8 най-добър софтуер за управление на журнали за по-бързо отстраняване на проблеми

Днешните системи генерират много данни за записване. В много платформи всяко едно събитие, важно или не, се записва някъде. Обикновено дневниците се съхраняват локално. Това има смисъл, тъй като трупите са свързани с техния източник. Но когато се опитваме да отстраняваме проблеми и да откриваме тяхната основна причина, това често означава, че трябва да разгледаме множество регистрационни файлове на множество устройства. Не би ли било хубаво, ако всички дневници от всички устройства се съхраняват на едно място? Управлението на лога е това и много повече, както предстои да разберете. И днес разглеждаме най-добрите системи за управление на дневниците.

Ще започнем, като се опитаме да обясним какво е управление на лога. Както ще видите, това може да бъде много повече от само централизиране на съхранението на журнали. След това ще говорим за протоколи за регистриране. Доста е важно, тъй като управлението на лога няма да съществува без тях. След това ще се опитаме да разграничим syslog сървърите от системите за управление на лога. За съжаление няма ясно разграничение между тях. Ще продължим с дискусия относно информацията за сигурността и системите за управление на събития, защото това е друго тип система, която често се бърка с управлението на лога, благодарение на малко неясната дефиниция на всеки. И накрая, ще разгледаме осемте най-добри системи за управление на журнали, които бихме могли да намерим.

Управление на лога - какво е това

Преди да можем да говорим за управление на журнали, нека да видим какво представлява дневника. Просто дефиниран, логът е автоматично изготвената и подпечатана във времето документация за събития, свързани с определена система. Всеки път, когато се случва събитие в системата, се генерира лог. Различните системи ще генерират регистрационни файлове за различни събития и много системи предоставят на администраторите известна степен на контрол върху това, което генерира дневник и какво не.

Когато говорим за управление на журнали, имаме предвид процесите и политиките, използвани за администриране и улесняват генерирането, предаването, анализа, съхранението, архивирането и евентуалното изхвърляне на големи обеми дневник данни. Управлението на лога предполага централизирана система, където се събират дневници от множество източници.

Но управлението на лога не е само събиране на журнали. Мениджърската част е най-важна. Системите за управление на лога обикновено имат множество функции, като събирането на трупи е само една от тях.

След като дневниците се получат от системата за управление на журнала, те трябва да бъдат „преведени“ в общ формат. Различните системи форматират журнали по различен начин и включват различни данни в своите дневници. Някои започват дневник с дата и час, други започват с номер на събитие. Някои включват само идентификатор на регистрация, докато други включват пълно текстово описание на събитието. Една от целите на системите за управление на дневниците е да се гарантира, че всички събрани записи в дневника се съхраняват в единен формат. Това ще улесни търсенето и съпоставянето на събитията много по-лесно.

Говорейки за търсене и дори корелация, това е друга важна функция на много системи за управление на лога. Някои от тях разполагат с мощна търсачка, която позволява на администраторите да въведат нула точно за това, от което се нуждаят. Функциите за корелация автоматично ще групират свързани събития, дори ако са от различни източници. Как и колко успешно се постига различна система за управление на журнали, което е основен диференциращ фактор.

Записване на протоколи

Управлението на лога би било много по-трудно, ако изобщо е възможно, ако не беше протоколиране на протоколи. Няколко от тях съществуват, които определят какви данни трябва да бъдат включени в регистрационните файлове, как трябва да бъдат форматирани и как трябва да се предават между системите.

Syslog е, може би, най-използваният протокол за регистрация. Измислен в началото на осемдесетте години, той се е превърнал в фактически стандарт за Unix-подобни системи. Едно от най-големите предимства на протокола syslog е как той разделя софтуера, който генерира регистрационни файлове, системата, която ги съхранява, и софтуера, който ги отчита и анализира. Използването на протокола Syslog прави управлението на журнала много по-лесно. Много устройства, които не са Unix, като превключватели и други мрежово оборудване от много производители, използват вариант на протокола syslog.

Microsoft Windows, както вероятно се досещате, използва различна система за регистрация. Може да е свързано с факта, че операционните системи и приложения на Windows имат регистрационни файлове, които обикновено съдържат много повече информация, отколкото разрешава syslog. За щастие, функциите на Windows Event Collector осигуряват средно за системите за управление на журнали, които могат да използват за получаване на събития от хостовете на Windows.

