8 най-добри инструменти за мониторинг на дневника и софтуер за анализ за 2020 г.

Регистрационните файлове присъстват в почти всяка компютърна система или мрежово устройство. Те съдържат подробности за събитията, случващи се във всяка система. Те могат да се окажат безценни при отстраняване на проблеми. Те могат също да разкрият злонамерени дейности и следователно могат да се превърнат в полезно средство за осигуряване на сигурност. Но кой има време дори да разгледа лог файловете? Когато типичният администратор управлява десетки устройства, някои от тях регистрират няколко събития всяка секунда, няма начин някой да следи. Ето защо са създадени инструменти за наблюдение на дневника. Те консолидират всички дневници на събития на едно място и често предоставят инструменти и услуги за анализ, които ще преминават през регистрационните файлове и ще повдигат сигнали винаги, когато се наблюдава нещо необичайно. Налични са много различни инструменти за мониторинг на дневника и избирането на най-доброто може да се окаже предизвикателство. За да ви помогнем, съставихме този списък на някои от най-добрите инструменти за наблюдение на дневника.

Ще започнем нашата дискусия с проучване на системните регистрационни файлове, какви са те и как работят. По-нататък ще говорим за наблюдението на дневниците. Както преди, ще разгледаме какво означава и как се прави. След това ще ви предоставим повече подробности относно анализа на дневника, тъй като това е функцията, която прави инструментите за наблюдение на дневника най-полезни. Както преди, ние ще опишем какво е това и различните форми на анализ, които са на разположение. Накрая ще разгледаме някои от най-добрите инструменти за наблюдение на дневника, които бихме могли да намерим, и ще ви разкажем за техните основни характеристики.

Системни регистрационни файлове накратко

В едно изречение лог файл или системен дневник е файл, който записва събития, които се случват в операционна система или друг софтуер. Регистрирането е актът за водене на системен дневник. В най-простите случаи съобщенията просто се записват в един лог файл. Докато повечето системи използват предимно текстови файлове за регистриране на събития, някои съвременни системи използват някаква форма на база данни, за да ги регистрират.

Без значение как и къде се записват събития, някои системи ви позволяват да определите нивото на регистрация, което ви е необходимо. Това е особено вярно с мрежово оборудване, при което всяко събитие има ниво на тежест и параметрите на регистрация могат да бъдат зададени само за запис на събитие с определено ниво на тежест или по-високо. Други видове системи също осигуряват подобна функционалност.

За наблюдението на дневниците

Наблюдението на дневниците е процес от две части. Първата - и най-важната - част е събирането на регистрационни данни от различни системи. Това се осъществява по различни начини. Някои системи могат да бъдат конфигурирани да изпращат автоматично регистрационни файлове до централизиран сървър чрез протокола Syslog. Инструментите за наблюдение на дневника обикновено имат вграден syslog сървър за директно получаване на данни за събитията. Други системи, като Windows например, работят по различен начин. Съществуват различни средства за събиране на данни от дневници от тези системи, като например използване на инструмента за управление на Windows или използване на локални агенти, работещи на хостове на Windows. Без значение как е направено, всяка система за наблюдение на дневника включва необходимата функционалност за получаване и консолидиране на данните от дневника от множество източници.

Следващата стъпка - Анализ на журнала

Втората задача на всеки полезен инструмент за наблюдение на дневника е анализът на дневника. Тук инструментите се различават най-много. Някои ще предлагат само основен анализ, като задействане на сигнал, когато броят събития за единица време достигне даден праг. По-модерните инструменти ще изследват всяко събитие и ще търсят конкретни индикации за проблеми. Например, голям брой неуспешни влизания може да е знак за продължаващ опит за проникване. Бихме могли да прекараме страници, описващи различните форми на анализ на журнала, които са на разположение. Вместо това ви каним да разгледате различните прегледи на продуктите по-долу за подробности за това, което всеки предлага.

Най-добрите инструменти за наблюдение на дневника

Както посочихме по-рано, има много различни инструменти на разположение с различна степен на функционалност. Не всеки се нуждае от инструмент с богат анализ и функции за висока сигурност, така че ние включихме комбинация от инструменти, които предоставят различни набори от функции. Някои са по-прости инструменти, докато други са по-сложни. От вас зависи да определите кой инструмент предлага най-подходящото за вашите нужди. За щастие, всички инструменти в нашия списък разполагат с безплатна пробна версия, така че нищо не ви пречи да опитате няколко, нещо, което силно препоръчваме.

SolarWinds е често срещано име в света за мониторинг. Компанията съществува повече от 20 години и нейният водещ продукт, наречен Network Performance Monitor, е признат от мнозина като един от най-добрите налични инструменти за мониторинг на SNMP. И сякаш това не е достатъчно, SolarWinds е известен и с многобройните си безплатни инструменти. Това са по-малки инструменти, всеки от които адресира конкретна нужда от мрежови администратори. Разширеният калкулатор на подмрежата и TFTP сървърът на SolarWinds са два отлични примера за тези безплатни инструменти.

