Dnešné systémy generujú veľa protokolovaniadát. Na mnohých platformách je niekde zaznamenaná každá jednotlivá udalosť, dôležitá alebo nie. Protokoly sa zvyčajne ukladajú lokálne. To dáva zmysel, pretože protokoly sú spojené s ich zdrojom. Keď sa však snažíme riešiť problémy a nájsť ich hlavnú príčinu, často to znamená, že sa musíme pozrieť na viac protokolových súborov na mnohých zariadeniach. Nebolo by pekné, keby boli všetky protokoly zo všetkých zariadení uložené na jednom mieste? Správa protokolov je to a ešte oveľa viac, ako sa o tom chystáte dozvedieť. A dnes skúmame najlepšie systémy správy protokolov.
Začneme tým, že sa pokúsime vysvetliť, aký protokolriadenie je. Ako vidíte, môže to byť viac než len centralizácia ukladania denníkov. Ďalej sa budeme venovať protokolom protokolovania. Je to dosť dôležité, pretože správa protokolov by bez nich pravdepodobne neexistovala. Potom sa pokúsime odlíšiť servery syslog od systémov na správu protokolov. Žiaľ, medzi nimi neexistuje jasné vymedzenie. Budeme pokračovať diskusiou o bezpečnostných informáciách a systémoch správy udalostí, pretože je to ďalší typ systému, ktorý je často zamieňaný so správou protokolov, a to vďaka trochu nejasnej definícii každého z nich. Nakoniec preskúmame osem najlepších systémov správy protokolov, ktoré sme našli.
Správa protokolov - čo to je
Skôr ako budeme môcť hovoriť o správe protokolov, poďmepozrite sa, čo je protokol. Jednoducho definované, denník je automaticky vytvorená a časovo označená dokumentácia udalostí relevantných pre konkrétny systém. Kedykoľvek dôjde k udalosti v systéme, vygeneruje sa protokol. Rôzne systémy vygenerujú denníky pre rôzne udalosti a mnoho systémov poskytuje správcom určitý stupeň kontroly nad tým, čo generuje denník a čo nie.
Keď hovoríme o správe protokolov, hovorímeodkaz na procesy a politiky používané na správu a uľahčenie generovania, prenosu, analýzy, ukladania, archivácie a prípadného zneškodnenia veľkého množstva údajov denníka. Správa protokolov znamená centralizovaný systém, v ktorom sa zhromažďujú protokoly z viacerých zdrojov.
Správa protokolov však nie je len zhromažďovanie protokolov. Najdôležitejšia je riadiaca časť. Systémy správy protokolov majú zvyčajne viac funkcií, pričom protokoly sú len jednou z nich.
Akonáhle sú protokoly prijaté správou protokolovsystému, musia byť „preložené“ do spoločného formátu. Rôzne systémy protokoly formátujú odlišne a do svojich protokolov zahŕňajú rôzne údaje. Niektorí začnú denník s dátumom a časom, iní začnú s číslom udalosti. Niektoré obsahujú iba ID denníka, zatiaľ čo iné obsahujú úplný textový popis udalosti. Jedným z účelov systémov správy protokolov je zabezpečiť, aby všetky zhromaždené záznamy protokolu boli uložené v jednotnom formáte. Tým sa zjednoduší vyhľadávanie a korelácia udalostí.
Keď už hovoríme o vyhľadávaní a dokonca o korelácii,Toto je ďalšia dôležitá funkcia mnohých systémov správy protokolov. Niektoré z nich sú vybavené výkonným vyhľadávacím nástrojom, ktorý správcom umožňuje presne sa zamerať na to, čo potrebujú. Korelačné funkcie automaticky zoskupia súvisiace udalosti, aj keď sú z rôznych zdrojov. Ako - a ako úspešne - to dokážu rôzne systémy správy protokolov, čo je hlavný faktor rozlišovania.
Protokolové protokoly
Správa protokolov by bola oveľa ťažšia, akvôbec, ak to nebolo pre protokolovanie protokolov. Existuje niekoľko z nich, ktoré definujú, aké údaje sa majú zahrnúť do denníkov, ako by sa mali formátovať a ako sa majú prenášať medzi systémami.
