6 besten Protokollverwaltungstools für Linux im Jahr 2020

Angesichts der heutigen Systeme, die eine Menge Protokolldaten generieren, ist es keine Überraschung, dass Administratoren immer nach Protokollverwaltungslösungen suchen. Protokolle werden standardmäßig häufig lokal gespeichert. Dies ist sinnvoll, da es einfach ist, sie mit ihrer Quelle zu verknüpfen. Wenn wir jedoch versuchen, Probleme zu beheben und ihre Grundursache zu finden, müssen wir manchmal mehrere Protokolldateien auf zahlreichen Geräten untersuchen. Wäre es nicht schön, wenn alle Protokolle aller Geräte an einem zentralen Ort gespeichert würden? Dies ist der Zweck von Protokollverwaltung. Und wenn Ihre bevorzugte Plattform Linux ist, stehen zahlreiche Optionen zur Verfügung. Lesen Sie weiter, während wir einige der besten Protokollverwaltungen für Linux entdecken

Zunächst definieren wir die Protokollverwaltung. Sie werden sehen, dass dies weit mehr sein kann als nur die Zentralisierung des Protokollspeichers. Als nächstes werden wir diskutieren verschiedene Protokollierungstechnologien

. Sie sind der Eckpfeiler der Protokollverwaltung und würden ohne sie wahrscheinlich nicht existieren. Weiter werden wir Syslog-Server von Protokollverwaltungssystemen unterscheiden und feststellen, dass es keine klare Abgrenzung zwischen ihnen gibt. Als nächstes machen wir eine kurze Pause und diskutieren Sicherheitsinformations- und Ereignisverwaltungssysteme. Sie sind eine andere Art von System, die aufgrund der etwas unklaren Definition der einzelnen Systeme häufig mit der Protokollverwaltung verwechselt wird. Und schließlich werden wir die beste Protokollverwaltung für Linux überprüfen.

Was ist Protokollverwaltung?

Bevor wir über die Protokollverwaltung sprechen können, definieren wir, was ein Protokoll ist. Ein Protokoll ist einfach definiert die automatisch erstellte und mit einem Zeitstempel versehene Dokumentation eines Ereignisses, das für ein bestimmtes System relevant ist. Mit anderen Worten, wenn ein Ereignis auf einem System stattfindet, wird ein Protokoll generiert. Systeme und Geräte generieren Protokolle für verschiedene Arten von Ereignissen, und viele Systeme geben Administratoren ein gewisses Maß an Kontrolle darüber, welches Ereignis ein Protokoll generiert und welches nicht.

Die Protokollverwaltung bezieht sich lediglich auf die Prozesse und Richtlinien, die zur Verwaltung und Erleichterung verwendet werden die Erzeugung, Übertragung, Analyse, Speicherung, Archivierung und eventuelle Entsorgung großer Mengen von Protokolldaten. Obwohl nicht klar angegeben, impliziert die Protokollverwaltung ein zentrales System, in dem Protokolle aus mehreren Quellen gesammelt werden. Die Protokollverwaltung ist jedoch nicht nur eine Protokollsammlung. Es ist der Management-Teil, der am wichtigsten ist. Und Protokollverwaltungssysteme verfügen häufig über mehrere Funktionen, wobei das Sammeln von Protokollen nur eine davon ist.

Sobald Protokolle vom Protokollverwaltungssystem empfangen wurden, müssen sie in ein gemeinsames Format standardisiert werden, da unterschiedliche Systeme Protokolle unterschiedlich formatieren und unterschiedliche Daten enthalten. Einige beginnen ein Protokoll mit Datum und Uhrzeit, andere mit einer Ereignisnummer. Einige enthalten nur eine Ereignis-ID, während andere eine Volltextbeschreibung des Ereignisses enthalten. Ein Zweck von Protokollverwaltungssystemen besteht darin, sicherzustellen, dass alle gesammelten Protokolleinträge in einem einheitlichen Format gespeichert werden. Dies erleichtert die Ereigniskorrelation und die eventuelle Suche auf der ganzen Linie erheblich.

Sogar Korrelation und Suche sind zwei zusätzliche Hauptfunktionen mehrerer Protokollverwaltungssysteme. Die besten von ihnen verfügen über eine leistungsstarke Suchmaschine, mit der Administratoren genau das finden können, was sie benötigen. Korrelationsfunktionen gruppieren automatisch verwandte Ereignisse, auch wenn sie aus verschiedenen Quellen stammen. Wie und wie erfolgreich verschiedene Protokollverwaltungssysteme dies erreichen, ist ein wesentlicher Differenzierungsfaktor.

