an de arhivă și 1 săptămână de index. Filtrarea zgomotului permite instrumentului să păstreze datele fără a salva jurnalele inutile.

2. Loggly

Loggly este un alt serviciu online bazat pe cloud. În primul rând un consolidator de jurnal, oferă, de asemenea, funcționalitate de analiză jurnal. Ca urmare a faptului că este bazat pe cloud, acest sistem nu necesită nicio instalare și este gata să utilizeze minutul pentru care vă abonați. Desigur, sistemele și dispozitivele dvs. vor trebui configurate pentru a încărca periodic fișierele lor de jurnal pe serverul online.

Screenshot Loggly

  • ÎNCERCARE GRATUITĂ: Planuri loggly
  • Link oficial: https://www.loggly.com

Loggly apoi convertește datele de jurnal primite înformat standard, permițând astfel analizatorului să proceseze înregistrări din diverse surse și care să permită urmărirea și corelarea evenimentelor pe toate sistemele, indiferent de sistemul lor de operare sau de tehnologia de logare. Sursele de date de jurnal nu sunt limitate la serverele dvs. locale. Desigur, sistemul este capabil să proceseze jurnalele generate de serverele online, cum ar fi AWS-ul Amazon și poate include mesaje create de aplicații specifice, cum ar fi Docker și Logstash, doar pentru a numi câteva.

În Loggly serviciul este disponibil în cadrul a trei planuri diferite,cu creșterea limitelor de prelucrare a datelor și a timpilor de păstrare. Trebuie să alegeți cea potrivită pentru a vă oferi suficient spațiu pentru datele dvs. de jurnal. Se numește planul de intrare la nivel Loggly Lite. Este gratuit de utilizat. Conform acestui plan, puteți încărca 200 MB de date de jurnal pe zi, iar sistemul va păstra fiecare înregistrare timp de șapte zile. Următorul este planul standard care vă oferă o indemnizație de încărcare de 1 GB pe zi și păstrează înregistrări timp de 30 de zile. Planurile plătite vă permit, de asemenea, să utilizați mai multe conturi de utilizatori. Cu pachetul Standard, puteți avea trei conturi de utilizator. Se numește nivelul superior Loggly Afacere. Nu are nicio limită la numărul de conturi de utilizator pe care îl puteți configura, iar prețurile variază în funcție de cantitatea de capacitate de încărcare și perioada de păstrare pe care o solicitați. Plata pentru toate planurile plătite poate fi lunară sau anuală și o probă gratuită de 14 zile este disponibilă în planul standard.

3. Splunk

Splunk este un cunoscut - în cadrul administrării sistemuluicomunitate - sistem complet de gestionare a jurnalelor pentru Linux, Mac OS și Windows. Mai mult decât doar un sistem de bază de gestionare a jurnalului, unii consideră că este un sistem cu drepturi depline de prevenire a intruziunilor. Produsul este disponibil în trei versiuni. În partea de sus este Splunk Enterprise care este mai mult un sistem de gestionare a rețelei, mai degrabă decât un instrument de gestionare a jurnalelor. Prețurile încep de la 173 USD pe lună și obțineți o mulțime de funcționalități.

Captura de ecran Splunk Log Management

Există, de asemenea, o versiune gratuită a Splunk care este practic același instrument fără unelefuncționalitățile sale cele mai avansate. În esență, este restricționat la analiza fișierului jurnal. Puteți introduce în oricare dintre fișierele dvs. de jurnal standard sau le puteți trimite date în direct printr-un fișier în analizor. Versiunea gratuită are câteva limitări. De exemplu, poate avea un singur cont de utilizator, iar volumul de date al acestuia este limitat la 500 MB de jurnale pe zi. Funcționalitatea de sortare și filtrare a datelor este încorporată în Splunk, facilitând eforturile de rezolvare a problemelor. Puteți utiliza aceste funcții pentru împărțirea înregistrărilor de jurnal la dată și pentru a scrie fiecare grup în fișiere noi. De fapt, această funcționalitate este foarte flexibilă.

4. Server de jurnal Nagios

Nagios este cel mai cunoscut pentru software-ul său excelent de monitorizare a rețelei, dar serverul său de jurnal este la fel de interesant. Produsul se numește pur și simplu Server de jurnal Nagios și oferă gestionarea centralizată a jurnalului,monitorizare și analiză. Acest instrument poate simplifica foarte mult procesul de căutare a datelor de jurnal. Vă permite, de asemenea, să setați alerte pentru a fi notificate cu privire la potențialele amenințări. De asemenea, software-ul are o mare disponibilitate și eșecuri încorporate chiar în el. Mai mult, asistenții săi de configurare a sursei vă vor ajuta să configurați rapid serverele pentru a trimite toate datele de jurnal și să începeți să vă monitorizați jurnalele în câteva minute.

