Loggfiler finns på nästan alla datorersystem eller nätverksenhet. De innehåller detaljer om händelser som sker på varje system. De kan vara ovärderliga vid felsökning av olika problem. De kan också avslöja skadliga aktiviteter och kan därför bli ett användbart medel för att säkerställa säkerhet. Men vem har tid att ens titta på loggfilerna? Med den typiska administratören som hanterar dussintals enheter, av dem loggar flera händelser varje sekund, det finns inget sätt någon kan hålla reda på. Det är anledningen till att övervaka verktyg för loggar uppfanns. De konsoliderar alla händelseloggar på en enda plats och tillhandahåller ofta analysverktyg och tjänster som kommer att gå igenom loggarna och ta upp varningar när något ovanligt observeras. Många olika verktyg för övervakning av loggar finns tillgängliga och att välja det bästa kan visa sig vara en utmaning. För att hjälpa dig har vi sammanställt denna lista över några av de bästa verktygen för övervakning av loggar.
Vi börjar diskussionen med att utforskasystemloggar, vad de är och hur de fungerar. Därefter pratar vi om övervakning av loggar. Precis som tidigare ska vi titta på vad det betyder och hur det görs. Vi kommer sedan att ge dig mer information om logganalys eftersom det är den funktion som gör loggarövervakningsverktygen de mest användbara. Som tidigare beskriver vi vad det är och de olika analysformerna som finns tillgängliga. Slutligen kommer vi att granska några av de allra bästa verktygen för övervakning av loggar vi kunde hitta och berätta om deras huvudfunktioner.
System loggar in ett nötskal
I en mening är en loggfil eller systemlogg enfil som registrerar händelser som inträffar i ett operativsystem eller annan programvara. Loggning är handlingen att hålla en systemlogg. I de enklaste fallen skrivs meddelanden helt enkelt till en enda loggfil. Medan de flesta system i första hand använder textfiler för loggning av händelser, använder vissa moderna system någon form av databas för att logga dem.
Oavsett hur och var händelser loggas, någrasystem låter dig definiera den loggningsnivå du behöver. Detta gäller särskilt nätverksutrustning där varje händelse har en svårighetsnivå och loggningsparametrar kan ställas in för att bara spela in händelser med en viss svårighetsnivå eller högre. Andra typer av system ger också liknande funktioner.
Om övervakning av loggar
Övervakning av loggar är en tvådelad process. Den första - och den viktigaste - delen är insamlingen av loggdata från olika system. Detta åstadkommes på olika sätt. Vissa system kan konfigureras för att automatiskt skicka loggar till en centraliserad server via Syslog-protokollet. Loggarövervakningsverktyg har vanligtvis en inbyggd syslog-server för att ta emot händelsesdata direkt. Andra system, till exempel Windows, fungerar annorlunda. Det finns olika sätt att skaffa loggdata från dessa system som att använda Windows Management Instrumentation eller använda lokala agenter som körs på Windows-värdar. Oavsett hur det görs, inkluderar alla loggövervakningssystem den nödvändiga funktionaliteten för att ta emot och konsolidera loggdata från flera källor.
Nästa steg - logganalys
Den andra uppgiften för ett användbart verktyg för övervakning av loggarär logganalysen. Det är här som verktygen skiljer sig mest åt. En del kommer bara att erbjuda mycket grundläggande analyser som att utlösa en varning när antalet händelser per tidsenhet når en viss tröskel. Mer avancerade verktyg granskar varje händelse och letar efter specifika indikationer på problem. Till exempel kan ett stort antal misslyckade inloggningar vara ett tecken på ett pågående intrångsförsök. Vi kan spendera sidor som beskriver de olika formerna av loganalys som finns tillgängliga. Istället inbjuder vi dig att titta på de olika produktrecensionerna nedan för information om vad var och en erbjuder.
