Сьогоднішні системи генерують багато журналівдані. На багатьох платформах кожна окрема подія, важлива чи ні, десь реєструється. Зазвичай журнали зберігаються локально. Це має сенс, оскільки журнали пов'язані з їх джерелом. Але, намагаючись вирішити проблеми та знайти їх першопричину, це часто означає, що нам потрібно шукати кілька файлів журналів на численних пристроях. Не було б непогано, якби всі журнали з усіх пристроїв зберігалися в одному місці? Керування журналом - це та багато іншого, як ви збираєтесь дізнатися. І сьогодні ми переглядаємо найкращі системи управління журналами.
Почнемо ми, спробуючи пояснити, що таке журналуправління є. Як бачите, це може бути набагато більше, ніж просто централізація зберігання журналів. Далі ми поговоримо про протоколи реєстрації даних. Це досить важливо, оскільки управління журналом не було б без них. Потім ми спробуємо відрізняти сервери syslog від систем управління журналами. На жаль, чіткого розмежування між ними немає. Ми продовжимо обговорення систем безпеки інформації та управління подіями, оскільки це ще один тип системи, який часто плутають із керуванням журналом, завдяки дещо незрозумілому визначенню кожної з них. І нарешті, ми розглянемо вісім найкращих систем управління журналами, які ми могли б знайти.
Управління журналом - що це таке
Перш ніж ми поговоримо про керування журналом, давайтеподивіться, що таке журнал. Просто визначений журнал - це автоматично виготовлена та розмічена в часі документація подій, що мають відношення до певної системи. Щоразу, коли подія відбувається в системі, формується журнал. Різні системи створюватимуть журнали для різних подій, і багато систем дають адміністраторам певний ступінь контролю над тим, що генерує журнал, а що - ні.
Коли ми говоримо про керування журналом, ми -посилаючись на процеси та політику, що використовується для адміністрування та полегшення створення, передачі, аналізу, зберігання, архівації та можливого видалення великих обсягів даних журналу. Управління журналом передбачає централізовану систему, де збираються журнали з різних джерел.
Але управління журналом - це не лише колекція журналів. Управлінська частина - найважливіша. Системи управління журналом, як правило, мають декілька функціональних можливостей, і збирання журналів є лише однією з них.
Як тільки журнали отримують управління журналомСистему їх потрібно "перевести" у загальний формат. Різні системи форматують журнали по-різному і включають різні дані в свої журнали. Деякі починають журнал з датою та часом, інші починають його з номером події. Деякі включають лише ідентифікатор журналу, а інші містять повний текстовий опис події. Одна з цілей систем управління журналами - забезпечити збереження всіх зібраних записів журналу в єдиному форматі. Це значно полегшить пошук і співвідношення подій.
Якщо говорити про пошук і навіть співвідношення,це ще одна важлива функція багатьох систем управління журналами. Деякі з них оснащені потужною пошуковою системою, яка дозволяє адміністраторам робити нульове введення саме того, що їм потрібно. Функції кореляції автоматично групують пов’язані події, навіть якщо вони є з різних джерел. Як - і наскільки успішно - різні системи управління журналами, що є головним диференціюючим фактором.
Протоколи протоколювання
Управління журналом було б набагато складніше, якбивзагалі можливо, якби не протоколи протоколів. Існує декілька з них, які визначають, які дані мають бути включені до журналів, як їх слід відформатувати та як вони повинні передаватися між системами.
Syslog - це, мабуть, найбільш часто використовуваний протокол журналу. Винайдена на початку вісімдесятих років, вона стала фактичним стандартом для систем, схожих на Unix. Одним з найбільших активів протоколу syslog є те, як він розділяє програмне забезпечення, яке генерує журнали, систему, яка їх зберігає, та програмне забезпечення, яке звітує та аналізує їх. Використання протоколу Syslog значно спрощує управління журналом. Багато пристроїв, які не є Unix, такі як маршрутизатори комутаторів та інше мережеве обладнання багатьох виробників, використовують варіант протоколу syslog.
Microsoft Windows, як ви вже здогадалися, використовуєінша система лісозаготівлі. Це може бути пов'язано з тим, що операційні системи та програми Windows мають журнали, які зазвичай містять набагато більше інформації, ніж дозволяє дозвіл syslog. На щастя, функції Windows Event Collector забезпечують середнє значення для систем управління журналами, які можуть використовуватись для отримання подій від хостів Windows.
Незалежно від того, який протокол журналу використовується,Важливою частиною управління журналом є налаштування пристроїв для передачі своїх журналів в систему управління. Це відрізняється від інших інструментів, таких як системи моніторингу мережі, де інструмент отримує дані від хостів.
