Файли журналів є майже на кожному комп’ютерісистема або мережевий пристрій. Вони містять детальну інформацію про події, що відбуваються в кожній системі. Вони можуть виявитись безцінними при усуненні різних проблем. Вони також можуть виявити шкідливу діяльність і, отже, можуть стати корисним засобом забезпечення безпеки. Але хто встигає навіть переглянути файли журналів? Типовий адміністратор, який керує десятками пристроїв, деякі з них реєструють кілька подій щосекунди, ніхто не може відстежувати. Ось чому були винайдені засоби моніторингу журналів. Вони консолідують усі журнали подій в одному місці та часто надають інструменти та служби аналізу, які проходять через журнали та піднімають сповіщення, коли спостерігається щось незвичне. Доступно багато різних інструментів моніторингу журналу, і вибір найкращого з них може виявитись проблемою. Щоб допомогти вам, ми зібрали цей список деяких найкращих інструментів моніторингу журналу.
Ми розпочнемо нашу дискусію з вивченнясистемні журнали, що вони таке і як вони працюють. Далі ми поговоримо про моніторинг журналів. Як і раніше, ми розглянемо, що це означає і як це робиться. Тоді ми надамо докладніші відомості про аналіз журналу, оскільки саме ця функція робить інструменти моніторингу журналу найбільш корисними. Як і раніше, ми опишемо, що це таке, і різні форми аналізу, які є в наявності. Нарешті, ми розглянемо деякі найкращі засоби моніторингу журналу, які ми могли б знайти, і розповімо про їх основні функції.
Системні журнали в двох словах
В одному реченні файл журналу або системний журнал - це aфайл, який записує події, що відбуваються в операційній системі або іншому програмному забезпеченні. Ведення журналів - це акт ведення системного журналу. У найпростіших випадках повідомлення просто записуються в один файл журналу. Хоча більшість систем в основному використовують текстові файли для реєстрації подій, деякі сучасні системи використовують певну форму бази даних для їх реєстрації.
Незалежно від того, як і де реєструються події, деякісистеми дозволяють визначити необхідний рівень ведення журналу. Особливо це стосується мережевого обладнання, де кожна подія має рівень вираженості, а параметри журналу можуть бути встановлені лише для запису події певного рівня вираженості або вище. Інші типи систем також забезпечують подібну функціональність.
Про моніторинг журналів
Моніторинг журналів - це процес у двох частинах. Перша і найважливіша частина - збір даних журналів з різних систем. Це здійснюється різними способами. Деякі системи можуть бути налаштовані для автоматичного надсилання журналів на централізований сервер через протокол Syslog. Засоби моніторингу журналу зазвичай мають вбудований сервер syslog для прямого отримання даних про події. Наприклад, інші системи, такі як Windows, працюють по-різному. Існують різні способи отримання даних журналу з цих систем, такі як використання інструменту управління Windows або використання локальних агентів, що працюють на хостах Windows. Незалежно від того, як це зроблено, кожна система моніторингу журналу включає необхідну функціональність для отримання та консолідації даних журналу з декількох джерел.
Наступний крок - Аналіз журналу
Друге завдання будь-якого корисного інструмента моніторингу журналу- це аналіз журналу. Тут інструменти найбільше відрізняються. Деякі пропонують дуже базовий аналіз, такий як запуск попередження, коли кількість подій за одиницю часу досягне заданого порогу. Більш досконалі інструменти вивчать кожну подію та шукають конкретні ознаки проблем. Наприклад, велика кількість невдалих реєстрацій може бути ознакою постійної спроби вторгнення. Ми могли б витратити сторінки, описуючи різні форми аналізу журналів, які доступні. Натомість ми пропонуємо вам ознайомитись з різним оглядом товару нижче, щоб отримати детальну інформацію про те, що пропонує кожен з них.