Без значение какъв протокол за регистрация се използва, важна част от управлението на журнала е конфигурирането на устройства, които да изпращат своите регистрационни файлове до системата за управление. Това е различно от другите инструменти като мрежови системи за наблюдение, където инструментът извлича данни от хостовете.

Лог сървъри срещу Управление на лога

Тъй като е наличен във всяка система, подобна на Unix от доста време, Syslog, ако често се използва като лог сървър с един компютър, получаващ данни от syslog от няколко други. Въпреки че това централизирано съхранение на дневници има определени предимства, това не е управление на лога.

За да заслужите името на системата за управление на лога, продуктът трябва да включва поне някои от по-модерните функции. Според Уикипедия управлението на лога се състои от следните функции: събиране на дневници, централизирано обобщаване на дневника, дългосрочно съхранение и задържане на журнали, завъртане на дневника, анализ на журнала, търсене на журнали и докладване. Лог сървърите често предлагат само събирането и съхранението на дневника и рядко повече от това. Всяка от системите за управление на дневника в нашия списък е най-малко някои от по-модерните функции.

Какво ще кажете за SIEM Systems?

Друга популярна технология, която често се свързва с регистрационни файлове и се бърка със системите за управление на журнали, е Информация за сигурност и управление на събития или SIEM. Това е доста различно от управлението на лога, въпреки че е тясно свързано. Всъщност някои продукти, рекламирани като системи за управление на журнали, всъщност са SIEM системи, докато някои основни SIEM системи са нищо повече от системи за управление на журнали.

Основната причина за това объркване е, че управлението на лога - или поне лог анализът - е важен компонент на SIEM системите. Всъщност SIEM системите обикновено поемат управлението на журнала на следващото ниво, като добавят известна интелигентност към процеса. Тези системи извършват анализ на журнала с крайна цел да идентифицират проблеми със сигурността. Например, те ще търсят признаци на неуспешни влизания, които биха посочили неоторизиран опит за проникване. Тези системи автоматично ще сканират записи в дневника, търсейки нещо необичайно.

Системите SIEM имат повече общо с ИТ сигурността, отколкото управлението на ИТ, а някои от тях включват широко управление на лога функции, много от тях могат да използват и системи за управление на външни журнали и не е необичайно да видите и двете системи, работещи един до друг страна.

Най-добрият софтуер за управление на лога

Сега, когато имаме общо разбиране за това какво е управление на лога и какво не е, нека да разгледаме какво е на разположение. Търсихме пазара за едни от най-добрите системи за управление на журнали. Първоначалната ни констатация е, че има много от тях и много от тях са много добри. Но разполагаме само с толкова много пространство, така че сме на път да разгледаме осемте най-интересни, които бихме могли да намерим.

SolarWinds е често срещано име в областта на инструментите за мрежово администриране. Това е от почти 20 години и ни донесе един от най-добрите мониторинг на честотната лента инструменти и един от най-добрите NetFlow анализатори и колектори. Компанията е добре известна и с това, че публикува няколко безплатни инструмента, които адресират някои специфични нужди на мрежовите администратори като подмрежа калкулатор или а syslog сървър.

Преди няколко години SolarWinds придоби Papertrail, популярна система за управление на журнали. Той обединява лог файлове от голямо разнообразие от популярни продукти като Apache или MySQL, както и приложения Ruby on Rails, различни облачни хостинг услуги и други стандартни текстови файлове за регистрация. Papertrail След това потребителите могат да използват уеб базирания интерфейс за търсене или инструментите на командния ред, за да търсят през тези файлове, за да помогнат за диагностициране на грешки и проблеми с производителността. Papertrail също така се интегрира с други продукти на SolarWinds като Librato и Geckoboard за графични резултати.

Papertrail е облачен базиран софтуер като услуга (SaaS), предлаган от SolarWinds. Той е лесен за изпълнение, използване и разбиране. И ще ви даде незабавна видимост във всички системи за минути. Инструментът има много ефективна търсачка, която може да търси както съхранени, така и поточни журнали. И е мълниеносно.

Papertrail се предлага в рамките на няколко плана, включително безплатен план. Той обаче е малко ограничен и позволява само 100 MB журнали всеки месец. Това обаче ще ви позволи 16 GB дневници през първия месец, което е еквивалентно на предоставянето на безплатна 30-дневна пробна версия. Платените планове започват от $ 7 / месец за 1GB / месец от регистрационни файлове, 1 година архив и 1 седмица индекс. Шумовото филтриране позволява на инструмента да запазва данни, като не запазва безполезни дневници.