LESEN SIE AUCH:15 besten Tools zur Netzwerküberwachung (unser eigener Test)

Protokollierungstechnologien

Die Protokollverwaltung wäre viel schwieriger, vielleicht sogar nicht möglich, wenn es keine Protokollierungsprotokolle gäbe. Einige von ihnen existieren. Sie definieren, welche Daten in Protokollen enthalten sein sollen, wie diese formatiert werden sollen und manchmal wie sie zwischen Systemen übertragen werden sollen.

Syslog ist wohl das am häufigsten verwendete Protokollierungsprotokollvor allem in der Linux-Welt. Die Technologie wurde Anfang der achtziger Jahre erfunden und ist zum De-facto-Standard für alle Unix-ähnlichen Systeme geworden. Einer der größten Vorteile der Syslog-Technologie besteht darin, wie sie die Trennung zwischen den Systemen erleichtert oder Software, die Protokolle generiert, das System, das sie speichert, und die Software, die Berichte erstellt und analysiert Sie. Die Verwendung der Syslog-Technologie erleichtert die Protokollverwaltung erheblich. Und Syslog ist nicht exklusiv für Unix. Viele Nicht-Unix-Geräte wie Switches, Router und alle Arten von Geräten vieler Anbieter verwenden eine Variante des Syslog-Protokolls.

Es gibt andere Protokollierungstechnologien. Microsoft Windows verwendet beispielsweise ein anderes Protokollierungssystem. Dies hat möglicherweise damit zu tun, dass Windows-Betriebssysteme und -Anwendungen Protokolle enthalten, die normalerweise detailliertere Informationen enthalten, als es die Syslog-Technologie zulässt. Glücklicherweise bieten die Windows Event Collector-Funktionen ein Mittel für die Protokollverwaltung, mit dem verschiedene Systeme Ereignisse von Windows-Hosts empfangen können. In diesem Beitrag geht es um die Verwaltung von Linux-Protokollen. Verschwenden Sie also nicht zu viel Zeit unter Windows.

Unabhängig davon, welche Protokollierungstechnologie verwendet wird, besteht ein wichtiger Teil der Protokollverwaltung darin, Geräte so zu konfigurieren, dass ihre Protokolle an das Verwaltungssystem gesendet werden. Andere Arten von Werkzeugen wie Netzwerküberwachungssysteme kann Daten von den von ihnen überwachten Systemen abrufen, aber bei der Protokollverwaltung muss jedem Gerät mitgeteilt werden, wohin seine Protokolle gesendet werden sollen. Es ist jedoch eine relativ einfache Aufgabe, die häufig durch Ausgabe eines einfachen Befehls ausgeführt wird.

WEITERE LESUNG:Beste Software für die Zuordnung und Topologie von Netzwerkdiagrammen

Protokollserver oder Protokollverwaltung?

Da Syslog seit einiger Zeit auf jedem Unix-ähnlichen System - einschließlich Linux - verfügbar ist, wird Syslog häufig als Protokollserver verwendet, wobei ein Computer Syslog-Daten von mehreren anderen empfängt. Diese zentralisierte Speicherung von Protokollen hat zwar bestimmte Vorteile, reicht jedoch nicht aus, um als Protokollverwaltung bezeichnet zu werden.

Um den Namen Log Management System zu verdienen, muss ein Produkt mindestens einige der erweiterten Funktionen enthalten. Laut Wikipedia umfasst „die Protokollverwaltung die folgenden Funktionen: Protokollsammlung, zentralisiert Protokollaggregation, langfristige Protokollspeicherung und -aufbewahrung, Protokollrotation, Protokollanalyse, Protokollsuche und Berichterstellung “. Beeindruckend! Das ist eine Menge Funktionalität. Protokollserver hingegen bieten häufig nur die Protokollsammlung und -speicherung an und selten mehr.

Ein Wort (oder zwei) über SIEM

Eine weitere beliebte Technologie, die mit Protokollen verknüpft und häufig mit Protokollverwaltungssystemen verwechselt wird, ist das Sicherheitsinformations- und Ereignismanagement (SIEM). Dies unterscheidet sich von der Protokollverwaltung, ist jedoch eng miteinander verbunden. Die Linie zwischen ihnen ist so dünn, dass einige Produkte, die als Protokollverwaltungssysteme beworben werden, tatsächlich SIEM-Systeme sind, während einige grundlegende SIEM-Systeme nichts anderes als fortschrittliche Protokollverwaltungssysteme sind.

