Сьогоднішні системи генерують тонну лісозаготівліДані, не дивно, що адміністратори завжди шукають рішення для управління журналами. За замовчуванням журнали часто зберігаються локально. Це має сенс, оскільки це дозволяє легко пов’язати їх із джерелом. Але намагаючись вирішити проблеми та знайти їх першопричину, нам іноді доводиться переглядати декілька файлів журналів на численних пристроях. Чи не було б непогано, якби всі журнали з усіх пристроїв зберігалися в одному централізованому місці? Це і є мета управління журналом. І якщо вашою платформою вибору є Linux, доступно безліч варіантів. Читайте далі, коли ми виявляємо деякі найкращі засоби управління журналами для Linux
Почнемо з визначення журналу управління. Ви побачите, що це може бути трохи більше, ніж просто централізація зберігання журналів. Далі ми обговоримо різні технології лісозаготівель. Вони є наріжним каменем управління журналами, і без них вони, швидше за все, не існували б. Продовжуючи ми будемо відрізняти сервери syslog від систем управління журналами і розуміти, що чіткого розмежування між ними немає. Далі ми коротко зробимо паузу та обговоримо інформацію про безпеку та системи управління подіями. Вони є ще одним типом системи, яку часто плутають з керуванням журналом, завдяки дещо незрозумілому визначенню кожної з них. І нарешті, ми розглянемо найкраще управління журналами для Linux.
Що таке управління журналом?
Перш ніж ми поговоримо про керування журналом, давайтевизначте, що таке журнал. Просто визначений журнал - це автоматично виготовлена та розмічена в часі документація події, що стосується певної системи. Іншими словами, кожен раз, коли відбувається подія в системі, формується журнал. Системи та пристрої створюватимуть журнали для різних типів подій, і багато систем дають адміністраторам певний ступінь контролю над тим, яка подія генерує журнал, а яка - ні.
Що стосується управління журналом, то воно просто посилаєтьсяпроцеси та політики, що використовуються для адміністрування та полегшення створення, передачі, аналізу, зберігання, архівації та можливого видалення великих обсягів даних журналу. Хоча це чітко не зазначено, управління журналом передбачає централізовану систему, де збираються журнали з різних джерел. Хоча управління журналом - це не лише колекція журналів. Саме частина управління є найважливішою. А системи управління журналами часто мають безліч функціональних можливостей, і збирання журналів є лише однією з них.
Як тільки журнали отримують управління журналомУ системі вони потребують стандартизації в загальний формат, оскільки різні системи форматують журнали по-різному і включають різні дані. Деякі починають журнал з датою та часом, інші починають його з номером події. Деякі включають лише ідентифікатор події, а інші містять повний текст опису події. Одна з цілей систем управління журналами - забезпечити збереження всіх зібраних записів журналу в єдиному форматі. Це призведе до кореляції подій та можливого пошуку набагато простіше вниз по лінії.
Навіть кореляція та пошук є двома додатковимиосновні функції декількох систем управління журналом. Найкращий з них оснащений потужною пошуковою системою, яка дозволяє адміністраторам робити нульове введення саме того, що їм потрібно. Функції кореляції автоматично групують пов’язані події, навіть якщо вони є з різних джерел. Як - і наскільки успішно - різні системи управління журналами, що є головним диференціюючим фактором.
ТАКОЖ ЧИТАТИ: 15 кращих інструментів моніторингу мережі (наш власний огляд)
Технології лісозаготівель
Управління журналом було б набагато складніше,можливо, навіть не можливо, якби не протоколи протоколів. Кілька з них існують. Вони визначають, які дані повинні бути включені до журналів, як це слід форматувати, а іноді і як вони передаються між системами.
Syslog - це, мабуть, найбільш використовувані лісозаготівліпротокол, особливо у світі Linux. Технологія була винайдена на початку вісімдесятих і стала фактичним стандартом для всіх систем, схожих на Unix. Одним з найбільших надбань технології syslog є те, як вона полегшує поділ між системою або програмним забезпеченням, що генерує журнали, системою, що їх зберігає, та програмним забезпеченням, яке звітує та аналізує їх. Використання технології Syslog значно спрощує управління журналом. І Syslog не є ексклюзивним для Unix. Багато пристроїв, що не є Unix, такі як комутатори, маршрутизатори та всіляке обладнання багатьох виробників, використовують варіант протоколу syslog.
