6 най-добри инструменти за управление на журнали за Linux през 2020 г.

С днешните системи, генериращи тона данни за вписване, не е изненада, че администраторите винаги търсят решения за управление на журнала. Дневниците по подразбиране често се съхраняват локално. Това има смисъл, тъй като улеснява свързването им с техния източник. Но когато се опитваме да отстраняваме проблеми и да откриваме тяхната основна причина, понякога се налага да разгледаме множество регистрационни файлове на множество устройства. Не би ли било хубаво, ако всички регистрационни файлове от всички устройства се съхраняват на едно централизирано място? Това е целта на управление на лога. И ако вашата платформа за избор е Linux, има много възможности. Прочетете нататък, докато откриваме някои от най-добрите мениджмънт на журнали за Linux

Ще започнем с дефиниране на управлението на лога. Ще видите, че това може да бъде доста повече от просто централизиране на съхранението на журнали. След това ще обсъдим различни технологии за сеч. Те са крайъгълният камък на управлението на лога и нямаше да съществува без тях. Продължавайки, ние ще разграничим системите на syslog от системите за управление на лога и ще разберем, че няма ясно разграничение между тях. След това ще направим пауза за кратко и ще обсъдим

Информационни системи за сигурност и системи за управление на събития. Те са друг тип система, която често се бърка с управлението на лога, благодарение на малко неясната дефиниция на всяка. И накрая, ще прегледаме най-доброто управление на журнала за Linux.

Какво е управление на лога?

Преди да можем да говорим за управление на журнали, нека да определим какво е лог. Просто дефиниран, логът е автоматично произведената и подпечатана във времето документация за събитие, свързано с определена система. С други думи, всеки път, когато се случи събитие в системата, се генерира дневник. Системите и устройствата ще генерират регистрационни файлове за различни видове събития и много системи дават на администраторите някаква степен на контрол върху това, кое събитие генерира дневник и кое не.

Що се отнася до управлението на лога, то просто се отнася до процесите и политиките, използвани за администриране и улесняване генериране, предаване, анализ, съхранение, архивиране и евентуално обезвреждане на големи обеми данни от дневника. Въпреки че не е ясно посочено, управлението на лога предполага централизирана система, в която се събират дневници от множество източници. Управлението на лога обаче не е само събиране на журнали. Именно управленската част е най-важната. И системите за управление на журнали често имат множество функции, като събирането на трупи е само една от тях.

След като дневниците се получат от системата за управление на журнала, те трябва да бъдат стандартизирани в общ формат, тъй като различните системни формати се регистрират по различен начин и включват различни данни. Някои започват дневник с дата и час, други започват с номер на събитие. Някои включват само идентификатор на събитие, докато други включват пълнотекстово описание на събитието. Една от целите на системите за управление на дневниците е да се гарантира, че всички събрани записи в дневника се съхраняват в единен формат. Това ще доведе до корелация на събитията и евентуално търсене много по-лесно надолу по линията.

Дори корелацията и търсенето са две допълнителни основни функции на няколко системи за управление на лога. Най-доброто от тях разполага с мощна търсачка, която позволява на администраторите да въведат нула точно за това, от което се нуждаят. Функциите за корелация автоматично ще групират свързани събития, дори ако са от различни източници. Как и колко успешно се постига различна система за управление на журнали, което е основен диференциращ фактор.

СЪЩО ЧЕТЕТЕ:15 най-добри мрежови инструменти за наблюдение (наш собствен преглед)

Технологии за сеч

Управлението на лога би било много по-трудно, може би дори невъзможно, ако не беше протоколи за вписване. Няколко от тях съществуват. Те определят какви данни трябва да бъдат включени в регистрационните файлове, как трябва да бъдат форматирани и понякога как да се предават между системите.

Syslog е, може би, най-използваният протокол за регистрация, особено в света на Linux. Технологията е изобретена в началото на осемдесетте години и е станала фактически стандарт за всички подобни на Unix системи. Едно от най-големите предимства на syslog технологията е как улеснява разделянето между системата или софтуер, който генерира регистрационни файлове, системата, която ги съхранява, и софтуера, който отчита и анализира тях. Използването на технологията Syslog улеснява управлението на журнала много по-лесно. И Syslog не е ексклузивен Unix. Много устройства, различни от Unix, като превключватели, рутери и всякакъв вид оборудване от много производители, използват вариант на протокола syslog.

