El mejor software de administración de registros para una resolución de problemas más rápida

Los sistemas actuales están generando muchos datos de registro. En muchas plataformas, cada evento, importante o no, se registra en alguna parte. Por lo general, los registros se almacenan localmente. Esto tiene sentido ya que los registros están vinculados a su fuente. Pero al tratar de solucionar problemas y encontrar su causa raíz, eso a menudo significa que tenemos que mirar múltiples archivos de registro en numerosos dispositivos. ¿No sería bueno si todos los registros de todos los dispositivos se almacenaran en un solo lugar? La gestión de registros es eso y mucho más, como está a punto de descubrir. Y hoy, estamos revisando los principales sistemas de administración de registros.

Comenzaremos tratando de explicar qué es la administración de registros. Como verá, puede ser mucho más que centralizar el almacenamiento de registros. A continuación, hablaremos sobre los protocolos de registro. Es bastante importante ya que la administración de registros probablemente no existiría sin ellos. Luego trataremos de diferenciar los servidores de syslog de los sistemas de administración de registros. Desafortunadamente, no hay una demarcación clara entre ellos. Seguiremos con una discusión sobre los sistemas de información de seguridad y gestión de eventos porque este es otro tipo de sistema que a menudo se confunde con la gestión de registros, gracias a la definición algo poco clara de cada. Y finalmente, revisaremos los ocho principales sistemas de administración de registros que pudimos encontrar.

Gestión de registros: qué es

Antes de que podamos hablar sobre la administración de registros, veamos qué es un registro. Simplemente definido, un registro es la documentación de los eventos relevantes para un sistema en particular, producida automáticamente y con sello de tiempo. Cada vez que se produce un evento en un sistema, se genera un registro. Los diferentes sistemas generarán registros para diferentes eventos y muchos sistemas les dan a los administradores cierto grado de control sobre lo que genera un registro y lo que no.

Cuando hablamos de gestión de registros, nos referimos a los procesos y políticas utilizados para administrar y Facilitar la generación, transmisión, análisis, almacenamiento, archivo y eliminación final de grandes volúmenes de registro. datos. La gestión de registros implica un sistema centralizado donde se recopilan registros de múltiples fuentes.

Pero la gestión de registros no es solo la recopilación de registros. La parte de gestión es la más importante. Los sistemas de gestión de registros suelen tener múltiples funcionalidades, y la recopilación de registros es solo una de ellas.

Una vez que el sistema de gestión de registros recibe los registros, deben "traducirse" a un formato común. Los diferentes sistemas dan formato a los registros de manera diferente e incluyen datos diferentes en sus registros. Algunos comienzan un registro con la fecha y la hora, algunos lo inician con un número de evento. Algunos solo incluyen una ID de registro, mientras que otros incluyen una descripción textual completa del evento. Uno de los propósitos de los sistemas de gestión de registros es garantizar que todas las entradas de registro recopiladas se almacenen en un formato uniforme. Esto hará que la búsqueda y la correlación de eventos sean mucho más fáciles en el futuro.

Hablando de búsqueda e incluso de correlación, esta es otra función importante de muchos sistemas de gestión de registros. Algunos de ellos cuentan con un potente motor de búsqueda que permite a los administradores concentrarse exactamente en lo que necesitan. Las funciones de correlación agruparán automáticamente los eventos relacionados, incluso si son de diferentes fuentes. Cómo y con qué éxito logran diferentes sistemas de gestión de registros que es un factor diferenciador importante.

Protocolos de registro

La gestión de registros sería mucho más difícil, si es posible, si no fuera por los protocolos de registro. Existen algunos de ellos que definen qué datos se incluirán en los registros, cómo se debe formatear y cómo se deben transmitir entre los sistemas.

Syslog es posiblemente el protocolo de registro más utilizado. Inventado a principios de los años ochenta, se ha convertido en el estándar de facto para sistemas tipo Unix. Uno de los mayores activos del protocolo syslog es cómo separa el software que genera registros, el sistema que los almacena y el software que los informa y analiza. El uso del protocolo Syslog hace que la administración de registros sea mucho más fácil. Muchos dispositivos que no son de Unix, como conmutadores, enrutadores y otros equipos de red de muchos proveedores, utilizan una variante del protocolo syslog.