Є й інші технології лісозаготівлі. Наприклад, Microsoft Windows використовує іншу систему реєстрації журналів. Це може бути пов'язано з тим, що операційні системи та програми Windows мають журнали, які зазвичай містять більш детальну інформацію, ніж дозволяє технологія Syslog. На щастя, функції Windows Event Collector забезпечують управління журналом, яке різні системи можуть використовувати для отримання подій від хостів Windows. Ця публікація стосується управління журналом Linux, тому нехай не витрачайте занадто багато часу на Windows.
Незалежно від того, яка технологія ведення журналу використовується,Важливою частиною управління журналом є налаштування пристроїв для передачі своїх журналів в систему управління. Інші інструменти, такі як системи мережевого моніторингу, можуть отримувати дані з систем, які вони контролюють, але при керуванні журналом кожному пристрою потрібно "повідомити", куди надсилати свої журнали. Однак це порівняно просте завдання, яке часто виконується шляхом видачі простої команди.
ПОДАЛЬШЕ ЧИТАННЯ: Найкраще програмне забезпечення для складання та топології мережевих діаграм
Сервери журналів або управління журналом?
Оскільки він доступний на всіх подібних UnixСистема - включаючи Linux - протягом досить тривалого часу Syslog часто використовується як сервер журналів, коли один комп'ютер отримує дані Syslog від кількох інших. Хоча це централізоване зберігання журналів має певні переваги, його недостатньо називати керуванням журналом.
Щоб заслужити ім’я системи управління журналом, aпродукт повинен включати принаймні деякі більш вдосконалені функції. Згідно з Вікіпедією, "управління журналом складається з таких функцій: збирання журналів, централізоване агрегування журналів, довготривале зберігання та зберігання журналів, обертання журналу, аналіз журналу, пошук журналу та звітування". Оце Так! Це багато функціональних можливостей. З іншого боку, сервери журналів часто пропонують лише збір і зберігання журналів і рідше - більше.
Слово (або два) про SIEM
Ще одна популярна технологія, яка асоціюєтьсяз журналами і часто їх плутають із системами управління журналами - це Інформація про безпеку та управління подіями, або SIEM. Це відрізняється від управління журналом, але воно тісно пов'язане. Лінія між ними настільки тонка, що деякі продукти, рекламовані як системи управління журналами, є насправді системами SIEM, тоді як деякі основні системи SIEM - це не що інше, як просунуті системи управління журналами.
Плутанина випливає з того, що журналуправління - або, принаймні, аналіз журналу - є важливою складовою систем SIEM. Що відрізняє системи SIEM, це те, що вони виконують аналіз журналів з кінцевою метою визначення проблем безпеки. Наприклад, вони шукатимуть ознаки невдалого входу, що може бути ознакою несанкціонованої спроби вторгнення. Ці системи постійно сканують записи журналу, шукаючи нічого незвичайного. Хоча деякі системи SIEM включають в себе широкі функції управління журналами, деякі використовують зовнішню систему управління журналом, і не рідкість бачити, як обидві системи працюють поруч.
ЗВ'ЯЗАНЕ ЧИТАННЯ: Кращі IP-сканери для Mac
Найкраще управління журналом для Linux
Сподіваємось, зараз у нас спільне розуміннящо таке управління журналом і що це не так. Отже, давайте подивимось, що доступно для Linux. Але спочатку давайте щось уточнимо. Посилаючись на управління журналом Linux, ми маємо на увазі системи управління журналами, які вміщують журнали Linux, і які працюватимуть або на платформі Linux, або в хмарі. Деякі наші вибірки, зокрема хмарні системи, також працюватимуть із журналами інших платформ.
1. SolarWinds Papertrail (БЕЗКОШТОВНИЙ ПЛАН доступний)
Сонячні вітри стала домашньою назвою серед мережіадміністраторів. Він виготовляє одні з найкращих інструментів протягом майже 20 років, приносить нам чудові інструменти для контролю пропускної здатності та один з найкращих аналізаторів та колекторів NetFlow. Компанія також відома тим, що публікує кілька безкоштовних інструментів, що відповідають певним потребам мережевих адміністраторів, таких як калькулятор підмережі або сервер syslog.