Колкото до Журнал и мениджър на събитията SolarWinds (LEM), точно това подсказва името му. Инструментът е толкова богат на функции, че мнозина го смятат за пълноценен инструмент за информация за сигурност и управление на събития. Когато става въпрос за мониторинг и управление на регистрационни файлове, това е вероятно един от най-интересните инструменти за управление на журнали, които можете да намерите. Той има много полезни функции за управление и корелация на лога, както и впечатляващ механизъм за отчитане.

• БЕЗПЛАТЕН ПРОБЕН ПЕРИОД:SolarWinds Log & Event Manager
• Линк за изтегляне:https://www.solarwinds.com/log-event-manager-software/registration

Най- SolarWinds Log & Event Manager може да помогне за подобряване на сигурността и спазването на изискванията чрез откриване на подозрителна активност и идентифициране на заплахи по-бързо с откриване на подозрителна активност във времето. Можете също така да използвате инструмента за провеждане на разследвания на събития за сигурност и криминалистика за смекчаване и спазване. Тази функция е причината мнозина да смятат продукта за SIEM инструмент. В допълнение, този инструмент помага за готовност за спазване на нормативната уредба. Можете да го използвате, за да демонстрирате съответствие, благодарение на доказаното от одита отчитане за HIPAA, PCI DSS, SOX, DISA STIG и други.

Най- SolarWinds Log & Event ManagerФункциите за реакция на събитията не оставят нищо желано. Подробната система за реагиране в реално време ще реагира активно на всяка заплаха. Това, че се основава на поведение, а не анализ на подписи, означава, че дори сте защитени от неизвестни или бъдещи заплахи. Но таблото за управление на инструмента е може би най-доброто му предимство. С опростен дизайн няма да имате проблеми бързо да идентифицирате аномалиите.

Цени за SolarWinds Log & Event Manager се основава на броя на наблюдаваните възли. Налични са различни нива на лицензи от 30 до 2500 възли, започващи от $ 4 665. И ако искате да опитате продукта преди покупка, за изтегляне е достъпна безплатна напълно функционална 30-дневна пробна версия.

Следващ в нашия списък е друг продукт от SolarWinds, наречен the Log Manager за Orion. Orion, ако не сте запознати с продуктите на SolarWinds, беше топ платформата на компанията преди няколко години. Все още е основната архитектура, върху която са изградени много от най-добрите продукти на SolarWinds. Ако използвате някой от мрежовия монитор за ефективност, анализатора на трафика на NetFlow, мрежовата конфигурация Мениджър, Мениджър на виртуализацията, Монитор на сървъри и приложения или Монитор на ресурсите за съхранение, които използвате Орион.

• БЕЗПЛАТЕН ПРОБЕН ПЕРИОД:SolarWinds Log Manager за Orion
• Линк за изтегляне:https://www.solarwinds.com/log-manager-for-orion-software/registration

Най- SolarWinds Log Manager за Orion добавя възможности за управление на журнали към всеки от инструментите за наблюдение и управление, базирани на Orion. В обобщение, продуктът разполага с мощно и интуитивно агрегиране на дневника, маркиране, филтриране и сигнализиране. Интеграцията му с продуктите на платформата Orion предлага единна представа за мониторинг на ИТ инфраструктурата и свързаните с нея журнали. Продуктът е създаден в сътрудничество с мрежови и системни инженери, за да гарантира, че техните проблеми - и как да се решат - бяха разбрани.

Въпреки интеграцията си с платформата Orion, Log Manager може да се инсталира сам и не изисква инсталиране на друг инструмент Orion. Цените започват от $ 1 495 и налична е безплатна 30-дневна пробна версия, ако искате да изпробвате продукта и вижте как отговаря на вашите нужди.

Следва още един продукт от SolarWinds, наречен Papertrail. Този е много по-различен от предходните два, тъй като е в облак, предлагащ софтуер като услуга (SaaS). Мощният инструмент вече се радваше на известна популярност, когато SolarWinds го придоби, преди няколко години. Той обединява лог файлове от множество продукти като Apache или MySQL, както и приложения Ruby on Rails, няколко облачни хостинг услуги и други стандартни текстови файлове за регистрация.

• Регистрирайте се тук: https://papertrailapp.com/plans

За да помогнете за диагностицирането на грешки и проблеми с производителността, можете да използвате Papertrail много ефективна и светкавично бърза търсачка, която може да търси както съхранени, така и поточни журнали. Продуктът се интегрира с няколко други SolarWinds продукти като Librato и Geckoboard за графични резултати. Papertrail също така е лесен за изпълнение, използване и разбиране. Той ще ви осигури незабавна видимост във всички системи за минути.