Microsoft Windows, como habrás adivinado, usa un sistema de registro diferente. Es posible que tenga que ver con el hecho de que los sistemas operativos y las aplicaciones de Windows tienen registros que generalmente contienen mucha más información que la permitida por syslog. Afortunadamente, las funciones de Windows Event Collector proporcionan un medio para que los sistemas de administración de registros puedan usar para recibir eventos de los hosts de Windows.

No importa qué protocolo de registro se use, una parte importante de la administración de registros es configurar dispositivos para enviar sus registros al sistema de administración. Esto es diferente de otras herramientas como los sistemas de monitoreo de red, donde la herramienta obtiene datos de los hosts.

Servidores de registro vs gestión de registro

Dado que ha estado disponible en todos los sistemas tipo Unix durante bastante tiempo, Syslog se usa a menudo como un servidor de registro con una computadora que recibe datos de syslog de varios otros. Si bien este almacenamiento centralizado de registros tiene ventajas definitivas, no es la administración de registros.

Para merecer el nombre del Sistema de gestión de registros, un producto debe incluir al menos algunas de las funciones más avanzadas. Según Wikipedia, la gestión de registros se compone de las siguientes funciones: recopilación de registros, centralizada agregación de registros, almacenamiento y retención de registros a largo plazo, rotación de registros, análisis de registros, búsqueda de registros e informes. Los servidores de registro a menudo solo ofrecen la recopilación y el almacenamiento de registros y rara vez más que eso. Cada uno de los sistemas de administración de registros en nuestra lista principal ofrece al menos algunas de las funciones más avanzadas.

¿Qué hay de los sistemas SIEM?

Otra tecnología popular que a menudo se asocia con los registros y se confunde con los sistemas de administración de registros es Información de seguridad y gestión de eventos, o SIEM. Esto es bastante diferente de la gestión de registros, aunque está estrechamente relacionado. De hecho, algunos productos anunciados como sistemas de gestión de registros son en realidad sistemas SIEM, mientras que algunos sistemas básicos SIEM no son más que sistemas de gestión de registros.

La razón principal de esa confusión es que la gestión de registros, o al menos el análisis de registros, es un componente importante de los sistemas SIEM. De hecho, los sistemas SIEM generalmente llevan la administración de registros al siguiente nivel al agregar algo de inteligencia al proceso. Estos sistemas realizan análisis de registros con el objetivo final de identificar problemas de seguridad. Por ejemplo, buscarán signos de inicios de sesión fallidos que indiquen un intento de intrusión no autorizado. Estos sistemas escanearán automáticamente las entradas de registro en busca de algo inusual.

Los sistemas SIEM tienen más que ver con la seguridad de TI que con la administración de TI y, si bien algunos incluyen una extensa administración de registros características, muchos también pueden usar un sistema externo de administración de registros y no es raro ver que ambos sistemas se ejecutan uno al lado del otro lado.

El mejor software de gestión de registros

Ahora que tenemos una comprensión común de lo que es y lo que no es la administración de registros, echemos un vistazo a lo que está disponible. Hemos buscado en el mercado algunos de los mejores sistemas de administración de registros. Nuestro hallazgo inicial es que hay muchos de ellos y muchos de ellos muy buenos. Pero solo tenemos mucho espacio, así que estamos a punto de revisar los ocho más interesantes que pudimos encontrar.

SolarWinds es un nombre común en el campo de las herramientas de administración de red. Ha existido durante casi 20 años y nos ha traído uno de los mejores monitoreo de ancho de banda herramientas y uno de los mejores Analizadores y colectores de NetFlow. La compañía también es conocida por publicar varias herramientas gratuitas que abordan algunas necesidades específicas de los administradores de red, como calculadora de subred o un servidor syslog.

Hace unos años, SolarWinds adquirió Rastro de papel, un popular sistema de gestión de registros. Agrega archivos de registro de una amplia variedad de productos populares como Apache o MySQL, así como aplicaciones de Ruby on Rails, diferentes servicios de alojamiento en la nube y otros archivos de registro de texto estándar. Rastro de papel los usuarios pueden usar la interfaz de búsqueda basada en la web o las herramientas de línea de comandos para buscar a través de estos archivos para ayudar a diagnosticar errores y problemas de rendimiento. Rastro de papel También se integra con otros productos de SolarWinds como Librato y Geckoboard para obtener resultados gráficos.