Следващият ни запис е друг продукт от SolarWinds, наречен the SolarWinds Log & Event Manager. Противно на предишния ни запис, това е локално инсталиран продукт. И освен това е много повече от просто система за управление на журнали. Много от модерните функции на този продукт го поставят в гамата SIEM. Има корелация в реално време, например, и корекция в реално време.

Ето преглед на SolarWinds Log & Event ManagerОсновните характеристики. Елиминира заплахите бързо, като използва моментално откриване на подозрителна активност и автоматизирани реакции. Той може също така да извършва разследване на събития за сигурност и криминалистика за смекчаване и спазване. И като говорим за съответствие, продуктът ще ви позволи да го демонстрирате, благодарение на доказаното от одита отчитане за HIPAA, PCI DSS и SOX. Този инструмент също има мониторинг на целостта на файловете и наблюдение на USB устройството, две функции, които са много над това, което обикновено виждаме в системите за управление на журнали.

Цени за SolarWinds Log & Event Manager започват от $ 4,585 за до 30 наблюдавани възли. Лицензи за до 2500 възли могат да бъдат закупени, което прави продукта силно мащабируем. И ако искате да проверите практически дали продуктът е подходящ за вас, е налична безплатна, пълнофункционална 30-дневна пробна версия.

3. ipswitch Log Suite Suite

Най- Log Suite Suite е инструмент от Ipswitch, същата компания, която ни донесе WhatsUp Gold, изключително популярен инструмент за мониторинг на мрежата. Това е автоматизиран инструмент, който събира, съхранява, архивира и запазва системни дневници, събития на Windows и W3C / IIC. Освен това непрекъснатото му наблюдение на журнала ще ви предупреди за всякаква подозрителна дейност.

Често одитирани събития като права за достъп и привилегии за файлове, папки и обекти могат да бъдат следвани, генериране на сигнали при необходимост и използвани за изграждане на доклади за съответствие за HIPAA, SOX, FISMA, PCI, MiFID или Basel II спазване. Инструментът може също да ви помогне да преобразувате вашите сурови дневници в значими данни за мениджъри или ИТ екипи за сигурност, благодарение на автоматизираните функции за филтриране, съпоставяне, отчитане и конвертиране.

Информация за цените на Log Suite Suite не е лесно достъпна от Ipswitch. Продуктът може да бъде закупен директно от издателя или чрез дистрибуторската мрежа на Ipswitch. Предлага се и безплатна пробна версия.

4. ManageEngine EventLog Analyzer

ManageEngine, друго често срещано име с мрежовия администратор, прави отлична система за управление на журнала, наречена the ManageEngine EventLog Analyzer. Продуктът ще събира, управлява, анализира, корелира и претърсва данните от дневника на над 700 източника, използвайки комбинация от събиране на журнали, базирани на агент и агент, както и импортиране на журнали.

Скоростта е една от ManageEngine EventLog AnalyzerСила. Той може да обработва данни в лога с впечатляващите 25 000 лога / секунда и да открива атаки в реално време. Той може също така да извърши бърз криминалистичен анализ, за ​​да намали въздействието на нарушение. Възможностите за одит на системата се простират до дневниците на мрежовите устройства по периметъра, дейностите на потребителите, промените в акаунта на сървъра, достъпа на потребители и други, като ви помагат да посрещнете нуждите от одит на сигурност.

Най- ManageEngine EventLog Analyzer е наличен в безплатно намалено от функционалността безплатно издание, което поддържа само 5 източника на журнали или в премиум издание, което започва от $ 595 и варира в зависимост от броя на устройствата и приложенията. Налична е и безплатна, пълнофункционална 30-дневна пробна версия.

5. Nagios Log Server

Nagios е най-известен със своите отлични софтуер за мрежов мониторинг но неговият лог сървър е вероятно също толкова интересен. Умело се обади на Nagios Log Server, предлага централизирано управление, наблюдение и анализ на лога. Най- Nagios Log Server опростява процеса на търсене на вашите регистрационни данни. Той също така ви позволява да зададете сигнали, за да бъдат известявани за потенциални заплахи Освен това софтуерът има висока наличност и вградена грешка. Неговите лесни съветници за настройка на източници ще ви помогнат бързо да конфигурирате сървърите за изпращане на всички данни от дневника и да започнете да наблюдавате вашите дневници за минути.