- БЕЗКОШТОВНИЙ ПЛАН: SolarWinds Papertrail
- Офіційне посилання для завантаження: https://papertrailapp.com/plans
Не так давно, Сонячні вітри набутий Papertrail, популярна система управління журналами. Він об'єднує файли журналів із найрізноманітніших популярних продуктів, таких як Apache або MySQL, а також додатків Ruby on Rails, різних хмарних служб хостингу та інших стандартних файлів журналів на основі системного та текстового журналів. Papertrail Потім користувачі можуть використовувати веб-інтерфейс пошукуабо інструменти командного рядка для пошуку цих файлів, щоб допомогти діагностувати різні проблеми. Papertrail також інтегрується з іншими продуктами SolarWinds, такими як Librato та Geckoboard для отримання результатів графіки.
Papertrail це хмарне програмне забезпечення як послуга (SaaS)пропозиція від SolarWinds. Бути хмарним - означає, що він буде добре працювати в умовах Linux. Платформу легко здійснити, використати та зрозуміти, і вона надасть миттєву видимість у всіх системах протягом декількох хвилин. Крім того, у продукту є дуже ефективна пошукова система, яка може шукати як збережені, так і потокові журнали. І це блискавично.
Papertrail доступний за декількома планами, включаючи безкоштовнийплан. Він дещо обмежений, і дозволяє лише 100 МБ журналів щомісяця. Однак це дозволить 16 ГБ журналів у перший місяць, що еквівалентно наданню безкоштовної 30-денної пробної версії. Платні плани починаються з 7 доларів на місяць за 1 Гб / місяць журналів, 1 рік архіву та 1 тиждень індексу. Фільтрація шуму дозволяє інструменту зберігати дані, не зберігаючи марні журнали.
2. Логгі
Loggly - це ще один хмарний Інтернет-сервіс. В основному консолідатор журналу, він також пропонує функцію аналізу журналів. Оскільки ця система є хмарною, ця система не потребує встановлення і готова використовувати хвилину, коли ви підписалися. Звичайно, ваші системи та пристрої потрібно буде налаштувати, щоб періодично завантажувати їх стандартні файли журналів на онлайн-сервер.
- БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД: Лоґлі плани
- Офіційне посилання: https://www.loggly.com
Loggly потім перетворює отримані дані журналу в aстандартний формат, тим самим дозволяючи аналізатору обробляти записи з різних джерел і дозволяючи відстежувати і співвідносити події в усіх системах, незалежно від їх операційної системи чи технології ведення журналу. Джерела даних журналу не обмежуються локальними серверами. Система, звичайно, здатна обробляти журнали, створені веб-серверами, такими як AWS Amazon, і вона може включати повідомлення, створені конкретними програмами, такими як Docker і Logstash, лише декілька.
The Loggly послуга доступна за трьома різними планами,зі збільшенням лімітів на обробку даних та часу збереження. Вам потрібно вибрати правильний, щоб забезпечити достатньо місця для ваших даних журналу. План початкового рівня називається Loggly Литература. Він безкоштовний у використанні. За цим планом ви можете завантажувати 200 МБ даних журналу на день, і система зберігатиме кожен запис протягом семи днів. Далі йде Стандартний план, який дає можливість завантажувати 1 Гб на день і зберігає записи протягом 30 днів. Платні плани також дозволяють використовувати кілька облікових записів користувачів. За допомогою пакету Standard ви можете мати три облікові записи користувачів. Називається верхній ярус Loggly Підприємство. Він не обмежує кількість облікових записів користувачів, які ви можете налаштувати, і ціни змінюються залежно від обсягу завантажувальної програми та необхідного періоду зберігання. Оплата за всі сплачені плани може здійснюватися щомісяця або щороку, а на стандартному плані доступна безкоштовна 14-денна пробна версія.
3. Сплин
Сплин є добре відомим - в системі управлінняспільнота - комплексна система управління журналами для Linux, Mac OS та Windows. Більш ніж просто основна система управління журналом, деякі вважають це повноцінною системою запобігання вторгнень. Продукт випускається в трьох версіях. Вгорі є Splunk Enterprise яка є скоріше системою управління мережею, а не просто інструментом управління журналом. Ціни починаються від $ 173 на місяць, і ви отримуєте багато функціональних можливостей.
Існує також безкоштовна версія Сплин який в основному той самий інструмент без деякихйого найдосконаліші функціональні можливості. По суті, він обмежений для аналізу файлів журналу. Ви можете подавати в будь-який зі своїх стандартних файлів журналів або надсилати їм живі дані через файл в аналізатор. У безкоштовної версії є кілька обмежень. Наприклад, він може мати лише один обліковий запис користувача, і його пропускна здатність обмежується 500 МБ журналів на день. Функція сортування та фільтрації даних вбудована в Splunk, що полегшує ваші зусилля щодо усунення несправностей. Ви можете використовувати ці функції для поділу записів журналів за датою та запису кожної групи до нових файлів. Насправді ця функціональність дуже гнучка.