Сервери журналів проти управління журналом
Оскільки він доступний на всіх подібних UnixСистема протягом досить тривалого часу, Syslog, якщо її часто використовують як сервер журналу, коли один комп'ютер отримує дані syslog від кількох інших. Хоча це централізоване зберігання журналів має певні переваги, це не управління журналом.
Щоб заслужити ім’я системи управління журналом, aпродукт повинен включати принаймні деякі більш вдосконалені функції. Згідно з Вікіпедією, управління журналом складається з таких функцій: збирання журналів, централізоване агрегування журналів, довготривале зберігання та зберігання журналів, обертання журналу, аналіз журналу, пошук журналу та звітування. Сервери журналів часто пропонують лише збір і зберігання журналів, і рідше - більше. Кожна з систем управління журналом у нашому головному списку пропонує принаймні деякі більш досконалі функції.
Як щодо систем SIEM?
Ще одна популярна технологія, яка часто єпов'язаний з журналами та переплутаний із системами управління журналом - це Інформація про безпеку та управління подіями або SIEM. Це сильно відрізняється від управління журналом, хоча воно тісно пов'язане. Насправді деякі продукти, що рекламуються як системи управління журналами, насправді є системами SIEM, тоді як деякі основні системи SIEM - це не що інше, як системи управління журналами.
Основна причина такої плутанини - це журналуправління - або, принаймні, аналіз журналів - є важливою складовою систем SIEM. Насправді системи SIEM зазвичай піднімають управління журналом на наступний рівень, додаючи певний інтелект до процесу. Ці системи виконують аналіз журналу з кінцевою метою виявлення проблем безпеки. Наприклад, вони шукатимуть ознаки невдалого входу, що вказувало б на несанкціоновану спробу вторгнення. Ці системи автоматично сканують записи журналу, шукаючи нічого незвичайного.
Системи SIEM мають більше спільного з ІТ-безпекоюніж управління ІТ, і хоча деякі з них містять широкі функції управління журналами, багато хто також може використовувати зовнішні системи управління журналами, і не рідкість бачити, як обидві системи працюють поруч.
Найкраще програмне забезпечення для управління журналами
Тепер, коли ми маємо спільне розуміння того, щоуправління журналом є, а що ні, давайте подивимося, що доступно. Ми шукали на ринку деякі найкращі системи управління журналами. Наше початкове висновок полягає в тому, що їх дуже багато, і багато з них дуже хороші. Але у нас є лише стільки місця, і ми збираємось переглянути вісім найцікавіших, які ми могли б знайти.
1. SolarWinds Papertrail
SolarWinds - загальна назва в областіінструменти мережевого адміністрування Це вже майже 20 років і принесло нам один з найкращих інструментів контролю пропускної здатності та один з найкращих аналізаторів та колекторів NetFlow. Компанія також відома тим, що публікує кілька безкоштовних інструментів, що відповідають певним потребам мережевих адміністраторів, таких як калькулятор підмережі або сервер syslog.
Кілька років тому придбали SolarWinds Papertrail, популярна система управління журналами. Він об'єднує файли журналів із найрізноманітніших популярних продуктів, таких як Apache або MySQL, а також додатків Ruby on Rails, різних хмарних служб хостингу та інших стандартних текстових файлів журналу. Papertrail Потім користувачі можуть використовувати веб-інтерфейс пошуку або інструменти командного рядка для пошуку по цих файлах, щоб допомогти діагностувати помилки та проблеми з продуктивністю. Papertrail також інтегрується з іншими продуктами SolarWinds, такими як Librato та Geckoboard для отримання результатів графіки.
Papertrail це хмарне програмне забезпечення як послуга (SaaS)пропозиція від SolarWinds. Це легко здійснити, використовувати та розуміти. І це дасть вам миттєву видимість у всіх системах за лічені хвилини. Інструмент має дуже ефективну пошукову систему, яка може шукати як збережені, так і потокові журнали. І це блискавично.
Papertrail доступний за декількома планами, включаючи безкоштовнийплан. Він дещо обмежений, і дозволяє лише 100 МБ журналів щомісяця. Однак це дозволить 16 ГБ журналів у перший місяць, що еквівалентно наданню безкоштовної 30-денної пробної версії. Платні плани починаються з 7 доларів на місяць за 1 Гб / місяць журналів, 1 рік архіву та 1 тиждень індексу. Фільтрація шуму дозволяє інструменту зберігати дані, не зберігаючи марні журнали.