De bästa verktygen för övervakning av loggar
Som vi antydde tidigare finns det många olikatillgängliga verktyg med olika grader av funktionalitet. Inte alla behöver ett verktyg med omfattande analys- och säkerhetsfunktioner så vi inkluderade en blandning av verktyg som tillhandahåller olika funktionsuppsättningar. Vissa är enklare verktyg medan andra är mer komplexa. Det är upp till dig att avgöra vilket verktyg som bäst passar dina behov. Lyckligtvis har alla verktyg på vår lista en gratis testversion tillgänglig så ingenting hindrar dig från att prova några, något vi rekommenderar starkt.
1. SolarWinds Log & Event Manager (Gratis prövning)
SolarWinds är ett vanligt namn i övervakningenvärld. Företaget har funnits i över 20 år och dess flaggskeppsprodukt, kallad Network Performance Monitor, erkänns av många som ett av de bästa tillgängliga SNMP-övervakningsverktygen. Och som om det inte räckte är SolarWinds också känt för sina många gratisverktyg. Dessa är mindre verktyg, var och en svarar mot ett specifikt behov av nätverksadministratörer. Den avancerade subnätkalkylatorn och SolarWinds TFTP-server är två utmärkta exempel på dessa gratis verktyg.
När det gäller SolarWinds Log & Event Manager (LEM), det är exakt vad namnet antyder. Verktyget är så funktionsrikt att många betraktar det som ett fullständigt verktyg för säkerhetsinformation och evenemangshantering. När det gäller övervakning och hantering av loggar är det troligtvis ett av de mest intressanta verktygen för loghantering du kan hitta. Den har mycket användbara logghanterings- och korrelationsfunktioner samt en imponerande rapporteringsmotor.
- GRATIS PRÖVNING: SolarWinds Log & Event Manager
- Nedladdningslänk: https://www.solarwinds.com/log-event-manager-software/registration
De SolarWinds Log & Event Manager kan hjälpa till att förbättra säkerheten och efterlevnaden avupptäcka misstänkt aktivitet och snabbare identifiera hot med upptäckt av misstänkt aktivitet vid händelse-tid. Du kan också använda verktyget för att utföra utredningar av säkerhetshändelser och kriminaltekniker för att mildra och följa efterlevnaden. Denna funktion är anledningen till att många betraktar produkten som ett SIEM-verktyg. Dessutom hjälper detta verktyg med beredskapen att uppfylla reglerna. Du kan använda den för att visa efterlevnad, tack vare den revisionsbevisade rapporteringen för HIPAA, PCI DSS, SOX, DISA STIG och mer.
De SolarWinds Log & Event ManagerFunktionernas svar på händelser lämnar inget att varaönskad. Det detaljerade reaktionssystemet i realtid kommer aktivt att reagera på varje hot. Att vara baserad på beteende snarare än signaturanalys innebär att du till och med är skyddad mot okända eller framtida hot. Men verktygets instrumentbräda är kanske den bästa tillgången. Med en enkel design har du inga problem med att snabbt identifiera avvikelser.
Prissättning för SolarWinds Log & Event Manager baseras på antalet övervakade noder. Olika nivåer av licenser från 30 till 2500 noder finns tillgängliga från $ 4 665. Och om du vill prova produkten innan du köper, är en gratis, fullständig 30-dagars provversion tillgänglig för nedladdning.
2. SolarWinds Log Manager för Orion (Gratis prövning)
Nästa på vår lista är en annan produkt från SolarWinds som heter the Log Manager för Orion. Orion, om du inte är bekant medSolarWinds produkter var företagets toppplattform för några år tillbaka. Det är fortfarande den underliggande arkitekturen som många av SolarWinds bästa produkter är byggda på. Om du använder någon av Network Performance Monitor, NetFlow Traffic Analyzer, Network Configuration Manager, Virtualization Manager, Server and Application Monitor eller Storage Resource Monitor använder du Orion.