Има и други технологии за сеч. Microsoft Windows, например, използва различна система за регистрация. Може да е свързано с факта, че операционните системи и приложения на Windows имат регистрационни файлове, които обикновено съдържат по-подробна информация, отколкото позволява технологията Syslog. За щастие функциите на Windows Event Collector осигуряват средно средство за управление на журнала, което различни системи могат да използват за получаване на събития от хостовете на Windows. Тази публикация е за управление на лог за Linux, така че нека не губим много време в Windows.

Без значение каква технология за регистрация се използва, важна част от управлението на журнала е конфигурирането на устройства, които да изпращат своите дневници до системата за управление. Други видове инструменти като мрежови системи за мониторинг може да извлича данни от системите, които те наблюдават, но с управление на журнала, всяко устройство трябва да бъде „казано“ къде да изпраща своите регистрационни файлове. Това обаче е сравнително проста задача, която често се изпълнява чрез издаване на проста команда.

ДОПЪЛНИТЕЛНА ИНФОРМАЦИЯ:Най-добър софтуер за картографиране и топология на мрежовата диаграма

Лог сървъри или управление на лога?

Тъй като от доста време е достъпна във всяка система, подобна на Unix - включително Linux -, Syslog често се използва като лог сървър с един компютър, получаващ Syslog данни от няколко други. Въпреки че това централизирано съхранение на журнали има определени предимства, не е достатъчно да се нарече управление на лога.

За да заслужите името на системата за управление на лога, продуктът трябва да включва поне някои от по-модерните функции. Според Wikipedia „управлението на лога се състои от следните функции: събиране на дневници, централизирано обобщаване на дневника, дългосрочно съхранение и задържане на дневника, завъртане на дневника, анализ на дневника, търсене на журнали и отчитане “. Еха! Това е много функционалност. От друга страна, лог сървърите често предлагат само събиране и съхранение на журнали и рядко повече от това.

Една дума (или две) за SIEM

Друга популярна технология, която е свързана с регистрационни файлове и често се бърка със системите за управление на журнали, е Информация за сигурност и управление на събития или SIEM. Това е различно от управлението на лога, но то е тясно свързано. Линията е толкова тънка между тях, че някои продукти, рекламирани като системи за управление на журнали, всъщност са системи SIEM, докато някои основни SIEM системи не са нищо повече от усъвършенствани системи за управление на лога.

Объркването произтича от факта, че управлението на лога - или най-малкото - анализът на лога - е важен компонент на SIEM системите. Това, което отличава SIEM системите, е, че те извършват анализ на журнали с крайна цел да идентифицират проблеми със сигурността. Например, те ще търсят признаци на неуспешни входни данни, които биха могли да бъдат показател за знак на неоторизиран опит за проникване. Тези системи непрекъснато сканират записи в дневника търси нещо необикновено. Докато някои системи SIEM включват обширни функции за управление на журнали, някои от тях използват външна система за управление на лога и не е рядкост да се виждат и двете системи да работят едно до друго.

СВЪРЗАНО ЧЕТЕНЕ:Най-добрите IP скенери за Mac

Най-доброто управление на лога за Linux

Да се ​​надяваме, че сега имаме общо разбиране за това какво е управление на лога и какво не е. Така че, нека да разгледаме какво е достъпно за Linux. Но първо, нека изясним нещо. Когато говорим за управление на лог за Linux, имаме предвид системи за управление на журнали, които могат да побират регистрационни файлове на Linux и които ще работят или на Linux платформата, или в облака. Някои от нашите селекции, особено облачни базирани системи, също ще работят с регистрационни файлове от други платформи.

SolarWinds се е превърнало в име на домакинство сред мрежовите администратори. Той прави някои от най-добрите инструменти за почти 20 години, като ни предоставя страхотни инструменти за наблюдение на честотната лента и един от най-добрите анализатори и колектори NetFlow. Компанията също е добре известна с това, че публикува няколко безплатни инструмента, които адресират някои специфични нужди на мрежовите администратори, като калкулатор на подмрежата или syslog сървър.