4. Сервер журналу Nagios
Нагіос є найвідомішим своїм прекрасним програмним забезпеченням для моніторингу мережі, але його Log Server є таким же цікавим. Продукт називається просто Сервер журналу Nagios і він пропонує централізоване управління журналами,моніторинг та аналіз. Цей інструмент може значно спростити процес пошуку ваших даних журналу. Він також дозволяє встановлювати сповіщення, щоб отримувати сповіщення про можливі загрози. Крім того, програмне забезпечення має високу доступність та вбудований провал прямо в нього. Крім того, його майстри з легкого налаштування джерела допоможуть вам швидко налаштувати сервери для надсилання всіх журнальних даних і почати моніторинг ваших журналів за лічені хвилини.
The Сервер журналу Nagios дозволяє легко співвідносити події журналуна всіх серверах у декілька кліків. Система дозволить вам переглядати дані журналу в режимі реального часу, надаючи можливість аналізувати та вирішувати проблеми під час їх виникнення. Продукт відрізняється вражаючою масштабованістю, і він буде надалі задовольняти ваші потреби в міру розвитку вашої організації. Додатковий Сервер журналу Nagios екземпляри можуть бути додані до моніторингового кластеру, що дозволяє швидко додати більше енергії, швидкості, зберігання та надійності.
Ціна для одного примірника Сервер журналу Nagios коштує 3 995 доларів, і хоча, здається, безкоштовна пробна версія не доступна, безкоштовна демонстрація в Інтернеті є, якщо ви хочете переглядати продукт з перших рук.
5. Graylog
Наступним у нашому списку є продукт під назвою Graylog. Продукт пропонує багато цікавих функцій. Інструмент буде аналізувати та збагачувати журнали та дані про події з будь-якого джерела даних. Трубопроводи для його обробки дозволяють деяку гнучкість у маршрутизації, чорному списку, модифікації та збагаченні повідомлень у режимі реального часу. Graylog буде здійснювати пошук через терабайти даних журналу, щоб виявити та проаналізувати важливу інформацію. Потужний синтаксис пошуку дозволяє точно знайти те, що ви шукаєте.
З Graylog, ви можете створити інформаційні панелі для візуалізації показниківі спостерігати за тенденціями в одному центральному місці. Ви можете використовувати статистику на місцях, швидкі значення та діаграми на сторінці результатів пошуку, щоб заглибитись для більш глибокого аналізу своїх даних. У системі також є можливість запускати дії або видавати сповіщення про такі події, як невдалі спроби входу, винятки або зниження продуктивності.
Graylog це безкоштовна система з відкритим кодом журналу, що базується на файлахможе дати вам набагато більше функціональних можливостей, ніж просто утиліта архівування журналу. Цей аналізатор журналів має графічний інтерфейс користувача, і він може працювати на Ubuntu, Debian, CentOS та SUSE Linux. Ви також можете запустити його на віртуальній машині в Microsoft Windows, а також можна встановити систему Graylog на Amazon AWS.
6. ManageEngine EventLog Analyzer
ManageEngine, ще одне поширене ім'я серед адміністратора мережі, робить відмінну систему управління журналом, яку називають ManageEngine EventLog Analyzer. Продукт буде збирати, керувати, аналізувати, співвідносити та шукати дані журналу понад 700 джерел, використовуючи комбінацію журналу без агента та колекції на основі агентів, а також імпорт журналу.
Швидкість - одна з ManageEngine EventLog AnalyzerСила. Він може обробляти дані журналу зі вражаючими 25 000 журналів / секунду та виявляти атаки в режимі реального часу. Він також може виконати швидкий криміналістичний аналіз, щоб зменшити вплив порушення. Можливості аудиту системи поширюються на журнали мережевих пристроїв периметра, діяльність користувачів, зміна облікового запису сервера, доступ користувачів та інше, що допомагає задовольнити потреби аудиту безпеки.
The ManageEngine EventLog Analyzer доступний у безкоштовній випуску з обмеженими можливостямиякий підтримує лише 5 джерел журналу або в преміум-випуску, який починається від $ 595 і змінюється залежно від кількості пристроїв та програм. Також доступна безкоштовна, повнофункціональна 30-денна пробна версія.
Коментарі