- GRATIS PRÖVNING: SolarWinds Log Manager för Orion
- Nedladdningslänk: https://www.solarwinds.com/log-manager-for-orion-software/registration
De SolarWinds Log Manager för Orion lägger till logghanteringsfunktioner till någon avOrion-baserade övervaknings- och hanteringsverktyg. Sammanfattningsvis har produkten kraftfull och intuitiv loggsamling, märkning, filtrering och varning. Dess integration med Orion-plattformsprodukterna erbjuder en enhetlig bild av IT-infrastrukturövervakning och tillhörande loggar. Produkten skapades i samarbete med nätverks- och systemingenjörer för att säkerställa att deras problem - och hur man löser dem - förstås.
Trots sin integration med Orion-plattformen, Loggmanager kan installeras av sig själv och kräver intealla andra Orion-verktyg som ska installeras. Prissättningen börjar på 1 495 $ och en gratis 30-dagars provversion är tillgänglig om du vill ge produkten en testkörning och se hur den passar dina behov.
3. Pappersspår (Gratis plan tillgänglig)
Nästa är ännu en produkt från SolarWinds som heter Pappersspår. Den här är mycket annorlunda än den tidigaretvå eftersom det är ett molnbaserat, SaaS-programvara (Software as a Service). Det kraftfulla verktyget hade redan en viss popularitet när SolarWinds förvärvade det för några år tillbaka. Det samlar loggfiler från en mängd produkter som Apache eller MySQL samt Ruby on Rails-appar, flera molntjänsttjänster och andra vanliga textloggfiler.
- Anmäl dig här: https://papertrailapp.com/plans
För att hjälpa till att diagnostisera buggar och prestandaproblem kan du använda Pappersspår mycket effektiv och blixt snabb sökmotorsom kan söka både lagrade och strömmande loggar. Produkten integreras med några få andra SolarWinds-produkter som Librato och Geckoboard för att skapa resultat. Pappersspår är också lätt att implementera, använda och förstå. Det ger dig omedelbar synlighet över alla system på några minuter.
Pappersspår är tillgängligt under flera planer inklusive en gratisplanen. Det är något begränsat och tillåter bara 50 MB loggar varje månad. Det kommer dock att tillåta 16 GB loggar under den första månaden, vilket motsvarar att du får en gratis och obegränsad 30-dagars provperiod. Betalda planer börjar på $ 7 / månad för 1 GB / månad loggar, 1 års arkiv och 1 vecka index. Planen på $ 75 / månad med 8 GB loggar är den mest populära. Brusfiltrering tillåter verktyget att bevara data genom att inte spara värdelösa loggar.
4. PRTG Network Monitor
De PRTG Network Monitor från Paessler AG är en integrerad, allt-i-ettövervakningssystem som kan användas för att övervaka nästan vad som helst tack vare sin smarta sensorbaserade arkitektur. En av de bästa funktionerna i detta är företagskvalitetsprodukter är säkert dess installationshastighet. Enligt Paessler, PRTG Network Monitor kan ställas in på bara några minuter. Även om det kanske inte är så snabbt för alla, är det fortfarande ett av de enklaste och snabbaste övervakningsverktygen att sätta upp, delvis tack vare sin auto-discovery-process.
De PRTG Network Monitor är en funktionsrik produkt. I basen är det främst ett nätverksövervakningsverktyg som använder SNMP för att pollera enheter och visa deras gränssnittsanvändning på kronologiska grafer. Men genom användning av ytterligare sensorer kan PRTG övervaka nästan vad som helst. Sensorer liknar tillägg förutom att de ingår i produkten. Och det finns sensorer för olika servrar, tjänster och applikationer. Sammantaget innehåller produkten över 200 sensorer.
För övervakning och hantering av loggar finns två olika sensorer tillgängliga. De Händelselogg Windows API sensor fångar alla loggmeddelanden som Windowsgenererar. Denna sensor övervakar frekvensen för loggmeddelanden snarare än innehållet och den genererar ett larm om frekvensen för händelseloggmeddelanden når ett kritiskt tröskelvärde.