Syslog je pravdepodobne najpoužívanejší protokolovací protokol. Vymyslený na začiatku osemdesiatych rokov sa stal de facto štandardom pre systémy podobné Unixu. Jedným z najväčších prínosov protokolu syslog je to, ako oddeľuje softvér, ktorý generuje protokoly, systém, ktorý ich ukladá, a softvér, ktorý ich podáva a analyzuje. Použitie protokolu Syslog uľahčuje správu protokolov. Mnoho zariadení, ktoré nepatria medzi Unixy, ako sú prepínače routerov a ďalšie sieťové zariadenia od mnohých výrobcov, používa variant protokolu syslog.
Microsoft Windows, ako ste asi uhádli, používainý systém zaznamenávania. Môže to súvisieť s tým, že operačné systémy a aplikácie Windows majú protokoly, ktoré zvyčajne obsahujú oveľa viac informácií, ako povoľuje syslog. Našťastie funkcie Windows Event Collector poskytujú prostriedky, ktoré môžu systémy správy protokolov použiť na príjem udalostí od hostiteľov Windows.
Bez ohľadu na to, aký protokol protokolovania sa používa,Dôležitou súčasťou správy protokolov je konfigurácia zariadení na odosielanie protokolov do systému riadenia. To sa líši od iných nástrojov, ako sú systémy na monitorovanie siete, kde nástroj načíta údaje z hostiteľov.
Správa protokolov Vs Správa protokolov
Vzhľadom k tomu, že je k dispozícii na všetkých Unix-likesystém na chvíľu, Syslog, ak sa často používa ako log server, keď jeden počítač prijíma údaje syslog od niekoľkých ďalších. Aj keď má toto centralizované ukladanie protokolov určité výhody, nie je to správa protokolov.
Aby ste si zaslúžili názov systému správy protokolov, aprodukt musí obsahovať aspoň niektoré z pokročilejších funkcií. Podľa Wikipédie správa protokolov pozostáva z nasledujúcich funkcií: zhromažďovanie protokolov, centralizovaná agregácia protokolov, dlhodobé ukladanie a uchovávanie protokolov, rotácia protokolov, analýza protokolov, vyhľadávanie protokolov a podávanie správ. Protokolové servery často ponúkajú iba zhromažďovanie a ukladanie protokolov a len zriedka viac. Každý zo systémov na správu protokolov v našom top zozname ponúka aspoň niektoré z pokročilejších funkcií.
A čo systémy SIEM?
Ďalšou obľúbenou technológiou, ktorá je častoasociovaný s protokolmi a zamieňaný so systémami správy protokolov je Security Information and Event Management alebo SIEM. Je to celkom odlišné od správy protokolov, hoci s ňou úzko súvisí. V skutočnosti sú niektoré výrobky inzerované ako systémy na správu protokolov v skutočnosti systémami SIEM, zatiaľ čo niektoré základné systémy SIEM nie sú nič viac ako systémy na správu protokolov.
Hlavným dôvodom tejto zámeny je ten denníkspráva - alebo aspoň analýza protokolov - je dôležitou súčasťou systémov SIEM. Systémy SIEM v skutočnosti spravujú logovanie na ďalšiu úroveň pridaním určitej inteligencie do procesu. Tieto systémy vykonávajú analýzu protokolov s konečným cieľom identifikácie bezpečnostných problémov. Budú napríklad hľadať príznaky neúspešných prihlásení, ktoré by naznačovali neoprávnený pokus o prienik. Tieto systémy automaticky prehľadajú položky denníka a hľadajú niečo neobvyklé.
Systémy SIEM majú viac spoločného s bezpečnosťou ITako správa IT a niektoré z nich obsahujú rozsiahle funkcie správy protokolov, mnohé z nich môžu používať aj externé systémy správy protokolov a nie je neobvyklé, že oba systémy bežia bok po boku.
Najlepšie softvér pre správu protokolov
Teraz, keď už vieme čospráva protokolov je a čo nie je, pozrime sa, čo je k dispozícii. Hľadali sme na trhu niektoré z najlepších systémov správy protokolov. Naše počiatočné zistenie je, že ich je veľa a veľa z nich veľmi dobré. Máme však iba toľko priestoru, takže sa chystáme prehodnotiť osem najzaujímavejších, ktoré sme našli.