Rastro de papel es una oferta de software como servicio (SaaS) basada en la nube de SolarWinds. Es fácil de implementar, usar y comprender. Y le dará visibilidad instantánea en todos los sistemas en minutos. La herramienta tiene un motor de búsqueda muy efectivo que puede buscar registros almacenados y de transmisión. Y es a la velocidad del rayo.

Rastro de papel está disponible en varios planes, incluido un plan gratuito. Sin embargo, es algo limitado y solo permite 100 MB de registros cada mes. Sin embargo, permitirá 16 GB de registros en el primer mes, lo que equivale a darle una prueba gratuita de 30 días. Los planes pagados comienzan en $ 7 / mes por 1GB / mes de registros, 1 año de archivo y 1 semana de índice. El filtrado de ruido permite que la herramienta conserve los datos al no guardar registros inútiles.

Nuestra próxima entrada es otro producto de SolarWinds llamado Vientos solares Administrador de registro y eventos. Al contrario de nuestra entrada anterior, este es un producto instalado localmente. Y también es mucho más que un simple sistema de gestión de registros. Muchas de las características avanzadas de este producto lo colocan en la gama SIEM. Tiene correlación de venteo en tiempo real y remediación en tiempo real, por ejemplo.

Aquí hay una descripción general de Administrador de registro y eventos de SolarWindsLas principales características. Elimina las amenazas rápidamente mediante la detección instantánea de actividad sospechosa y respuestas automáticas. También puede realizar investigaciones de eventos de seguridad y análisis forenses para mitigación y cumplimiento. Y hablando de cumplimiento, el producto le permitirá demostrarlo, gracias a sus informes comprobados de auditoría para HIPAA, PCI DSS y SOX, entre otros. Esta herramienta también tiene monitoreo de integridad de archivos y monitoreo de dispositivos USB, dos características que están muy por encima de lo que comúnmente vemos en los sistemas de administración de registros.

Precios para el Administrador de registro y eventos de SolarWinds comienza en $ 4,585 por hasta 30 nodos monitoreados. Se pueden comprar licencias para hasta 2500 nodos haciendo que el producto sea altamente escalable. Y si desea verificar de forma práctica que el producto es adecuado para usted, está disponible una prueba gratuita de 30 días con todas las funciones.

3. ipswitch Log Management Suite

los Log Management Suite es una herramienta de Ipswitch, la misma compañía que nos trajo WhatsUp Gold, una herramienta de monitoreo de red inmensamente popular. Esta es una herramienta automatizada que recopila, almacena, archiva y guarda registros del sistema, eventos de Windows y registros W3C / IIC. Además, su vigilancia continua de registros lo alertará de cualquier actividad sospechosa.

Se pueden seguir eventos auditados con frecuencia, como los derechos de acceso y los privilegios de archivo, carpeta y objeto, generar alertas según sea necesario y se utilizan para crear informes de cumplimiento para HIPAA, SOX, FISMA, PCI, MiFID o Basilea II conformidad. La herramienta también puede ayudarlo a transformar sus datos de registro sin procesar en datos significativos para los gerentes o equipos de seguridad de TI, gracias a sus funciones automatizadas de filtrado, correlación, informes y conversión.

Información de precios para el Log Management Suite no está disponible en Ipswitch. El producto se puede comprar directamente del editor o a través de la red de revendedores de Ipswitch. Una versión de prueba gratuita también está disponible.

4. ManageEngine EventLog Analyzer

ManageEngine, otro nombre común con administrador de red, hace un excelente sistema de gestión de registros llamado ManageEngine EventLog Analyzer. El producto recopilará, administrará, analizará, correlacionará y buscará en los datos de registro de más de 700 fuentes utilizando una combinación de recopilación de registros sin agente y basada en agentes, así como la importación de registros.

La velocidad es uno de los ManageEngine EventLog AnalyzerLa fuerza Puede procesar datos de registro a unos impresionantes 25,000 registros / segundo y detectar ataques en tiempo real. También puede realizar análisis forenses rápidos para reducir el impacto de una violación. Las capacidades de auditoría del sistema se extienden a los registros de los dispositivos del perímetro de la red, las actividades de los usuarios, los cambios en la cuenta del servidor, los accesos de los usuarios y más, lo que le ayuda a satisfacer las necesidades de auditoría de seguridad.

los ManageEngine EventLog Analyzer está disponible en una edición gratuita con funciones reducidas que solo admite 5 fuentes de registro o en una edición premium que comienza en $ 595 y varía según la cantidad de dispositivos y aplicaciones. También está disponible una versión de prueba gratuita de 30 días con todas las funciones.