Papertrail се предлага в рамките на няколко плана, включително безплатен план. Той е донякъде ограничен и позволява само 50 MB дневници всеки месец. Това обаче ще ви позволи 16 GB дневници през първия месец, което е еквивалентно на безплатна и неограничена 30-дневна пробна версия. Платените планове започват от $ 7 / месец за 1GB / месец от регистрационни файлове, 1 година архив и 1 седмица индекс. Планът от 75 долара на месец с 8 GB трупи е най-популярен. Шумовото филтриране позволява на инструмента да запазва данни, като не запазва безполезни дневници.

4. PRTG Network Monitor

Най- PRTG Network Monitor от Paessler AG е интегрирана цялостна система за наблюдение, която може да се използва за наблюдение на почти всичко, благодарение на интелигентната си сензорна архитектура. Една от най-добрите характеристики на този продукт е фирмен клас със сигурност неговата скорост на настройка. Според Paessler, the PRTG Network Monitor може да се настрои само за няколко минути. Въпреки че може да не е толкова бърз за всички, той все още е един от най-лесните и бързи инструменти за мониторинг, който се създава благодарение на процеса на автоматично откриване.

Най- PRTG Network Monitor е богат на функции продукт. В основата си това е инструмент за мрежов мониторинг, който използва SNMP за анкетиране на устройства и показване на използваните интерфейси на хронологични графики. Въпреки това, чрез използването на допълнителни сензори, PRTG може да наблюдава почти всичко. Сензорите донякъде са подобни на добавките, само че са включени в продукта. И има налични сензори за различни сървъри, услуги и приложения. Като цяло, продуктът включва над 200 сензора.

За наблюдение и управление на дневника са на разположение два различни сензора. Най- Журнал на приложния програмен интерфейс на Windows сензорът улавя всички съобщения в журнала, които Windows генерира. Този сензор следи скоростта на лог съобщенията, а не тяхното съдържание и ще генерира аларма, ако скоростта на съобщенията в дневника на събитията достигне критичен праг.

Другият интересен сензор - Syslog приемник сензор, приема, следи и запазва системни съобщения от всяко устройство. Въпреки това няма да се събират само трупи от различни източници. Неговата функционалност за наблюдение ще задейства аларми, когато възникнат тревожни условия, като например увеличаване на скоростта на приемане на журнала.

Най- PRTG Network Monitor се предлага в две версии. Безплатната версия е пълнофункционална, но ще ограничи способността ви за наблюдение до 100 сензора. Когато използвате SNMP, всеки наблюдаван параметър се счита за един сензор. Например, ако наблюдавате два интерфейса на рутер, той ще се счита за два сензора. Всеки екземпляр от конкретен сензор за наблюдение също се счита за един. Ако имате нужда от повече от 100 сензора, ще трябва да закупите лиценз, който започва от $ 1 600 за 500 сензора. Налична е безплатна, неограничена от сензора и пълнофункционална пробна версия за 30 дни.

5. ManageEngine EventLog Analyzer

ManageEngine е друг известен производител на инструменти за мрежово администриране сред ИТ специалистите. Компанията предлага система за управление на лога, наречена ManageEngine EventLog Analyzer. Продуктът събира, управлява, анализира, корелира и търси чрез данните от дневника на над 700 източника, използвайки комбинация или събиране на журнали, базирани на агент и агент, както и импортиране на журнали.

Най- ManageEngine EventLog AnalyzerКапацитетът е впечатляващ Той може да обработва данни в лога със скорост до 25 000 лога / секунда и да открива атаки в реално време. Инструментът също така може бързо да извърши криминалистичен анализ, като по този начин намали потенциалното въздействие на нарушение. Възможностите за одит на системата се простират до дневниците на мрежовите устройства по периметъра, дейностите на потребителите, промените в акаунта на сървъра, достъпа на потребители и други, като ви помагат да посрещнете нуждите от одит на сигурност.

Корелацията на журнала на събития в реално време на инструмента моментално открива опити за атака и проследява потенциални заплахи за сигурността чрез корелация регистрационни данни с над 30 предварително определени правила за откриване на груби атаки, блокиране на акаунти, кражба на данни, атаки на уеб сървъри и много Повече ▼. Той също така разполага с потребителски анализатор на лога, който може да извлича полета от всеки читаем от човешки формат журнал. Продуктът наистина предоставя една конзола за преглед на всички ваши данни от дневника за сигурност.

Най- ManageEngine EventLog Analyzer е наличен в безплатно намалено от функционалността безплатно издание, което поддържа само 5 източника на журнали или в премиум издание, което започва от $ 595 и варира в зависимост от броя на устройствата и приложенията. Налична е и безплатна, пълнофункционална 30-дневна пробна версия.

