Dagens system genererar mycket loggningdata. På många plattformar loggas varje enskilt evenemang, viktigt eller inte, någonstans. Vanligtvis lagras loggar lokalt. Detta är meningsfullt eftersom loggar är kopplade till deras källa. Men när vi försöker felsöka problem och hitta deras grundläggande orsak, betyder det ofta att vi måste titta på flera loggfiler på många enheter. Skulle det inte vara trevligt om alla loggar från alla enheter lagrades på ett ställe? Logghantering är det och mycket mer, som du ska ta reda på. Och idag granskar vi de bästa logghanteringssystemen.
Vi börjar med att försöka förklara vilken logghantering är. Som ni ser kan det vara mycket mer än bara att centralisera logglagring. Därefter pratar vi om loggningsprotokoll. Det är ganska viktigt eftersom logghantering sannolikt inte skulle existera utan dem. Vi kommer sedan att försöka skilja syslog-servrar från logghanteringssystem. Tyvärr finns det ingen tydlig avgränsning mellan dem. Vi kommer att följa med en diskussion om säkerhetsinformation och händelseshanteringssystem eftersom det här är en annan typ av system som ofta förväxlas med logghantering tack vare den något oklara definitionen av var och en. Och slutligen granskar vi de åtta bästa logghanteringssystemen vi kunde hitta.
Logghantering - Vad det är
Innan vi kan prata om logghantering, låt ossse vad en logg är. Enkelt definierat är en logg den automatiskt producerade och tidsstämplade dokumentationen av händelser som är relevanta för ett visst system. När en händelse äger rum i ett system genereras en logg. Olika system kommer att generera loggar för olika händelser och många system ger administratörer viss grad av kontroll över vad som genererar en logg och vad som inte gör det.
När vi pratar om logghantering är vi detmed hänvisning till de processer och policyer som används för att administrera och underlätta generering, överföring, analys, lagring, arkivering och eventuell bortskaffande av stora volymer loggdata. Logghantering innebär ett centraliserat system där loggar från flera källor samlas in.
Men logghantering är inte bara loggsamling. Ledningsdelen är den viktigaste. Logghanteringssystem har vanligtvis flera funktioner, samla loggar är bara en av dem.
När loggar har tagits emot av logghanteringensystem måste de ”översättas” till ett vanligt format. Olika system formaterar loggar på olika sätt och inkluderar olika data i sina loggar. Vissa startar en logg med datum och tid, andra startar med ett händelsnummer. Vissa innehåller bara ett log-ID medan andra innehåller en fullständig textbeskrivning av händelsen. Ett av syftena med logghanteringssystem är att se till att alla insamlade loggposter lagras i ett enhetligt format. Detta kommer att göra sökning och händelsekorrelation mycket lättare längs linjen.
Pratar om sökning och till och med korrelation,detta är en annan viktig funktion i många loghanteringssystem. Några av dem har en kraftfull sökmotor som gör det möjligt för administratörer att nollställa exakt vad de behöver. Korrelationsfunktioner grupperar automatiskt relaterade händelser, även om de kommer från olika källor. Hur — och hur framgångsrikt — olika logthanteringssystem åstadkommer är en viktig differentierande faktor.
Loggningsprotokoll
Logghantering skulle vara mycket svårare, omalls möjligt, om det inte vore för loggningsprotokoll. Några av dem finns som definierar vilka data som ska inkluderas i loggar, hur de ska formateras och hur de ska överföras mellan system.
Syslog är utan tvekan det mest använda loggningsprotokollet. Det uppfanns i början av åttiotalet och har blivit de facto-standarden för Unix-liknande system. En av de största tillgångarna i syslog-protokollet är hur det separerar programvaran som genererar loggar, systemet som lagrar dem och programvaran som rapporterar och analyserar dem. Att använda Syslog-protokollet gör logghantering mycket lättare. Många enheter som inte är Unix, som switchar routrar och annan nätverksutrustning från många leverantörer, använder en variant av syslog-protokollet.
Microsoft Windows använder som du gissatett annat loggningssystem. Det kan ha att göra med att Windows-operativsystem och applikationer har loggar som vanligtvis innehåller mycket mer information än syslog tillåter. Lyckligtvis ger Windows Event Collector-funktionerna ett medel för logghanteringssystem som kan användas för att ta emot händelser från Windows-värdar.