1. Papierová dráha SolarWinds
SolarWinds je všeobecný názov v polinástroje na správu siete. Je už takmer 20 rokov a priniesol nám jeden z najlepších nástrojov na monitorovanie šírky pásma a jeden z najlepších analyzátorov a zberateľov NetFlow. Spoločnosť je tiež známa vydávaním niekoľkých bezplatných nástrojov, ktoré riešia niektoré špecifické potreby správcov siete, ako je kalkulačka podsiete alebo server syslog.
Pred niekoľkými rokmi spoločnosť SolarWinds získala Papierová stopa, obľúbený systém správy protokolov. Zhromažďuje protokolové súbory z najrôznejších populárnych produktov, ako sú Apache alebo MySQL, ako aj aplikácie Ruby on Rails, rôzne služby hostenia cloudu a ďalšie štandardné textové protokolové súbory. Papierová stopa používatelia môžu potom pomocou webového vyhľadávacieho rozhrania alebo nástrojov príkazového riadku prehľadávať tieto súbory, aby pomohli diagnostikovať chyby a problémy s výkonom. Papierová stopa integruje sa aj do ďalších produktov SolarWinds, ako sú Librato a Geckoboard, aby sa dosiahli výsledky grafov.
Papierová stopa je cloudový softvér ako služba (SaaS)ponuka od spoločnosti SolarWinds. Implementácia, používanie a porozumenie je ľahké. A to vám poskytne okamžitú viditeľnosť vo všetkých systémoch v priebehu niekoľkých minút. Tento nástroj má veľmi efektívny vyhľadávací nástroj, ktorý dokáže prehľadávať uložené aj streamované protokoly. A je to bleskurychle.
Papierová stopa je k dispozícii v rámci niekoľkých programov vrátane bezplatnéhoplan. Je však trochu obmedzený a umožňuje mesačne iba 100 MB záznamov. V prvom mesiaci vám to však umožní 16 GB denníkov, čo je ekvivalentné bezplatnej 30-dňovej skúšobnej verzii. Platené programy začínajú na 7 $ / mesiac pre 1 GB / mesiac záznamov, 1 rok archívu a 1 týždeň indexu. Filtrovanie hluku umožňuje nástroju zachovať údaje tým, že neuloží zbytočné protokoly.
2. Správca protokolov a udalostí SolarWinds (SKÚŠKA ZADARMO)
Náš ďalší vstup je ďalší produkt spoločnosti SolarWinds s názvom SolarWinds Správca protokolov a udalostí, Na rozdiel od nášho predchádzajúceho záznamu je to alokálne nainštalovaný produkt. A je to tiež oveľa viac než len systém správy protokolov. Mnoho pokročilých funkcií tohto produktu ho zaradilo do sortimentu SIEM. Má napríklad koreláciu v reálnom čase a napríklad nápravu v reálnom čase.
Tu je prehľad Správca protokolov a udalostí SolarWindsHlavné funkcie. Eliminuje hrozby rýchlo pomocou okamžitého zisťovania podozrivých aktivít a automatických reakcií. Môže tiež vykonávať vyšetrovanie bezpečnostných udalostí a forenznú analýzu na zmiernenie a dodržiavanie predpisov. A keď už hovoríme o zhode, produkt vám to umožní demonštrovať, okrem iného vďaka auditom overeným výkazom pre HIPAA, PCI DSS a SOX. Tento nástroj má tiež monitorovanie integrity súborov a monitorovanie zariadení USB, čo sú dve funkcie, ktoré sú nad úrovňou toho, čo bežne vidíme v systémoch správy protokolov.
Ceny za internet Správca protokolov a udalostí SolarWinds začnite na 4 585 $ až pre 30 monitorovaných uzlov. Licencie až pre 2500 uzlov je možné zakúpiť, vďaka čomu je produkt vysoko škálovateľný. A ak chcete overiť, či je produkt pre vás ten pravý, máte k dispozícii bezplatnú 30-dňovú skúšobnú verziu s plným výkonom.
3. ipswitch Log Management Suite
Na Správa protokolov je nástroj od Ipswitch, tej istej spoločnosti, ktoránám priniesol WhatsUp Gold, nesmierne populárny nástroj na monitorovanie siete. Toto je automatizovaný nástroj, ktorý zhromažďuje, ukladá, archivuje a ukladá systémové denníky, udalosti systému Windows a denníky W3C / IIC. Jeho nepretržitý dohľad nad logom vás navyše upozorní na každú podozrivú aktivitu.