Die Verwirrung ergibt sich aus der Tatsache, dass die Protokollverwaltung - oder zumindest die Protokollanalyse - ein wichtiger Bestandteil von SIEM-Systemen ist. Was SIEM-Systeme auszeichnet, ist, dass sie eine Protokollanalyse durchführen, um letztendlich Sicherheitsprobleme zu identifizieren. Sie werden zum Beispiel nach Anzeichen für erfolglose Anmeldungen suchen, die ein verräterisches Zeichen für eine sein könnten unbefugter Eindringversuch. Diese Systeme scannen kontinuierlich Protokolleinträge auf der Suche nach etwas Außergewöhnlichem. Während einige SIEM-Systeme umfangreiche Protokollverwaltungsfunktionen enthalten, verwenden einige ein externes Protokollverwaltungssystem, und es ist nicht ungewöhnlich, dass beide Systeme nebeneinander ausgeführt werden.

VERWANDTE LESUNG:Beste IP-Scanner für Mac

Die beste Protokollverwaltung für Linux

Hoffentlich haben wir jetzt ein gemeinsames Verständnis dafür, was Protokollverwaltung ist und was nicht. Schauen wir uns also an, was für Linux verfügbar ist. Aber lassen Sie uns zuerst etwas klarstellen. Unter Linux-Protokollverwaltung verstehen wir Protokollverwaltungssysteme, die Linux-Protokolle aufnehmen können und entweder auf der Linux-Plattform oder in der Cloud ausgeführt werden. Einige unserer Auswahlen - insbesondere Cloud-basierte Systeme - funktionieren auch mit Protokollen von anderen Plattformen.

SolarWinds ist unter Netzwerkadministratoren ein bekannter Name geworden. Es stellt einige der besten Tools seit fast 20 Jahren her und bringt uns großartige Tools zur Bandbreitenüberwachung und einen der besten NetFlow-Analysatoren und -Sammler. Das Unternehmen ist auch dafür bekannt, mehrere kostenlose Tools zu veröffentlichen, die bestimmte Anforderungen von Netzwerkadministratoren erfüllen, z. B. den Subnetzrechner oder einen Syslog-Server.

• KOSTENLOSER PLAN: SolarWinds Papertrail
• Offizieller Download-Link: https://papertrailapp.com/plans

Nicht so lange her, SolarWinds erworben Papier Spur, ein beliebtes Protokollverwaltungssystem. Es aggregiert Protokolldateien aus einer Vielzahl beliebter Produkte wie Apache oder MySQL sowie Ruby on Rails-Apps, verschiedenen Cloud-Hosting-Diensten und anderen Standard-Syslog- und textbasierten Protokolldateien. Papier Spur Benutzer können dann die webbasierte Suchoberfläche oder Befehlszeilentools verwenden, um diese Dateien zu durchsuchen und verschiedene Probleme zu diagnostizieren. Papertrail lässt sich auch in andere SolarWinds-Produkte wie Librato und Geckoboard integrieren, um die Ergebnisse grafisch darzustellen.

Papier Spur ist ein Cloud-basiertes SaaS-Angebot (Software as a Service) von SolarWinds. Cloud-basiert bedeutet, dass es in einer All-Linux-Umgebung gut funktioniert. Die Plattform ist einfach zu implementieren, zu verwenden und zu verstehen und bietet Ihnen innerhalb von Minuten sofortige Transparenz über alle Systeme hinweg. Darüber hinaus verfügt das Produkt über eine sehr effektive Suchmaschine, die sowohl gespeicherte als auch Streaming-Protokolle durchsuchen kann. Und es ist blitzschnell.

Papier Spur ist unter mehreren Plänen verfügbar, einschließlich eines kostenlosen Plans. Es ist jedoch etwas begrenzt und erlaubt nur 100 MB Protokolle pro Monat. Es werden jedoch 16 GB Protokolle im ersten Monat zugelassen, was entspricht Sie erhalten eine kostenlose 30-Tage-Testversion. Bezahlte Pläne beginnen bei 7 USD / Monat für 1 GB / Monat Protokolle, 1 Jahr Archiv und 1 Woche Index. Durch die Rauschfilterung kann das Tool Daten erhalten, indem keine nutzlosen Protokolle gespeichert werden.