Найкращі засоби моніторингу журналу
Як ми зазначали раніше, існує багато різнихінструменти, доступні з різним ступенем функціональності. Не всім потрібен інструмент з широким аналізом та функціями підвищеної безпеки, тому ми включили поєднання інструментів, які надають різні набори функцій. Деякі - простіші інструменти, а інші - складніші. Ви самі визначаєте, який інструмент пропонує найкраще відповідати вашим потребам. На щастя, у всіх інструментів нашого списку доступна безкоштовна пробна версія, тому ніщо не заважає вам спробувати декілька, що ми настійно рекомендуємо.
1. Журнал SolarWinds & Менеджер подій (Безкоштовний пробний період)
SolarWinds - загальна назва в моніторингусвіт. Компанія існує вже більше 20 років, і її флагманський продукт під назвою Network Monitor Monitor визнаний багатьма одним з найкращих інструментів моніторингу SNMP. І як би цього було недостатньо, SolarWinds також відомий своїми численними безкоштовними інструментами. Це більш дрібні інструменти, кожен з яких відповідає конкретній потребі мережевих адміністраторів. Розширений калькулятор підмережі та сервер SolarWinds TFTP - два чудових приклади цих безкоштовних інструментів.
Що стосується Журнал і менеджер подій SolarWinds (LEM), саме те, що випливає з його назви. Інструмент настільки багатий на функції, що багато хто вважає його повноцінним інструментом інформації про безпеку та управління подіями. Що стосується моніторингу та керування журналами, то, ймовірно, це один із найцікавіших інструментів управління журналами, який ви можете знайти. Він має дуже корисні функції управління та кореляції журналів, а також вражаючий механізм звітності.
- БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД: Журнал SolarWinds & Менеджер подій
- Посилання для завантаження: https://www.solarwinds.com/log-event-manager-software/registration
The Журнал SolarWinds & Менеджер подій може допомогти покращити безпеку та дотриманнявиявлення підозрілої активності та швидше виявлення загроз із виявленням підозрілої активності в часі події. Ви також можете використовувати цей інструмент для проведення розслідувань подій безпеки та криміналістики для пом'якшення та дотримання. Ця особливість є причиною того, що багато хто розглядає продукт як інструмент SIEM. Крім того, цей інструмент допомагає в готовності до дотримання нормативних вимог. Ви можете використовувати його для демонстрації відповідності, завдяки перевіреній аудитом звітності для HIPAA, PCI DSS, SOX, DISA STIG тощо.
The Журнал SolarWinds & Менеджер подійОсобливості реакції на події нічого не залишаютьбажаний. Детальна система реагування в режимі реального часу активно реагуватиме на кожну загрозу. Базуючись на поведінці, а не на аналізі підписів, ви навіть захищені від невідомих чи майбутніх загроз. Але інформаційна панель інструменту, можливо, є її найкращим плюсом. З простим дизайном у вас не буде проблем швидко визначити аномалії.
Ціноутворення на Журнал SolarWinds & Менеджер подій ґрунтується на кількості контрольованих вузлів. Доступні різні рівні ліцензій від 30 до 2500 вузлів, починаючи з 4 665 доларів.
2. Менеджер журналів SolarWinds для Orion (Безкоштовний пробний період)
Наступним у нашому списку є ще один продукт від SolarWinds під назвою the Менеджер журналів для Orion. Оріон, якщо ви не знайоміПродукція SolarWinds була лідируючою платформою компанії кілька років тому. Це все ще основна архітектура, над якою побудовано багато найкращих продуктів SolarWinds. Якщо ви використовуєте будь-який з моніторів продуктивності мережі, аналізатора трафіку NetFlow, менеджера конфігурації мережі, менеджера віртуалізації, монітора серверів і додатків або монітора ресурсів зберігання, ви використовуєте Orion.
- БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД: Менеджер журналів SolarWinds для Orion
- Посилання для завантаження: https://www.solarwinds.com/log-manager-for-orion-software/registration
The Менеджер журналів SolarWinds для Orion додає можливості управління журналом до будь-якого зІнструменти моніторингу та управління на основі Оріона. Підсумовуючи, продукт має потужне та інтуїтивне агрегування журналів, маркування, фільтрування та оповіщення. Її інтеграція з продуктами платформи Orion пропонує уніфікований вигляд моніторингу ІТ-інфраструктури та пов'язаних з ними журналів. Продукт був створений у співпраці з мережевими та системними інженерами, щоб переконатися в їхніх проблемах - і способах їх вирішення -.
Незважаючи на інтеграцію з платформою Orion, The Менеджер журналів може бути встановлений сам по собі і не вимагаєбудь-який інший інструмент Orion, який потрібно встановити. Ціни починаються з 1 495 доларів США та доступна безкоштовна 30-денна пробна версія, якщо ви хочете випробувати продукт та перевірити, як він відповідає вашим потребам.
3. PaperTrail (Безкоштовний план доступний)
Далі ще один продукт від SolarWinds під назвою Papertrail. Цей дуже відрізняється від попередньогодва, оскільки це хмарна пропозиція, Програмне забезпечення як послуга (SaaS). Потужний інструмент вже користувався певною популярністю, коли SolarWinds придбав його кілька років тому. Він об'єднує файли журналів з безлічі продуктів, таких як Apache або MySQL, а також додатків Ruby on Rails, декількох хмарних служб хостингу та інших стандартних текстових файлів журналу.
- Зареєструйтесь тут: https://papertrailapp.com/plans
Щоб діагностувати помилки та проблеми з продуктивністю, ви можете скористатися Papertrail дуже ефективна і блискавична пошукова системаякий може шукати як збережені, так і потокові журнали. Продукт інтегрується з кількома іншими продуктами SolarWinds, такими як Librato та Geckoboard для отримання результатів графіки. Papertrail це також просто реалізувати, використовувати та розуміти. Це забезпечить вам миттєву видимість у всіх системах за лічені хвилини.
Papertrail доступний за кількома планами, включаючи безкоштовнийплан. Він дещо обмежений і дозволяє лише 50 МБ журналів щомісяця. Однак це дозволить 16 ГБ журналів у перший місяць, що еквівалентно наданню безкоштовної та необмеженої 30-денної пробної версії. Платні плани починаються з 7 доларів на місяць за 1 Гб / місяць журналів, 1 рік архіву та 1 тиждень індексу. План $ 75 / місяць з 8 ГБ журналів є найпопулярнішим. Фільтрація шуму дозволяє інструменту зберігати дані, не зберігаючи марні журнали.
4. PRTG Network Monitor
The PRTG Network Monitor від Paessler AG - інтегрований, всебічнийсистема моніторингу, яку можна використовувати для моніторингу майже будь-чого, завдяки розумній архітектурі на основі сенсорів. Однією з найкращих особливостей цього продукту для підприємств є, безумовно, його швидкість налаштування. За словами Пасслера, PRTG Network Monitor можна встановити всього за пару хвилин. Хоча це може бути не таким швидким для всіх, він все ще є одним із найпростіших та найшвидших інструментів моніторингу, який можна створити, частково завдяки процесу автоматичного виявлення.
The PRTG Network Monitor - продукт, багатий на функції. В основі, це в першу чергу інструмент мережевого моніторингу, який використовує SNMP для опитування пристроїв та відображення їх використання інтерфейсів на хронологічних графіках. Однак, використовуючи додаткові датчики, PRTG може контролювати практично все. Датчики дещо схожі на додатки, за винятком того, що вони входять до продукту. А ще є доступні датчики для різних серверів, служб та додатків. Всього в продукт входить понад 200 датчиків.
Для моніторингу та керування журналом доступні два різних датчика. The Журнал подій API API Датчик фіксує всі повідомлення журналу Windowsпороджує. Цей датчик відстежує швидкість повідомлень журналу, а не їх вміст, і він генерує тривогу, якщо швидкість повідомлень журналу подій досягає критичного порогу.