Často kontrolované udalosti, ako napríklad prístupové právaa oprávnenia súborov, priečinkov a objektov môžu byť dodržané, generovať výstrahy podľa potreby a použité na vytváranie správ o zhode pre súlad HIPAA, SOX, FISMA, PCI, MiFID alebo Basel II. Tento nástroj vám tiež môže pomôcť transformovať vaše nespracované údaje denníka na zmysluplné údaje pre manažérov alebo tímy IT bezpečnosti vďaka automatizovanému filtrovaniu, korelácii, vykazovaniu a prevádzaniu funkcií.
Informácie o cenách pre internet Správa protokolov nie je ľahko dostupný z Ipswitch. Produkt je možné zakúpiť buď priamo od vydavateľa, alebo prostredníctvom siete distribútorov Ipswitch. K dispozícii je aj bezplatná skúšobná verzia.
4. SpravovaťEngine EventLog Analyzer
ManageEngine, ďalší spoločný názov správcu siete, vytvára vynikajúci systém správy protokolov nazývaný SpravovaťEngine EventLog Analyzer, Produkt bude zhromažďovať, spravovať, analyzovať, korelovať a prehľadávať údaje denníka z viac ako 700 zdrojov pomocou kombinácie protokolov alebo agentov bez agentov a agentov, ako aj import protokolu.
Rýchlosť je jedným z SpravovaťEngine EventLog AnalyzerSila. Dokáže spracovávať údaje denníka s pôsobivou rýchlosťou 25 000 záznamov za sekundu a detekovať útoky v reálnom čase. Môže tiež vykonať rýchlu forenznú analýzu na zníženie dopadu porušenia. Auditné možnosti systému sa rozširujú na protokoly obvodových zariadení v sieti, aktivity používateľov, zmeny účtov servera, prístupy používateľov a ďalšie, čo vám pomáha splniť potreby bezpečnostného auditu.
Na SpravovaťEngine EventLog Analyzer je k dispozícii v bezplatnej edícii so zníženou funkciouktorý podporuje iba 5 zdrojov denníka alebo v prémiovej edícii, ktorá začína na 595 USD a líši sa podľa počtu zariadení a aplikácií. K dispozícii je aj bezplatná 30-dňová skúšobná verzia s plným výkonom.
5. Server Nagios Log
Nagios je najlepšie známy pre svoj vynikajúci softvér na monitorovanie siete, ale jeho Log Server je pravdepodobne rovnako zaujímavý. Aptly volal Server protokolu Nagios, ponúka centralizovanú správu protokolov, monitorovanie a analýzu. Server protokolu Nagios zjednodušuje proces vyhľadávania údajov denníka. Umožňuje tiež nastaviť upozornenia na možné hrozby. Okrem toho má softvér vysokú dostupnosť a zabudované zlyhanie. Jeho sprievodcovia jednoduchého nastavenia zdroja vám pomôžu rýchlo nakonfigurovať servery tak, aby posielali všetky údaje denníka a za pár minút začnú monitorovať protokoly. ,
Na Server protokolu Nagios umožňuje ľahko korelovať udalosti denníka vo všetkýchservery na pár kliknutí. A umožňuje vám prezerať údaje denníka v reálnom čase, čo vám umožňuje analyzovať a riešiť problémy, keď sa vyskytnú. Produkt sa vyznačuje pôsobivou škálovateľnosťou a bude naďalej vyhovovať vašim potrebám s rastom vašej organizácie. dodatočný Server protokolu Nagios inštancie môžu byť pridané do monitorovacieho klastra, čo vám umožní rýchlo pridať viac energie, rýchlosti, ukladania a spoľahlivosti.
Jednostranná cena za internet Server protokolu Nagios je 3 995 USD a hoci sa zdá, že bezplatná skúšobná verzia nie je k dispozícii, bezplatné demo online je, ak uprednostňujete priamy pohľad na produkt.