Loggly ist ein weiterer Cloud-basierter Onlinedienst. In erster Linie ein Protokollkonsolidierer, bietet es auch Protokollanalysefunktionen. Da dieses System Cloud-basiert ist, erfordert es keine Installation und ist in dem Moment, in dem Sie es abonnieren, einsatzbereit. Natürlich müssen Ihre Systeme und Geräte so konfiguriert werden, dass ihre Standardprotokolldateien regelmäßig auf den Online-Server hochgeladen werden.

• KOSTENLOSE TESTPHASE: Loggly Pläne
• Offizieller Link: https://www.loggly.com

Loggly Anschließend werden die empfangenen Protokolldaten in ein Standardformat konvertiert, sodass der Analysator Datensätze aus verschiedenen Bereichen verarbeiten kann Quellen und Aktivierung der Ereignisverfolgung und -korrelation über alle Systeme hinweg, unabhängig von deren Betriebssystem oder Protokollierung Technologie. Die Quellen der Protokolldaten sind nicht auf Ihre lokalen Server beschränkt. Das System ist natürlich in der Lage, von Online-Servern wie Amazon AWS und Es kann Nachrichten enthalten, die von bestimmten Anwendungen wie Docker und Logstash erstellt wurden, um nur einen Namen zu nennen wenige.

Das Loggly Der Service ist unter drei verschiedenen Plänen verfügbar, wobei die Datenverarbeitungsgrenzen und die Aufbewahrungszeiten steigen. Sie müssen die richtige auswählen, um genügend Speicherplatz für Ihre Protokolldaten zu erhalten. Der Einstiegsplan heißt Loggly Lite. Es ist kostenlos zu benutzen. Im Rahmen dieses Plans können Sie 200 MB Protokolldaten pro Tag hochladen, und das System speichert jeden Datensatz sieben Tage lang. Als nächstes folgt der Standardplan, der Ihnen eine Upload-Berechtigung von 1 GB pro Tag bietet und Aufzeichnungen 30 Tage lang aufbewahrt. Mit bezahlten Plänen können Sie auch mehrere Benutzerkonten verwenden. Mit dem Standardpaket können Sie drei Benutzerkonten haben. Die oberste Stufe heißt Loggly Unternehmen. Die Anzahl der Benutzerkonten, die Sie einrichten können, ist unbegrenzt. Die Preise variieren je nach Höhe der Upload-Kapazität und der erforderlichen Aufbewahrungsdauer. Die Zahlung für alle bezahlten Pläne kann entweder monatlich oder jährlich erfolgen Im Standardplan ist eine kostenlose 14-Tage-Testversion verfügbar.

3. Splunk

Splunk ist ein in der Systemadministration bekanntes umfassendes Protokollverwaltungssystem für Linux, Mac OS und Windows. Einige halten es für mehr als nur ein grundlegendes Protokollverwaltungssystem, sondern für ein vollwertiges Intrusion Prevention-System. Das Produkt ist in drei Versionen erhältlich. Oben ist Splunk Enterprise Dies ist eher ein Netzwerkverwaltungssystem als nur ein Protokollverwaltungstool. Die Preise beginnen bei 173 US-Dollar pro Monat und Sie erhalten viele Funktionen.

Es gibt auch eine kostenlose Version von Splunk Dies ist im Grunde das gleiche Tool ohne einige der fortschrittlichsten Funktionen. Im Wesentlichen ist es auf die Analyse von Protokolldateien beschränkt. Sie können jede Ihrer Standardprotokolldateien eingeben oder Live-Daten über eine Datei an den Analysator senden. Die kostenlose Version hat einige Einschränkungen. Es kann beispielsweise nur ein Benutzerkonto haben und sein Datendurchsatz ist auf 500 MB Protokolle pro Tag begrenzt. Die Funktionen zum Sortieren und Filtern von Daten sind in Splunk integriert und erleichtern Ihnen die Fehlerbehebung. Mit diesen Funktionen können Sie Protokollsätze nach Datum teilen und jede Gruppe in neue Dateien schreiben. Tatsächlich ist diese Funktionalität sehr flexibel.

4. Nagios Log Server

Nagios ist am bekanntesten für seine hervorragende Netzwerküberwachungssoftware, aber sein Log Server ist genauso interessant. Das Produkt heißt einfach das Nagios Log Server und es bietet zentralisierte Protokollverwaltung, -überwachung und -analyse. Dieses Tool kann das Durchsuchen Ihrer Protokolldaten erheblich vereinfachen. Außerdem können Sie Warnungen festlegen, um über potenzielle Bedrohungen informiert zu werden. Darüber hinaus ist in die Software eine hohe Verfügbarkeit und ein Failover integriert. Darüber hinaus können Sie mit den einfachen Assistenten zum Einrichten von Quellen Server schnell konfigurieren, um alle Protokolldaten zu senden und Ihre Protokolle in wenigen Minuten zu überwachen.