Den andra intressanta sensorn, Syslog-mottagare sensor, tar emot, övervakar och sparar syslogmeddelanden från vilken enhet som helst. Det kommer dock inte bara att samla loggar från olika källor. Dess övervakningsfunktionalitet kommer att utlösa larm när oroande förhållanden uppstår, till exempel en ökning av antalet loggmottagningar.
De PRTG Network Monitor finns i två versioner. Gratisversionen är fullständig men det kommer att begränsa din övervakningsförmåga till 100 sensorer. När du använder SNMP räknas varje övervakad parameter som en sensor. Om du till exempel övervakar två gränssnitt på en router räknas det som två sensorer. Varje instans av en specifik övervakningssensor räknas också som en. Om du behöver mer än 100 sensorer måste du köpa en licens som börjar på 1 600 $ för 500 sensorer. En gratis, sensor-obegränsad och fullständig 30-dagars provversion är tillgänglig.
5. Hantera Engine EventLog Analyzer
ManageEngine är en annan välkänd tillverkare av nätverksadministrationsverktyg bland IT-proffs. Företaget erbjuder ett logghanteringssystem som heter Hantera Engine EventLog Analyzer. Produkten samlar in, hanterar, analyserar, korrelerar och söker igenom loggdata från över 700 källor med hjälp av en kombination eller agentfri och agentbaserad loggsamling samt loggimport.
De Hantera Engine EventLog AnalyzerKapaciteten är imponerande. Den kan bearbeta loggdata med upp till 25 000 loggar / sekund och upptäcka attacker i realtid. Verktyget kan också snabbt utföra kriminalteknisk analys och därmed minska den potentiella effekten av ett brott. Systemets granskningsfunktioner omfattar nätverksomkretsenheternas loggar, användaraktiviteter, serverkontoändringar, användaråtkomst och mer, vilket hjälper dig att uppfylla säkerhetsrevisionsbehoven.
Verktygets korrelation i händelselogg i realtidupptäcker omedelbart attackförsök och spårar potentiella säkerhetshot genom att korrelera loggdata med över 30 fördefinierade regler för att upptäcka brute force-attacker, kontoutlockningar, datastöld, webbserverattacker och många fler. Den har också en anpassad loggfördelare som kan extrahera fält från vilket som helst läsbart loggformat. Produkten ger verkligen en enda konsol för att visa alla dina säkerhetsloggdata.
De Hantera Engine EventLog Analyzer finns i en funktionsminskad gratisutgåvasom endast stöder 5 loggkällor eller i en premiumutgåva som börjar på 595 $ och varierar beroende på antalet enheter och applikationer. En gratis, fullständig 30-dagars provversion är också tillgänglig.
6. Graylog
Graylog är en gratis, öppen källkodshanteringsplattformmed massor av intressanta funktioner. Verktyget kan analysera och berika loggar och händelsesdata från nästan vilken datakälla som helst. Dess behandlingsrörledningar möjliggör viss flexibilitet när det gäller att dirigera, svartlista, ändra och berika meddelanden i realtid. Verktyget söker igenom terabyte loggdata för att upptäcka och analysera viktig information. Dess kraftfulla och ganska unika söksyntax låter dig hitta exakt vad du letar efter.
Med Graylog, kan du skapa anpassadeinstrumentpaneler som låter dig visualisera specifika mätvärden och observera trender från en central plats. Du kan använda fältstatistik, snabbvärden och diagram från sökresultatsidan för att gå ner för djupare analys av dina data. Produkten erbjuder dessutom möjligheten att utlösa handlingar eller utfärda aviseringar om händelser som sådana misslyckade inloggningsförsök, undantag eller försämring av prestanda.