Інший цікавий датчик, Syslog Receiver датчик, приймає, контролює та зберігає syslogповідомлення з будь-якого пристрою. Однак це не буде просто агрегувати журнали з різних джерел. Його функціональний моніторинг буде викликати тривогу, коли виникають тривожні умови, такі як збільшення швидкості прийому журналу.
The PRTG Network Monitor доступний у двох версіях. Безкоштовна версія є повнофункціональною, але вона обмежить вашу здатність моніторингу до 100 датчиків. Під час використання SNMP кожен контрольований параметр вважається одним датчиком. Наприклад, якщо ви контролюєте два інтерфейси на роутері, він вважатиметься двома датчиками. Кожен екземпляр конкретного датчика моніторингу також вважається одиницею. Якщо вам потрібно більше 100 датчиків, вам потрібно буде придбати ліцензію, яка починається від $ 1 600 для 500 датчиків. Доступна безкоштовна, безлімітна сенсорна і повнофункціональна 30-денна пробна версія.
5. ManageEngine EventLog Analyzer
ManageEngine - ще один відомий виробник інструментів мережевого адміністрування серед ІТ-фахівців. Компанія пропонує систему управління журналом під назвою ManageEngine EventLog Analyzer. Продукт збирає, керує, аналізує, співвідносить і здійснює пошук даних журналу понад 700 джерел, використовуючи комбінований або безбілетовий набір агентів, а також імпорт журналу.
The ManageEngine EventLog AnalyzerЄмність вражаюча. Він може обробляти дані журналу зі швидкістю до 25 000 журналів / секунду та виявляти атаки в режимі реального часу. Інструмент також може швидко виконати криміналістичний аналіз, тим самим зменшивши потенційний вплив порушення. Можливості аудиту системи поширюються на журнали мережевих пристроїв периметра, діяльність користувачів, зміни облікових записів серверів, доступ користувачів та багато іншого, що допомагає задовольнити потреби аудиту безпеки.
Кореляція журналу подій у реальному часі інструментумиттєво виявляє спроби атаки та відслідковує потенційні загрози безпеці, співставляючи дані журналу з понад 30 попередньо визначеними правилами для виявлення грубої атаки, блокування облікових записів, крадіжок даних, атак веб-сервера та багато іншого. Він також має спеціальний аналізатор журналу, який може витягувати поля з будь-якого читаного людським форматом журналу. Продукт справді пропонує єдину консоль для перегляду всіх даних журналу безпеки.
The ManageEngine EventLog Analyzer доступний у безкоштовній випуску з обмеженими можливостямиякий підтримує лише 5 джерел журналу або в преміум-випуску, який починається від $ 595 і змінюється залежно від кількості пристроїв та програм. Також доступна безкоштовна, повнофункціональна 30-денна пробна версія.
6. Graylog
Graylog це безкоштовна платформа управління журналом з відкритим кодомз великою кількістю цікавих особливостей. Інструмент може аналізувати та збагачувати журнали та дані про події практично з будь-якого джерела даних. Трубопроводи для обробки забезпечують деяку гнучкість у маршрутизації, чорному списку, модифікації та збагаченні повідомлень у режимі реального часу. Інструмент здійснює пошук через терабайти даних журналу, щоб виявити та проаналізувати важливу інформацію. Його потужний і досить унікальний синтаксис пошуку дозволяє точно знайти те, що ви шукаєте.
З Graylog, у вас є можливість створювати персоналізованіінформаційні панелі, які дозволяють візуалізувати конкретні показники та спостерігати за тенденціями з одного центрального місця Ви можете використовувати статистику на місцях, швидкі значення та графіки на сторінці результатів пошуку для детального аналізу ваших даних. Крім того, продукт пропонує можливість запускати дії або видавати сповіщення про такі події, як, наприклад, невдалі спроби входу, винятки або зниження продуктивності.