6. Manažér logických záznamov výstrah
Hlavným zameraním spoločnosti Alert Logic je bezpečnosť a súlad. A keďže správa protokolov úzko súvisí s oboma, nie je divu, že spoločnosť ponúka Správca protokolov výstrah, Tento cloudový nástroj ponúka automatické azjednotená správa protokolov vo všetkých prostrediach. Bude zhromažďovať, agregovať a prehľadávať údaje denníka z cloudu, servera, aplikácií, zabezpečenia a sieťových prostriedkov.
Na Správca protokolov výstrah zahŕňa monitorovanie a analýzu denníkov, ako ajprehľad protokolu, ktorý sa vykonáva naživo pomocou ľudských analyzátorov. Odborníci spoločnosti Alert Logic vás upozornia na možnú hrozbu 365 dní v roku. Táto služba tiež pomôže splniť požiadavky na kontrolu protokolov SOC 2, HIPAA a SOX a zbaví záťaž pri kontrole protokolov a sledovaní udalostí, aby vyhovovala požiadavkám PCI / DSS 10.6, 10.6.1, 10.6.3.
Informácie o cenách pre internet Správca protokolov výstrah nie je na webe ľahko dostupný. Ak chcete získať formálnu cenovú ponuku, musíte sa obrátiť na predaj služby Alert Logic. K dispozícii nie je bezplatná skúšobná verzia, ale bezplatné demo si môžete dohodnúť kontaktovaním Alert Logic.
7. LogDNA
Spoločnosť bola založená v roku 2015, LogDNA je nové dieťa v bloku. Spoločnosť tvrdí, že „LogDNA je najrýchlejší, najintuitívnejší anákladovo efektívny systém správy protokolov “. Všetko to začína inštaláciou, ktorá trvá iba pár minút, než začnete monitorovať svoje denníky. Bez ohľadu na to, ako sa generujú a prenášajú protokoly, sú k dispozícii stovky vlastných integračných schém na centralizáciu protokolov do jediného panela.
LogDNA môžu byť hostené v cloude alebo samostatnetvoje preferencie. Je vysoko škálovateľná a zvláda stovky tisíc protokolov za sekundu a desiatky terabajtov na zákazníka, za deň, s úplnou bezpečnosťou pomocou analýzy protokolov v reálnom čase. Spoločnosť a jej produkty sú certifikované podľa SOC2, PCI a HIPAA, ako aj certifikátu Privacy Shield.
Vďaka svojmu jednoduchému cenovému modelu s platbou za GB, ktorýeliminuje zmluvy a skupiny pevných dát, spoločnosť má jednu z najnižších celkových nákladov na vlastníctvo. K dispozícii je niekoľko plánov predplatného so zvyšujúcimi sa funkciami. Plán na najnižšej úrovni je bezplatný a platené plány sa pohybujú od 1,50 $ / GB / mesiac do 3 $ / GB / mesiac v závislosti od doby uchovávania a počtu používateľov. K dispozícii je aj bezplatná 14-dňová skúšobná verzia s plným výkonom.
8. Graylog
Posledným na našom zozname je produkt s názvom Graylog, Produkt ponúka veľa zaujímavých funkcií. Nástroj analyzuje a obohacuje protokoly a údaje o udalostiach z ľubovoľného zdroja údajov. Jeho spracovateľské potrubia umožňujú určitú flexibilitu pri smerovaní, čiernej listine, úprave a obohacovaní správ v reálnom čase. Graylog bude prehľadávať terabajty údajov denníka s cieľom zistiť a analyzovať dôležité informácie. Výkonná syntax vyhľadávania umožňuje nájsť presne to, čo hľadáte.
s Graylog, môžete vytvoriť dashboardy na vizualizáciu metríka sledujte trendy na jednom centrálnom mieste. Môžete použiť štatistiku polí, rýchle hodnoty a grafy zo stránky s výsledkami vyhľadávania na hlbšiu analýzu údajov. Systém má tiež možnosť spúšťať akcie alebo vydávať oznámenia o udalostiach, ako sú neúspešné pokusy o prihlásenie, výnimky alebo zníženie výkonu.
Graylog je k dispozícii ako bezplatný a otvorený zdroj,verzia s obmedzenými funkciami, ktorá má tiež obmedzenú podporu alebo ako podniková verzia s rozšírenými funkciami a neobmedzenou podporou. Skúšobnú licenciu môžete získať aj kontaktovaním Graylog predaja.
Komentáre