2. Журнал SolarWinds & Менеджер подій (БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД)
Наступний наш запис - це ще один продукт від SolarWinds під назвою the Сонячні вітри Журнал і менеджер подій. Всупереч нашому попередньому запису, це алокально встановлений продукт. І це також набагато більше, ніж просто система управління журналом. Багато передових функцій цього продукту ставлять його в асортимент SIEM. Наприклад, вона має кореляцію вентиляції у реальному часі та санацію в реальному часі.
Ось огляд Журнал SolarWinds & Менеджер подійОсновні особливості. Він швидко усуває загрози за допомогою миттєвого виявлення підозрілої активності та автоматизованих реакцій. Він також може проводити розслідування подій безпеки та криміналістику щодо їх пом'якшення та дотримання. А якщо говорити про відповідність, то продукт дозволить вам продемонструвати його, завдяки перевіреній аудитом звіті про HIPAA, PCI DSS та SOX серед інших. Цей інструмент також має моніторинг цілісності файлів та моніторинг USB-пристроїв, дві функції, які набагато вище, ніж ми зазвичай бачимо в системах управління журналами.
Ціни на Журнал SolarWinds & Менеджер подій починати з $ 4,585 для до 30 моніторингу вузлів. Ліцензії на до 2500 вузлів можна придбати, що робить продукт високомасштабним. І якщо ви хочете перевірити, чи виріб вам підходить, доступна безкоштовна 30-денна пробна версія.
3. ipswitch Log Management Suite
The Люкс для управління журналом це інструмент від Ipswitch, тієї самої компанії, щопринесло нам WhatsUp Gold, надзвичайно популярний інструмент моніторингу мережі. Це автоматизований інструмент, який збирає, зберігає, архівує та зберігає системні журнали, події Windows та журнали W3C / IIC. Крім того, його постійне спостереження за журналом сповістить вас про будь-які підозрілі дії.
Часто ревізовані події, такі як права доступуФайли, папки та об'єкти можуть бути дотримані, генеруючи сповіщення за потребою та використовуючись для створення звітів про відповідність HIPAA, SOX, FISMA, PCI, MiFID або Basel II. Інструмент також може допомогти вам перетворити ваші необроблені дані журналу у значущі дані для менеджерів чи команд ІТ-безпеки завдяки автоматизованій функції фільтрації, співвіднесення, звітування та перетворення.
Інформація про ціни на Люкс для управління журналом недоступний у Ipswitch. Продукт можна придбати безпосередньо у видавця або через торговельну мережу Ipswitch. Також доступна безкоштовна пробна версія.
4. ManageEngine EventLog Analyzer
ManageEngine, ще одне поширене ім'я з адміністратором мережі, робить відмінну систему управління журналом, яку називають ManageEngine EventLog Analyzer. Продукт збиратиме, керує, аналізує, співвідносить та здійснює пошук даних журналу понад 700 джерел, використовуючи комбінований або без агентурний та на основі агентів колекцій журналів, а також імпорт журналу.
Швидкість - одна з ManageEngine EventLog AnalyzerСила. Він може обробляти дані журналу зі вражаючими 25 000 журналів / секунду та виявляти атаки в режимі реального часу. Він також може виконати швидкий криміналістичний аналіз, щоб зменшити вплив порушення. Можливості аудиту системи поширюються на журнали мережевих пристроїв периметра, діяльність користувачів, зміна облікового запису сервера, доступ користувачів та інше, що допомагає задовольнити потреби аудиту безпеки.
The ManageEngine EventLog Analyzer доступний у безкоштовній випуску з обмеженими можливостямиякий підтримує лише 5 джерел журналу або в преміум-випуску, який починається від $ 595 і змінюється залежно від кількості пристроїв та програм. Також доступна безкоштовна, повнофункціональна 30-денна пробна версія.
5. Сервер журналу Nagios
Nagios є найвідомішим своїм прекрасним програмним забезпеченням для моніторингу мережі, але, можливо, його Log Server є таким же цікавим. Влучно зателефонував до Сервер журналу Nagios, він пропонує централізоване управління, моніторинг та аналіз журналів. The Сервер журналу Nagios спрощує процес пошуку ваших даних журналу. Він також дозволяє встановлювати сповіщення, щоб отримувати сповіщення про можливі загрози. Крім того, програмне забезпечення має високу доступність та вбудовані помилки. Його майстри з легкого налаштування джерела допоможуть швидко налаштувати сервери для надсилання всіх даних журналу та почати моніторинг ваших журналів за лічені хвилини .