Graylog доступний як безкоштовний, так і з відкритим кодомобмежена версія, яка також має обмежену підтримку. Також є корпоративна версія з розширеними функціями та необмеженою підтримкою. Це безкоштовно також до 5 ГБ журналів на день. Залежно від того, наскільки велика і зайнята ваша мережа. Це може бути достатньо для ваших потреб. Ціни на ліцензію та підтримку можна отримати, зв’язавшись Graylog продажів.
7. WhatsUp Log Management Suite
The WhatsUp Log Management Suite є відмінним інструментом від Ipswitch. Ipswitch, чи потрібно вам нагадати, чи є компанія, яка стоїть за WhatsUp Gold, надпопулярним інструментом моніторингу мережі. Цей автоматичний інструмент, який збирає, зберігає, архівує та зберігає системні журнали, події Windows та журнали W3C / IIC. Це не просто сукупність журналів та подій, однак його постійне спостереження та аналіз журналів попереджать вас про будь-які ненормальні дії.
The WhatsUp Log Management Suite буде стежити за часто ревізованими подіями, такими якправа доступу та права доступу до файлів, папок та об’єктів та генерувати сповіщення за потребою. Він також використовує зібрані події для створення звітів про відповідність HIPAA, SOX, FISMA, PCI, MiFID або Basel II. Це програмне забезпечення також може допомогти перетворити ваші необроблені дані журналу у значущу інформацію для менеджерів або ІТ-служб безпеки, використовуючи потужну автоматизовану функцію фільтрації, співвіднесення, звітування та перетворення.
The WhatsUp Log Management Suite насправді це набір додатків, що включає такі інструменти:
- Архіватор подій: Цей інструмент автоматизує збір, очищення та консолідацію журналів.
- Тривога події: Інструмент для моніторингу файлів журналів та отримання в режимі реального часу сповіщень про ключові події.
- Аналітик подій: Аналіз та звіти про дані та тенденції журналу; автоматично поширює звіти керівництву, співробітникам служби безпеки, аудиторам та іншим зацікавленим сторонам.
- Події Rover: Уніфікована консоль для поглибленої криміналістики на всіх серверах та робочих станціях для підвищення ефективності та економії часу.
Інформація про ціни на Люкс для управління журналом недоступний у Ipswitch. Продукт можна придбати безпосередньо у видавця або через мережу реселлерів Ipswitch. Безкоштовна пробна версія, звичайно, також доступна.
8. LogDNA
Кажуть, що LogDNA є "найшвидша, інтуїтивно зрозуміла та економічно ефективна система управління журналами”. Це, як правило, правда. Від самого початку інсталяція продукту займає лише пару хвилин, перш ніж ви можете розпочати збирання та моніторинг журналів. Незалежно від того, як журнали створюються та передаються, у продукті доступні сотні спеціальних схем інтеграції, які допоможуть вам централізувати журнали в одному місці.
LogDNA доступна або на хмарній основі, або ввлаштована версія, залежно від ваших уподобань. Це надзвичайно масштабований продукт, який може обробляти сотні тисяч журналів в секунду і десятки терабайт на день, пропонуючи при цьому максимальну безпеку, а також аналіз журналу в режимі реального часу. Компанія та її продукція відповідають стандартам SOC2, PCI та HIPAA, а також сертифіковані щитом конфіденційності.
Проста модель ціноутворення за платою за ГБвиключає контракти та фіксований розподіл даних, що обумовлює одну з найнижчих загальних витрат на володіння будь-яким рішенням з моніторингу та управління журналом. Доступно декілька планів передплати із збільшенням можливостей. План нижнього рівня є безкоштовним, і ціни на платні плани коливаються від 1,50 / ГБ / місяць до $ 3 / ГБ / місяць, залежно від тривалості утримання та кількості користувачів. Також доступна безкоштовна, повнофункціональна та необмежена 14-денна пробна версія.
Коментарі