• БЕЗПЛАТЕН ПЛАН: SolarWinds Papertrail
• Официална връзка за изтегляне: https://papertrailapp.com/plans

Не толкова отдавна, SolarWinds придобит Papertrail, популярна система за управление на журнали. Той обединява лог файлове от голямо разнообразие от популярни продукти като Apache или MySQL, както и приложения Ruby on Rails, различни облачни хостинг услуги и други стандартни файлове за системен и текстови дневници. Papertrail След това потребителите могат да използват уеб базиран интерфейс за търсене или инструменти за команден ред, за да търсят в тези файлове, за да помогнат при диагностицирането на различни проблеми. Papertrail също се интегрира с други продукти на SolarWinds като Librato и Geckoboard за графични резултати.

Papertrail е облачен базиран софтуер като услуга (SaaS), предлаган от SolarWinds. Това, че е базирана на облак, означава, че ще работи добре във всички Linux системи. Платформата е лесна за внедряване, използване и разбиране и ще ви даде незабавна видимост във всички системи за минути. Освен това, продуктът има много ефективна търсачка, която може да търси както съхранени, така и поточни журнали. И е мълниеносно.

Papertrail се предлага в рамките на няколко плана, включително безплатен план. Той обаче е малко ограничен и позволява само 100 MB журнали всеки месец. Това обаче ще позволи 16 GB дневници през първия месец, което е еквивалентно на давайки ви безплатна 30-дневна пробна версия. Платените планове започват от $ 7 / месец за 1GB / месец от регистрационни файлове, 1 година архив и 1 седмица индекс. Шумовото филтриране позволява на инструмента да запазва данни, като не запазва безполезни дневници.

Loggly е друга онлайн услуга базирана в облак. Предимно консолидатор на лога, той също така предлага функционалност за анализ на лога. Като основание да бъде базирана в облак, тази система не изисква инсталация и е готова да използва минутата, в която се абонирате. Разбира се, вашите системи и устройства ще трябва да бъдат конфигурирани, за да качват периодично своите стандартни лог файлове на онлайн сървъра.

• БЕЗПЛАТЕН ПРОБЕН ПЕРИОД: Логи планове
• Официална връзка: https://www.loggly.com

Loggly след това преобразува получените данни от дневника в стандартен формат, като по този начин позволява на анализатора да обработва записи от различни източници и разрешаване на проследяване и корелация на събитията във всички системи, независимо от тяхната операционна система или регистрация технология. Източниците на данни от дневника не се ограничават до локалните ви сървъри. Системата, разбира се, може да обработва регистрационни файлове, генерирани от онлайн сървъри, като например AWS на Amazon и тя може да включва съобщения, създадени от конкретни приложения като Docker и Logstash, само за да посочите име малцина.

Най- Loggly услугата се предлага при три различни плана, с увеличаване на ограниченията за обработка на данни и времена на задържане. Трябва да изберете правилния, който да ви даде достатъчно място за вашите данни в дневника. Извиква се планът за входно ниво Loggly Lite. Той е безплатен за използване. Съгласно този план можете да качвате 200 MB данни от дневника на ден и системата ще запази всеки запис за седем дни. Следва стандартния план, който ви дава надбавка за качване от 1 GB на ден и запазва записи за 30 дни. Платените планове също ви позволяват да използвате множество потребителски акаунти. С пакета Standard можете да имате три потребителски акаунта. Извиква се горният слой Loggly начинание. Той няма ограничение за броя на потребителските акаунти, които можете да настроите, а цените варират в зависимост от размера на капацитета за качване и периода на задържане, който се нуждаете. Плащането за всички платени планове може да бъде месечно или ежегодно и безплатен 14-дневен пробен период е на разположение в плана Standard.

3. Splunk

Splunk е добре позната - в общността на системната администрация - цялостна система за управление на журнали за Linux, Mac OS и Windows. Повече от обикновена система за управление на журнали, някои считат това за пълноценна система за предотвратяване на проникване. Продуктът се предлага в три версии. На върха е Splunk Enterprise която е по-скоро система за управление на мрежата, а не просто инструмент за управление на журнали. Цените започват от $ 173 на месец и получавате много функционалност.

Има и безплатна версия на Splunk което по същество е един и същ инструмент без някои от най-модерните му функции. По същество тя е ограничена до анализ на файлове в журнала. Можете да подадете във всеки от вашите стандартни файлове на регистрационни файлове или да го изпратите на живо чрез данни в анализатора. Безплатната версия има няколко ограничения. Например, тя може да има само един потребителски акаунт и пропускането на данни е ограничено до 500 MB дневници на ден. Функцията за сортиране и филтриране на данни е вградена в Splunk, което улеснява вашите усилия за отстраняване на проблеми. Можете да използвате тези функции за разделяне на записи в дневника по дата и записване на всяка група в нови файлове. Всъщност тази функционалност е много гъвкава.