The Сервер журналу Nagios дозволяє легко співвідносити події журналу для всіхсерверів у декілька кліків. І це дозволяє переглядати дані журналу в режимі реального часу, надаючи можливість аналізувати та вирішувати проблеми під час їх виникнення. Продукт відрізняється вражаючою масштабованістю, і він буде надалі задовольняти ваші потреби в міру розвитку вашої організації. Додатковий Сервер журналу Nagios екземпляри можуть бути додані до моніторингового кластеру, що дозволяє швидко додати більше енергії, швидкості, зберігання та надійності.
Ціна для одного примірника Сервер журналу Nagios становить $ 3 995, і хоча безкоштовна пробна версія, як видається, не доступна, безкоштовна демонстрація в Інтернеті - якщо ви віддаєте перевагу продукту з перших рук.
6. Сповіщення логічного менеджера журналів
Основна увага Alert Logic - безпека та дотримання. Оскільки управління журналом тісно пов'язане з обома, не дивно, що компанія пропонує це Повідомити менеджер логіки журналу. Цей хмарний інструмент пропонує автоматизовані таєдине управління журналом у всіх ваших середовищах. Він збиратиме, агрегує та шукає дані журналу з хмари, сервера, додатків, безпеки та мережевих ресурсів.
The Повідомити менеджер логіки журналу включає моніторинг та аналіз журналів, а такожогляд журналу, який виконується в реальному часі аналізаторами людини. Експерти Alert Logic сповіщатимуть вас про можливу активність погроз 365 днів на рік. Послуга також допоможе виконати вимоги щодо огляду журналу SOC 2, HIPAA та SOX та вивантажить тягар перегляду журналів та подальших дій за подіями, щоб відповідати PCI / DSS 10.6, 10.6.1, 10.6.3
Інформація про ціни на Повідомити менеджер логіки журналу недоступний в Інтернеті, і вам потрібно буде зв’язатися з Alert Logic, щоб отримати офіційну пропозицію. Безкоштовна пробна версія також не доступна, але безкоштовну демонстраційну версію можна оформити, звернувшись до Alert Logic.
7. LogDNA
Заснований у 2015 році, LogDNA це нова дитина на блоці. Компанія стверджує, що «LogDNA є найшвидшим, інтуїтивнішим іекономічно ефективна система управління журналом ». Все починається з установки, яка займає лише пару хвилин, перш ніж ви можете почати моніторинг ваших журналів. Незалежно від того, як створюються та передаються журнали, доступні сотні спеціалізованих схем інтеграції для централізації журналів на одній панелі.
LogDNA може залежати від хмари або самостійного розміщення, залежно відваші уподобання Це високо масштабований і може обробляти сотні тисяч журналів в секунду і десятки терабайт на кожного клієнта в день у цілому безпеці з використанням аналізу в режимі реального часу. Компанія та її продукція відповідають стандартам SOC2, PCI та HIPAA, а також сертифікату Privacy Shield.
З його простою моделлю ціноутворення, яка платить за ГБ, якавиключає контракти та фіксовані пакети даних, компанія має одну з найнижчих загальних витрат на володіння. Доступно кілька планів передплати із збільшенням можливостей. План нижнього рівня є безкоштовним, а платні плани коливаються від 1,50 $ / Гб / місяць до $ 3 / ГБ / місяць, залежно від тривалості утримання та кількості користувачів. Також доступна безкоштовна повнофункціональна 14-денна пробна версія.
8. Грейлог
Останній у нашому списку - продукт під назвою Graylog. Продукт пропонує багато цікавих функцій. Інструмент буде аналізувати та збагачувати журнали та дані про події з будь-якого джерела даних. Трубопроводи для його обробки дозволяють деяку гнучкість у маршрутизації, чорному списку, модифікації та збагаченні повідомлень у режимі реального часу. Graylog буде здійснювати пошук через терабайти даних журналу, щоб виявити та проаналізувати важливу інформацію. Потужний синтаксис пошуку дозволяє точно знайти те, що ви шукаєте.
З Graylog, ви можете створити інформаційні панелі для візуалізації показниківі спостерігати за тенденціями в одному центральному місці. Ви можете використовувати статистику на місцях, швидкі значення та діаграми на сторінці результатів пошуку, щоб заглибитись для більш глибокого аналізу своїх даних. У системі також є можливість запускати дії або видавати сповіщення про такі події, як, наприклад, невдалі спроби входу, винятки або погіршення продуктивності.
Graylog доступний як безкоштовний, так і з відкритим кодом,версія з обмеженими можливостями, яка також має обмежену підтримку або як корпоративна версія з розширеними функціями та необмеженою підтримкою. Пробну ліцензію також можна отримати, зв’язавшись Graylog продажів.
Коментарі