Най- Nagios Log Server ви позволява лесно да съпоставяте събития в лога на всички сървъри само с няколко кликвания. И ви позволява да преглеждате данните в дневника в реално време, като ви дава възможност да анализирате и решавате проблеми, докато възникнат. Продуктът се отличава с впечатляваща мащабируемост и ще продължи да отговаря на вашите нужди с развитието на вашата организация. Допълнителен Nagios Log Server екземпляри могат да бъдат добавени към мониторинг клъстер, което ви позволява бързо да добавите повече мощност, скорост, съхранение и надеждност.

Цената за един екземпляр за Nagios Log Server е 3 995 долара и въпреки че изглежда не е налична безплатна пробна версия, безплатна демонстрация онлайн е, ако предпочитате да погледнете продукта от първа ръка.

6. Alert Logic Log Manager

Основният фокус на Alert Logic е сигурността и спазването. И тъй като управлението на лога е тясно свързано и с двете, не е изненада, че компанията предлага това Alert Logic Log Manager. Този облачен инструмент предлага автоматизирано и унифицирано управление на лога във всички ваши среди. Той ще събира, агрегира и преглежда данни от дневника от облака, сървъра, приложението, сигурността и мрежовите активи.

Най- Alert Logic Log Manager включва мониторинг и анализ на дневника, както и преглед на дневника, който се извършва на живо от човешки анализатори. Експертите на Alert Logic ще ви сигнализират за възможна заплахователна дейност 365 дни в годината. Услугата също ще помогне за изпълнение на изискванията за преглед на дневника на SOC 2, HIPAA и SOX и ще разтовари тежестта от преглед на регистрационни файлове и проследяване на събития, за да се спазят PCI / DSS 10.6, 10.6.1, 10.6.3

Информация за цените на Alert Logic Log Manager не е лесно достъпна от мрежата и ще трябва да се свържете с продажбите на Alert Logic, за да получите официална оферта. Безплатна пробна версия също не е налична, но безплатна демонстрация може да се организира, като се свържете с Alert Logic.

7. LogDNA

Основана през 2015 г., LogDNAе новото дете на блока. Компанията твърди, че „LogDNA е най-бързата, най-интуитивната и рентабилна система за управление на журнали “. Всичко започва с инсталацията, която отнема само няколко минути, преди да можете да започнете да наблюдавате вашите регистрационни файлове. Без значение как се генерират и предават регистрационни файлове, стотици персонализирани схеми за интегриране са достъпни за централизиране на регистрационни файлове в един прозорец.

LogDNA може да бъде базирана на облак или самостоятелно хоствано, в зависимост от вашите предпочитания. Той е много мащабируем и може да обработва стотици хиляди журнали в секунда и десетки терабайти на клиент на ден при пълна сигурност с анализ на дневника в реално време. Компанията и нейните продукти са съвместими със SOC2, PCI и HIPAA, както и със сертификат за защита на личните данни.

С простия си модел на ценообразуване с плащане на GB, който елиминира договорите и фиксираните пакети данни, компанията има една от най-ниските общи разходи за собственост. Налични са няколко абонаментни планове с увеличаващи се функции. Планът на най-ниското ниво е безплатен, а платените планове варират от $ 1,50 / GB / месец до $ 3 / GB / месец в зависимост от продължителността на задържане и броя на потребителите. Предлага се и безплатна, пълнофункционална пробна версия за 14 дни.

8. Graylog

Последно в нашия списък е продукт, наречен Graylog. Продуктът предлага много интересни функции. Инструментът ще анализира и обогати регистрационни файлове и данни за събития от всеки източник на данни. Неговите тръбопроводи за обработка позволяват известна гъвкавост при маршрутизиране, черен списък, промяна и обогатяване на съобщения в реално време. Graylog ще търси чрез терабайти от лог данни, за да открие и анализира важна информация. Мощният синтаксис за търсене ви позволява да намерите точно това, което търсите.

с Graylog, можете да създадете табла за управление, за да визуализирате показатели и да наблюдавате тенденциите в едно централно място. Можете да използвате полеви статистики, бързи стойности и диаграми от страницата с резултати от търсенето, за да се потопите за по-задълбочен анализ на вашите данни. Системата също има възможност да задейства действия или да издава известия за събития като например неуспешни опити за влизане, изключения или влошаване на производителността.

Graylog се предлага или като безплатна и с отворен код, ограничена функция, която също има ограничена поддръжка, или като корпоративна версия с разширени функции и неограничена поддръжка. Пробен лиценз може да се получи и като се свържете Graylog продажби.