4. Nagios Log Server

Nagios е известен с отличния си софтуер за мониторинг на мрежата, но неговият Log Server е също толкова интересен. Продуктът се нарича просто Nagios Log Server и предлага централизирано управление, наблюдение и анализ на лога. Този инструмент може значително да опрости процеса на търсене на вашите регистрационни данни. Той също така ви позволява да зададете сигнали, за да бъдат известявани за потенциални заплахи Освен това, софтуерът има висока наличност и вградена грешка в него. Освен това, неговите лесни съветници за настройка на източника ще ви помогнат бързо да конфигурирате сървърите за изпращане на всички данни в дневника и да започнете да наблюдавате вашите регистрации за минути.

Най- Nagios Log Server позволява лесното съпоставяне на събитията в лога на всички сървъри само с няколко кликвания. Системата ще ви позволява да преглеждате данните в дневника в реално време, като ви дава възможност да анализирате и решавате проблеми, когато възникнат. Продуктът се отличава с впечатляваща мащабируемост и ще продължи да отговаря на вашите нужди с развитието на вашата организация. Допълнителен Nagios Log Server екземпляри могат да бъдат добавени към мониторинг клъстер, което ви позволява бързо да добавите повече мощност, скорост, съхранение и надеждност.

Цената за един екземпляр за Nagios Log Server е 3 995 долара и въпреки че изглежда не е налична безплатна пробна версия, безплатна демонстрация онлайн е, ако предпочитате да разгледате продукта от първа ръка.

5. Graylog

Следващ в нашия списък е продукт, наречен Graylog. Продуктът предлага много интересни функции. Инструментът ще анализира и обогати регистрационни файлове и данни за събития от всеки източник на данни. Неговите тръбопроводи за обработка позволяват известна гъвкавост при маршрутизиране, черен списък, промяна и обогатяване на съобщения в реално време. Graylog ще търси чрез терабайти от лог данни, за да открие и анализира важна информация. Мощният синтаксис за търсене ви позволява да намерите точно това, което търсите.

с Graylog, можете да създадете табла за управление, за да визуализирате показатели и да наблюдавате тенденциите в едно централно място. Можете да използвате полеви статистики, бързи стойности и диаграми от страницата с резултати от търсенето, за да се потопите за по-задълбочен анализ на вашите данни. Системата също има възможност да задейства действия или да издава известия за събития като неуспешни опити за влизане, изключения или влошаване на производителността.

Graylog е безплатна, базирана на файлове система с отворен код, която може да ви даде много повече функционалност, отколкото просто помощна програма за архивиране на журнали. Този анализатор на журнали има графичен потребителски интерфейс и може да работи на Ubuntu, Debian, CentOS и SUSE Linux. Можете също да го стартирате на виртуална машина в Microsoft Windows и можете да инсталирате системата Graylog на Amazon AWS.

6. ManageEngine EventLog Analyzer

ManageEngine, друго често срещано име сред мрежовия администратор, прави отлична система за управление на журнала, наречена ManageEngine EventLog Analyzer. Продуктът ще събира, управлява, анализира, корелира и претърсва данните от дневника на над 700 източника, използвайки комбинация от събиране на журнали, базирани на агент и агент, както и импортиране на журнали.

Скоростта е една от ManageEngine EventLog AnalyzerСила. Той може да обработва данни в лога с впечатляващите 25 000 лога / секунда и да открива атаки в реално време. Той може също така да извърши бърз криминалистичен анализ, за ​​да намали въздействието на нарушение. Възможностите за одит на системата се простират до дневниците на мрежовите устройства по периметъра, дейностите на потребителите, промените в акаунта на сървъра, достъпа на потребители и други, като ви помагат да посрещнете нуждите от одит на сигурност.

Най- ManageEngine EventLog Analyzer се предлага в намалено с безплатни функции безплатно издание, което поддържа само 5 журнални източника или в първокласно издание, което започва от $ 595 и варира в зависимост от броя на устройствата и приложенията. Налична е и безплатна, пълнофункционална 30-дневна пробна версия.