Oavsett vilket loggningsprotokoll som används, enviktig del av logghantering är att konfigurera enheter för att skicka sina loggar till hanteringssystemet. Detta skiljer sig från andra verktyg som nätverksövervakningssystem, där verktyget hämtar data från värdarna.
Loggsservrar mot logghantering
Eftersom det har varit tillgängligt på alla Unix-liknandesystem för ett tag, Syslog om det ofta används som en loggserver med en dator som tar emot syslog-data från flera andra. Medan denna centraliserade lagring av loggar har definitiva fördelar, är det inte logghantering.
För att förtjäna namnet Loggningssystem, aProdukten måste innehålla åtminstone några av de mer avancerade funktionerna. Enligt Wikipedia består loghantering av följande funktioner: loggsamling, centraliserad loggsamling, långsiktig logglagring och lagring, loggrotation, logganalys, loggsökning och rapportering. Loggservrar erbjuder ofta bara loggsamling och lagring och sällan mer än så. Var och en av logghanteringssystemen på vår topplista erbjuder åtminstone några av de mer avancerade funktionerna.
Vad sägs om SIEM-system?
En annan populär teknik som ofta ärassocierad med loggar och förvirrad med logghanteringssystem är Säkerhetsinformation och Event Management, eller SIEM. Detta skiljer sig mycket från loghantering, även om det är nära besläktat. I själva verket är vissa produkter som annonseras som loghanteringssystem faktiskt SIEM-system medan vissa grundläggande SIEM-system inte är något annat än loghanteringssystem.
Det främsta skälet till den förvirringen är den loggenhantering - eller åtminstone logganalys - är en viktig komponent i SIEM-system. SIEM-system tar faktiskt logghantering till nästa nivå genom att lägga till viss intelligens till processen. Dessa system utför log-analys med det slutliga målet att identifiera säkerhetsproblem. De kommer till exempel att leta efter tecken på misslyckade inloggningar som skulle indikera ett obehörigt intrångsförsök. Dessa system skannar automatiskt loggposter som letar efter något ovanligt.
SIEM-system har mer att göra med IT-säkerhetän IT-hantering och även om vissa innehåller omfattande logghanteringsfunktioner, kan många också använda ett externt logghanteringssystem och det är inte ovanligt att se båda systemen som kör sida vid sida.
Den bästa loghanteringsprogramvaran
Nu när vi har en gemensam förståelse för vadlogghantering är och vad det inte är, låt oss titta på vad som finns tillgängligt. Vi har sökt på marknaden efter några av de bästa loghanteringssystemen. Vårt första resultat är att det finns många av dem och många av dem är mycket bra. Men vi har bara så mycket utrymme så vi håller på att granska de åtta mest intressanta som vi kunde hitta.
1. SolarWinds Papertrail
SolarWinds är ett vanligt namn inom områdetnätverksadministrationsverktyg. Det har funnits i nästan 20 år och har fört oss ett av de bästa bandbreddövervakningsverktygen och ett av de bästa NetFlow-analysatorerna och samlarna. Företaget är också välkänt för att publicera flera gratisverktyg som tillgodoser vissa specifika behov hos nätverksadministratörer som subnätkalkylator eller en syslog-server.
För några år sedan förvärvade SolarWinds Pappersspår, ett populärt logghanteringssystem. Den samlar loggfiler från en mängd populära produkter som Apache eller MySQL samt Ruby on Rails-appar, olika molntjänsttjänster och andra standardtextloggfiler. Pappersspår användare kan sedan använda det webbaserade sökgränssnittet eller kommandoradsverktygen för att söka igenom dessa filer för att diagnostisera buggar och prestandaproblem. Pappersspår integreras också med andra SolarWinds-produkter, såsom Librato och Geckoboard för grafiska resultat.
Pappersspår är en molnbaserad programvara som en tjänst (SaaS)erbjudande från SolarWinds. Det är lätt att implementera, använda och förstå. Och det kommer att ge dig direkt synlighet över alla system på några minuter. Verktyget har en mycket effektiv sökmotor som kan söka både lagrade och strömmande loggar. Och det blixtsnabbt.
Pappersspår är tillgängligt under flera planer inklusive en gratisplanen. Det är dock något begränsat och tillåter bara 100 MB loggar varje månad. Det kommer dock att tillåta 16 GB loggar under den första månaden, vilket motsvarar att du får en gratis 30-dagars provperiod. Betalda planer börjar på $ 7 / månad för 1 GB / månad loggar, 1 års arkiv och 1 vecka index. Brusfiltrering tillåter verktyget att bevara data genom att inte spara värdelösa loggar.