Das Nagios Log Server ermöglicht eine einfache Korrelation von Protokollereignissen auf allen Servern mit nur wenigen Klicks. Mit dem System können Sie Protokolldaten in Echtzeit anzeigen und so auftretende Probleme analysieren und lösen. Das Produkt zeichnet sich durch eine beeindruckende Skalierbarkeit aus und wird Ihre Anforderungen auch dann erfüllen, wenn Ihr Unternehmen wächst. Zusätzlich Nagios Log Server Instanzen können einem Überwachungscluster hinzugefügt werden, sodass Sie schnell mehr Leistung, Geschwindigkeit, Speicher und Zuverlässigkeit hinzufügen können.

Der Einzelinstanzpreis für die Nagios Log Server kostet 3 995 US-Dollar, und obwohl eine kostenlose Testversion nicht verfügbar zu sein scheint, ist eine kostenlose Online-Demo verfügbar, falls Sie das Produkt lieber aus erster Hand betrachten möchten.

5. Graylog

Als nächstes steht auf unserer Liste ein Produkt namens Graylog. Das Produkt bietet viele interessante Funktionen. Das Tool analysiert und bereichert Protokolle und Ereignisdaten aus beliebigen Datenquellen. Die Verarbeitungspipelines ermöglichen eine gewisse Flexibilität beim Weiterleiten, Blacklisting, Ändern und Anreichern von Nachrichten in Echtzeit. Graylog durchsucht Terabyte an Protokolldaten, um wichtige Informationen zu ermitteln und zu analysieren. Mit der leistungsstarken Suchsyntax finden Sie genau das, wonach Sie suchen.

Mit Graylogkönnen Sie Dashboards erstellen, um Metriken zu visualisieren und Trends an einem zentralen Ort zu beobachten. Sie können Feldstatistiken, Schnellwerte und Diagramme auf der Suchergebnisseite verwenden, um eine eingehendere Analyse Ihrer Daten durchzuführen. Das System hat auch die Möglichkeit, Aktionen auszulösen oder Benachrichtigungen zu Ereignissen wie fehlgeschlagenen Anmeldeversuchen, Ausnahmen oder Leistungseinbußen auszugeben.

Graylog ist ein kostenloses Open-Source-System auf der Basis von Protokolldateien, das Ihnen viel mehr Funktionen bietet als nur ein Dienstprogramm zur Protokollarchivierung. Dieser Log Analyzer verfügt über eine grafische Benutzeroberfläche und kann unter Ubuntu, Debian, CentOS und SUSE Linux ausgeführt werden. Sie können es auch auf einer virtuellen Maschine unter Microsoft Windows ausführen und das Graylog-System unter Amazon AWS installieren.

6. ManageEngine EventLog Analyzer

ManageEngine, ein weiterer gebräuchlicher Name unter Netzwerkadministratoren, ist ein hervorragendes Protokollverwaltungssystem namens ManageEngine EventLog Analyzer. Das Produkt sammelt, verwaltet, analysiert, korreliert und durchsucht die Protokolldaten von über 700 Quellen mithilfe einer Kombination aus agentenloser und agentenbasierter Protokollsammlung sowie Protokollimport.

Geschwindigkeit ist eine der ManageEngine EventLog AnalyzerStärke. Es kann Protokolldaten mit beeindruckenden 25.000 Protokollen pro Sekunde verarbeiten und Angriffe in Echtzeit erkennen. Es kann auch eine schnelle forensische Analyse durchführen, um die Auswirkungen eines Verstoßes zu verringern. Die Überwachungsfunktionen des Systems erstrecken sich auf die Protokolle, Benutzeraktivitäten, Änderungen des Serverkontos, Benutzerzugriffe und mehr der Netzwerk-Perimetergeräte und helfen Ihnen, die Sicherheitsüberprüfungsanforderungen zu erfüllen.

Das ManageEngine EventLog Analyzer ist in einer funktionsreduzierten kostenlosen Edition erhältlich, die nur 5 Protokollquellen unterstützt, oder in einer Premium-Edition, die bei 595 US-Dollar beginnt und je nach Anzahl der Geräte und Anwendungen variiert. Eine kostenlose 30-Tage-Testversion mit vollem Funktionsumfang ist ebenfalls verfügbar.