Graylog är tillgängligt antingen som en gratis och öppen källkodbegränsad version som också har begränsat stöd. Det finns också en företagsversion med utökade funktioner och obegränsat stöd. Det är också gratis för upp till 5 GB loggar per dag. Beroende på hur stort och upptaget ditt nätverk är. Det kan räcka för ditt behov. Licens- och supportpriser kan erhållas genom att kontakta Graylog försäljning.
7. WhatsUp Log Management Suite
De WhatsUp Log Management Suite är ett utmärkt verktyg från Ipswitch. Ipswitch, är det behov av att påminna er, är företaget bakom WhatsUp Gold, det super populära nätverksövervakningsverktyget. Det här är ett automatiserat verktyg som samlar, lagrar, arkiverar och sparar systemloggar, Windows-händelser och W3C / IIC-loggar. Det sammanställer inte bara loggar och händelser, men dess kontinuerliga loggövervakning och analys kommer att varna dig om onormal aktivitet.
De WhatsUp Log Management Suite kommer att följa ofta granskade händelser somåtkomsträttigheter och fil-, mapp- och objektbehörigheter och generera varningar efter behov Den använder också insamlade händelser för att bygga efterlevnadsrapporter för HIPAA, SOX, FISMA, PCI, MiFID eller Basel II-efterlevnad. Denna programvara kan också hjälpa till att omvandla dina råa loggdata till meningsfull information för chefer eller IT-säkerhetsteam genom att använda dess kraftfulla automatiserade filtrerings-, korrelations-, rapporterings- och konverteringsfunktioner.
De WhatsUp Log Management Suite är faktiskt en uppsättning applikationer som innehåller följande verktyg:
- Eventarkiverare: Detta verktyg automatiserar loggsamling, rensning och konsolidering.
- Event Alarm: Ett verktyg för att övervaka loggfiler och få realtidsmeddelanden om viktiga händelser.
- Eventanalytiker: Analyser och rapporter om loggdata och trender; distribuerar automatiskt rapporter till ledningen, säkerhetsansvariga, revisorer och andra intressenter.
- Event Rover: En enhetlig konsol för djupgående kriminaltekniker över alla servrar och arbetsstationer för att öka effektiviteten och spara tid.
Prisinformation för Log Management Suite är inte lätt tillgängligt från Ipswitch. Produkten kan köpas antingen direkt från utgivaren eller via Ipswitchs återförsäljarnätverk. En gratis provversion är naturligtvis också tillgänglig.
8. LogDNA
LogDNA sägs vara "det snabbaste, mest intuitiva och kostnadseffektiva logghanteringssystemet”. Detta tenderar att vara sant. Redan från början tar produktens installation bara några minuter innan du kan börja samla in och övervaka loggar. Oavsett hur loggar genereras och överförs finns hundratals anpassade integrationsscheman tillgängliga i produkten för att hjälpa dig att centralisera loggar till en enda plats.
LogDNA finns i antingen en molnbaserad eller enegen värd version, beroende på vad du föredrar. Det är en mycket skalbar produkt som kan hantera hundratusentals stockar per sekund och dussintals terabyte per dag och samtidigt erbjuda den största säkerheten såväl som i realtid logganalys. Både företaget och dess produkter är SOC2-, PCI- och HIPAA-kompatibla samt är integritetsskyddscertifierade.
LogDNA: s enkla prismodell för betalning per GBeliminerar kontrakt och fasta dataallokeringar, vilket gör en av de lägsta totala ägandekostnaderna för någon betalad loggövervakning och hanteringslösning. Flera prenumerationsplaner är tillgängliga med ökande funktioner. Den nedre nivån planen är gratis och priserna för de betalade planerna varierar från $ 1,50 / GB / månad till $ 3 / GB / månad beroende på kvarhållande varaktighet och antalet användare. En gratis, fullständig och obegränsad 14-dagars testversion är också tillgänglig.
kommentarer