6. Graylog

Graylog е безплатна, с отворен код платформа за управление на журнали с много интересни функции. Инструментът може да анализира и обогати дневници и данни за събития от почти всеки източник на данни. Неговите тръбопроводи за обработка позволяват известна гъвкавост при маршрутизиране, черен списък, промяна и обогатяване на съобщения в реално време. Инструментът ще търси чрез терабайти от лог данни, за да открие и анализира важна информация. Неговият мощен и по-скоро уникален синтаксис за търсене ви позволява да намерите точно това, което търсите.

с Graylog, имате възможност да създавате персонализирани табла за управление, които ви позволяват да визуализирате конкретни показатели и да наблюдавате тенденциите от едно централно място. Можете да използвате полеви статистики, бързи стойности и диаграми от страницата с резултати от търсенето, за да разгледате по-задълбочен анализ на вашите данни. В допълнение, продуктът предлага възможност за задействане на действия или издаване на известия при събития като например неуспешни опити за влизане, изключения или влошаване на производителността.

Graylog се предлага или като безплатна и с отворен код, ограничена версия, която също има ограничена поддръжка. Има и корпоративна версия с разширени функции и неограничена поддръжка. Той също е безплатен за до 5GB дневници на ден. В зависимост от това колко голяма и натоварена е вашата мрежа. Може да е достатъчно за вашата нужда. Цените на лиценза и поддръжката могат да бъдат получени като се свържете Graylog продажби.

7. WhatsUp Log Management Suite

Най- WhatsUp Log Management Suite е отличен инструмент от Ipswitch. Ipswitch, има ли нужда да ви напомня, е компанията зад WhatsUp Gold, супер популярният инструмент за мониторинг на мрежата. Този е автоматизиран инструмент, който събира, съхранява, архивира и записва системни дневници, събития на Windows и W3C / IIC. Не само агрегиращите регистрационни файлове и събития, обаче, непрекъснатото му наблюдение и анализ на журнала ще ви предупреди за всякакви необичайни дейности.

Най- WhatsUp Log Management Suite ще следват често одитирани събития като права за достъп и привилегии за файлове, папки и обекти и ще генерират сигнали при необходимост. Той също така използва събраните събития за изграждане на доклади за съответствие за HIPAA, SOX, FISMA, PCI, MiFID или Basel II. Този софтуер може също да ви помогне да трансформирате вашите сурови данни от дневници в значима информация за мениджъри или ИТ екипи за сигурност, използвайки мощното им автоматизирано филтриране, съпоставяне, отчитане и преобразуване Характеристика.

Най- WhatsUp Log Management Suite всъщност е набор от приложения, които включват следните инструменти:

• Архиватор на събития: Този инструмент автоматизира събирането, изчистването и консолидирането на журнали.
• Аларма за събитие: Инструмент за наблюдение на лог файлове и получаване на известие в реално време за ключови събития.
• Event Analyst: Анализи и отчети за данните и тенденциите в дневника; автоматично разпространява отчети на ръководството, служителите по сигурността, одиторите и други заинтересовани страни.
• Събития Ровър: Унифицирана конзола за задълбочена криминалистика на всички сървъри и работни станции за повишаване на ефективността и спестяване на време.

Информация за цените на Log Suite Suite не е лесно достъпна от Ipswitch. Продуктът може да бъде закупен директно от издателя или чрез дистрибуторската мрежа на Ipswitch. Безплатна пробна версия също е налична.

8. LogDNA

Казва се, че LogDNA е „най-бързата, интуитивна и рентабилна система за управление на журнали”. Това е вярно. Още от самото начало инсталацията на продукта отнема само няколко минути, преди да започнете да събирате и наблюдавате регистрационни файлове. Без значение как се генерират и предават регистрационни файлове, стотици персонализирани схеми за интегриране са достъпни в продукта, за да ви помогнат да централизирате регистрационните файлове на едно място.

LogDNA се предлага или в облачна или в хост версия, в зависимост от вашите предпочитания. Това е силно мащабируем продукт, който може да обработва стотици хиляди дневници в секунда и десетки терабайти на ден, като същевременно предлага максимална сигурност, както и анализ на дневника в реално време. Както компанията, така и нейните продукти са съвместими със SOC2, PCI и HIPAA, както и със сертификат за защита на личните данни.

Простият модел на ценообразуване за плащане на GB на LogDNA елиминира договорите и фиксираните разпределения на данни, което прави една от най-ниските общи разходи за притежание на всяко платено решение за мониторинг и управление на журнала. Налични са няколко абонаментни планове с увеличаващи се функции. Планът на най-ниското ниво е безплатен, а цените за платените планове варират от $ 1,50 / GB / месец до $ 3 / GB / месец в зависимост от продължителността на задържане и броя на потребителите. Предлага се и безплатна, пълнофункционална и неограничена 14-дневна пробна версия.