2. SolarWinds Log & Event Manager (GRATIS prövning)
Vår nästa post är en annan produkt från SolarWinds som heter the Solarwinds Log & Event Manager. Till skillnad från vår tidigare post är detta enlokalt installerad produkt. Och det är också mycket mer än bara ett logghanteringssystem. Många av de avancerade funktionerna i denna produkt sätter den i SIEM-sortimentet. Det har till exempel ventilkorrelation i realtid och sanering i realtid.
Här är en översikt över SolarWinds Log & Event ManagerHuvudsakliga funktioner. Det eliminerar hot snabbt med omedelbar upptäckt av misstänkt aktivitet och automatiserade svar. Det kan också utföra utredningar av säkerhetshändelser och kriminaltekniker för att mildra och följa efterlevnaden. Och när vi talar om efterlevnad kommer produkten att tillåta dig att demonstrera den, tack vare sin revisionsprövade rapportering för bland annat HIPAA, PCI DSS och SOX. Detta verktyg har också övervakning av filintegritet och övervakning av USB-enheter, två funktioner som ligger långt över vad vi vanligtvis ser i logghanteringssystem.
Priser för SolarWinds Log & Event Manager börja på $ 4585 för upp till 30 övervakade noder. Licenser för upp till 2500 noder kan köpas vilket gör produkten mycket skalbar. Och om du vill verifiera att produkten är rätt för dig, finns det en kostnadsfri 30-dagars testversion.
3. ipswitch Log Management Suite
De Log Management Suite är ett verktyg från Ipswitch, samma företag somförde oss WhatsUp Gold, ett oerhört populärt nätverksövervakningsverktyg. Detta är ett automatiserat verktyg som samlar, lagrar, arkiverar och sparar systemloggar, Windows-händelser och W3C / IIC-loggar. Dessutom kommer dess kontinuerliga loggövervakning att varna dig om misstänkt aktivitet.
Ofta granskade händelser som åtkomsträttigheteroch fil-, mapp- och objektbehörigheter kan följas, generera varningar efter behov och användas för att bygga efterlevnadsrapporter för HIPAA, SOX, FISMA, PCI, MiFID eller Basel II-efterlevnad. Verktyget kan också hjälpa dig att omvandla dina råa loggdata till meningsfulla data för chefer eller IT-säkerhetsteam tack vare dess automatiska filtrering, korrelering, rapportering och konvertering.
Prisinformation för Log Management Suite är inte lätt tillgängligt från Ipswitch. Produkten kan köpas antingen direkt från utgivaren eller via Ipswitchs återförsäljarnätverk. En gratis provversion är också tillgänglig.
4. ManageEngine EventLog Analyzer
ManageEngine, ett annat vanligt namn med nätverksadministratör, gör ett utmärkt logghanteringssystem som kallas Hantera Engine EventLog Analyzer. Produkten samlar in, hanterar, analyserar, korrelerar och söker igenom loggdata från över 700 källor med hjälp av en kombination eller agentlös och agentbaserad loggsamling samt logimport.
Hastighet är en av Hantera Engine EventLog AnalyzerStyrka. Den kan bearbeta loggdata med imponerande 25 000 loggar / sekund och upptäcka attacker i realtid. Den kan också utföra snabb kriminalteknisk analys för att minska effekterna av ett brott. Systemets granskningsfunktioner omfattar nätverksomkretsenheternas loggar, användaraktiviteter, serverkontoändringar, användaråtkomst och mer, vilket hjälper dig att uppfylla säkerhetsrevisionsbehoven.
De Hantera Engine EventLog Analyzer finns i en funktionsminskad gratisutgåvasom endast stöder 5 loggkällor eller i en premiumutgåva som börjar på 595 $ och varierar beroende på antalet enheter och applikationer. En gratis, fullständig 30-dagars provversion är också tillgänglig.
5. Nagios Log Server
Nagios är bäst känt för sin utmärkta nätverksövervakningsprogramvara men sin loggserver är kanske lika intressant. Helt kallade Nagios Log Server, det erbjuder centraliserad logghantering, övervakning och analys. De Nagios Log Server förenklar processen att söka i dina loggdata. Det låter dig också ställa in varningar som ska meddelas om potentiella hot. Dessutom har programvaran hög tillgänglighet och fail-over inbyggd direkt. Dess enkla källinstallationsguider hjälper dig att snabbt konfigurera servrar för att skicka all loggdata och börja övervaka dina loggar på några minuter .