Nagios Log Server Date în timp real

În Server de jurnal Nagios permite o corelație ușoară a evenimentelor de jurnalpe toate serverele în doar câteva clicuri. Sistemul vă va permite să vizualizați datele de jurnal în timp real, oferindu-vă capacitatea de a analiza și rezolva problemele pe măsură ce apar. Produsul are o scalabilitate impresionantă și va continua să răspundă nevoilor dvs. pe măsură ce organizația dvs. crește. Adiţional Server de jurnal Nagios instanțele pot fi adăugate la un cluster de monitorizare, permițându-vă să adăugați rapid mai multă putere, viteză, stocare și fiabilitate.

Prețul pentru o singură instanță pentru Server de jurnal Nagios este de 3 995 USD și, deși o probă gratuită nu pare a fi disponibilă, o demonstrație online gratuită este, dacă preferați să aruncați o privire de primă mână asupra produsului.

5. Graylog

Următorul pe lista noastră este un produs numit Graylog. Produsul oferă multe caracteristici interesante. Instrumentul va analiza și îmbogăți jurnalele și datele de evenimente de la orice sursă de date. Conductele sale de procesare permit o anumită flexibilitate în rutarea, listarea neagră, modificarea și îmbogățirea mesajelor în timp real. Graylog va căuta prin terabyte de date de jurnal pentru a descoperi și analiza informații importante. Sintaxa puternică de căutare vă permite să găsiți exact ceea ce căutați.

Captura de ecran de Graylog

Cu Graylog, puteți crea tablouri de bord pentru a vizualiza valorileși observați tendințele într-o singură locație centrală. Puteți utiliza statistici de câmp, valori rapide și diagrame din pagina cu rezultatele căutării pentru a vă scufunda pentru o analiză mai profundă a datelor dvs. De asemenea, sistemul are opțiunea de a declanșa acțiuni sau de a emite notificări cu privire la evenimente cum ar fi încercări de autentificare eșuate, excepții sau degradarea performanței.

Graylog este un sistem gratuit bazat pe fișiere cu jurnal open-source carevă poate oferi mult mai multă funcționalitate decât o simplă utilitate de arhivare a jurnalului. Acest analizor de jurnal are o interfață grafică de utilizator și poate rula pe Ubuntu, Debian, CentOS și SUSE Linux. Puteți rula, de asemenea, pe o mașină virtuală pe Microsoft Windows și puteți instala sistemul Graylog pe Amazon AWS.

6. Analizați Analizatorul de gestionare a evenimentelor

ManageEngine, un alt nume comun în rândul administratorului de rețea, face un excelent sistem de gestionare a jurnalului numit Analizați Analizatorul de gestionare a evenimentelor. Produsul va colecta, gestiona, analiza, corela și căuta prin datele de jurnal din peste 700 de surse folosind o combinație de colecție de jurnale fără agent și bazată pe agent, precum și import de jurnal.

Analizați Analizatorul de gestionare a evenimentelor

Viteza este una dintre Analizați Analizatorul de gestionare a evenimentelorPuterea. Poate prelucra datele jurnalului la un impresionant 25.000 de jurnale / secundă și detecta atacuri în timp real. De asemenea, poate efectua o analiză criminalistică rapidă pentru a reduce impactul unei încălcări. Capacitățile de audit ale sistemului se extind la jurnalele perimetrului rețelei, activitățile utilizatorului, modificările contului serverului, accesele utilizatorilor și multe altele, ceea ce vă ajută să îndepliniți nevoile de audit de securitate.

În Analizați Analizatorul de gestionare a evenimentelor este disponibil într-o ediție gratuită redusă pentru funcțiicare acceptă doar 5 surse de jurnal sau într-o ediție premium, care începe de la 595 USD și variază în funcție de numărul de dispozitive și aplicații. O versiune gratuită, completă, de 30 de zile, este de asemenea disponibilă.

Citește și

MyGodMode: Vizualizați toate sarcinile de sistem și instrumentele de gestionare a Windows-ului sub o capotă
Cum se instalează Managementul politicilor de grup în Windows 7
Cei mai buni 4 ftp clienți pentru Linux
Cel mai bun Antivirus pentru Linux în 2019
7 cele mai bune teme întunecate pentru Linux în 2019
Cele mai bune 6 instrumente de gestionare a fotografiilor pentru Linux
Cum să configurați instrumentele de dezvoltare Android pe Linux
6 cele mai bune instrumente de gestionare a timpului pentru Linux
Cele mai bune 7 instrumente de gestionare a sarcinilor pentru Linux
Cum dezactivați serviciile nedorite în Ubuntu Linux
HomeBank vă gestionează cu ușurință finanțele de acasă pe Windows, Mac și Linux
Împiedicați afișarea ecranului gol în Ubuntu

Comentarii