De Nagios Log Server låter dig enkelt korrelera logghändelser över allaservrar med bara några klick. Och det låter dig se loggdata i realtid, vilket ger dig möjlighet att analysera och lösa problem när de uppstår. Produkten har imponerande skalbarhet och den kommer att fortsätta att tillgodose dina behov när din organisation växer. Ytterligare Nagios Log Server instanser kan läggas till i ett övervakningskluster, så att du snabbt kan lägga till mer kraft, hastighet, lagring och tillförlitlighet.
Enkeltpriset för Nagios Log Server är 3 995 USD och även om en kostnadsfri testversion inte verkar vara tillgänglig är en gratis online-demo om du föredrar att titta på produkten från första hand.
6. Alert Logic Log Manager
Alert Logics huvudsakliga fokus är säkerhet och efterlevnad. Och eftersom logghantering är nära besläktad med båda är det ingen överraskning att företaget erbjuder Alert Logic Log Manager. Detta molnbaserade verktyg erbjuder automatiserade ochenhetlig logghantering i alla dina miljöer. Den kommer att samla in, aggregera och söka loggdata från moln-, server-, applikations-, säkerhets- och nätverkstillgångar.
De Alert Logic Log Manager inkluderar loggövervakning och analys samtloggranskning som görs live av mänskliga analysatorer. Alert Logics experter kommer att varna dig om eventuell hotaktivitet 365 dagar om året. Tjänsten kommer också att hjälpa till att uppfylla kraven för logggranskning av SOC 2, HIPAA och SOX och avlastar bördan att granska loggar och följa upp händelser, för att uppfylla PCI / DSS 10.6, 10.6.1, 10.6.3
Prisinformation för Alert Logic Log Manager är inte lätt tillgängligt från webben och du måste kontakta Alert Logic-försäljningen för att få en formell offert. En gratis testversion är inte heller tillgänglig men en gratis demo kan ordnas genom att kontakta Alert Logic.
7. LogDNA
Grundades 2015, LogDNA är det nya barnet på kvarteret. Företaget hävdar att "LogDNA är den snabbaste, mest intuitiva ochkostnadseffektivt logghanteringssystem ”. Det hela börjar med installationen som tar bara några minuter innan du kan börja övervaka dina loggar. Oavsett hur loggar genereras och överförs finns hundratals anpassade integrationsscheman tillgängliga för att centralisera loggar i ett enda fönster.
LogDNA kan vara molnbaserad eller självvärd, beroende pådin preferens. Det är mycket skalbart och kan hantera hundratusentals stockar per sekund och dussintals terabyte per kund, per dag i total säkerhet med realtidslogganalys. Företaget och dess produkter är SOC2-, PCI- och HIPAA-kompatibla samt integritetsskyddscertifierade.
Med sin enkla prissättningsmodell som betalar per GB vilkeneliminerar kontrakt och fasta datahinkar, företaget har en av de lägsta totala ägandekostnaderna. Flera prenumerationsplaner är tillgängliga med ökande funktioner. Den nedersta nivån är gratis och betalade planer varierar från $ 1,50 / GB / månad till $ 3 / GB / månad beroende på kvarhållande varaktighet och antalet användare. En gratis, fullständig 14-dagars rättegång är också tillgänglig.
8. Graylog
Senast på vår lista finns en produkt som heter Graylog. Produkten erbjuder många intressanta funktioner. Verktyget kommer att analysera och berika loggar och händelsesdata från vilken datakälla som helst. Dess behandlingsrörledningar möjliggör viss flexibilitet när det gäller att dirigera, svartlista, ändra och berika meddelanden i realtid. Graylog kommer att söka igenom terabyte loggdata för att upptäcka och analysera viktig information. Den kraftfulla söksyntaxen låter dig hitta exakt vad du letar efter.
Med Graylog, kan du skapa instrumentpaneler för att visualisera mätvärdenoch observera trender på en central plats. Du kan använda fältstatistik, snabbvärden och diagram från sökresultatsidan för att dyka in för djupare analys av dina data. Systemet har också möjlighet att utlösa handlingar eller utfärda aviseringar om händelser som sådana misslyckade inloggningsförsök, undantag eller prestationsförstörelse.
Graylog finns antingen som en gratis och öppen källkod,funktionsbegränsad version som också har begränsat stöd eller som företagsversion med utökade funktioner och obegränsat stöd. En provlicens kan också erhållas genom att kontakta Graylog försäljning.
kommentarer