5. Nagios Log Server

Nagios es mejor conocido por su excelente software de monitoreo de red pero su servidor de registro es posiblemente igual de interesante. Acertadamente llamado el Nagios Log Server, ofrece gestión centralizada de registros, monitoreo y análisis. los Nagios Log Server simplifica el proceso de búsqueda de sus datos de registro. También le permite configurar alertas para recibir notificaciones de posibles amenazas. Además, el software tiene una alta disponibilidad y recuperación de fallas incorporadas. Sus fáciles asistentes de configuración de fuente lo ayudarán a configurar rápidamente los servidores para enviar todos los datos de registro y comenzar a monitorear sus registros en minutos.

los Nagios Log Server le permite correlacionar fácilmente los eventos de registro en todos los servidores con solo unos pocos clics. Y le permite ver datos de registro en tiempo real, lo que le permite analizar y resolver problemas a medida que ocurren. El producto presenta una escalabilidad impresionante y continuará satisfaciendo sus necesidades a medida que su organización crezca. Adicional Nagios Log Server Se pueden agregar instancias a un clúster de monitoreo, lo que le permite agregar rápidamente más potencia, velocidad, almacenamiento y confiabilidad.

El precio de instancia única para Nagios Log Server cuesta $ 3 995 y, aunque parece que no hay una versión de prueba gratuita disponible, una demostración gratuita en línea es si prefiere echar un vistazo de primera mano al producto.

6. Administrador de registro de lógica de alerta

El enfoque principal de Alert Logic es la seguridad y el cumplimiento. Y dado que la gestión de registros está estrechamente relacionada con ambos, no sorprende que la empresa ofrezca Administrador de registro de lógica de alerta. Esta herramienta basada en la nube ofrece administración de registros automatizada y unificada en todos sus entornos. Recopilará, agregará y buscará datos de registro de la nube, el servidor, la aplicación, la seguridad y los activos de red.

los Administrador de registro de lógica de alerta incluye monitoreo y análisis de registros, así como la revisión de registros que se realiza en vivo por analizadores humanos. Los expertos de Alert Logic lo alertarán de una posible actividad de amenaza los 365 días del año. El servicio también ayudará a cumplir con los requisitos de revisión de registros de SOC 2, HIPAA y SOX y descargará la carga de revisar registros y hacer un seguimiento de los eventos, para cumplir con PCI / DSS 10.6, 10.6.1, 10.6.3

Información de precios para el Administrador de registro de lógica de alerta no está disponible en la web y deberá comunicarse con las ventas de Alert Logic para obtener un presupuesto formal. Una prueba gratuita tampoco está disponible, pero se puede organizar una demostración gratuita poniéndose en contacto con Alert Logic.

7. LogDNA

Fundado en 2015, LogDNAes el nuevo chico de la cuadra. La compañía afirma que "LogDNA es el sistema de gestión de registros más rápido, intuitivo y rentable ”. Todo comienza con la instalación, que toma solo un par de minutos antes de que pueda comenzar a monitorear sus registros. No importa cómo se generen y transmitan los registros, hay cientos de esquemas de integración personalizados disponibles para centralizar los registros en un solo panel.

LogDNA puede estar basado en la nube o autohospedado, según su preferencia. Es altamente escalable y puede manejar cientos de miles de registros por segundo y docenas de terabytes por cliente, por día en total seguridad con análisis de registros en tiempo real. La compañía y sus productos son compatibles con SOC2, PCI e HIPAA, así como con la certificación Privacy Shield.

Con su modelo de precio simple de pago por GB que elimina los contratos y los segmentos de datos fijos, la compañía tiene uno de los costos totales de propiedad más bajos. Varios planes de suscripción están disponibles con características crecientes. El plan de nivel inferior es gratuito y los planes pagos varían de $ 1.50 / GB / mes a $ 3 / GB / mes, dependiendo de la duración de la retención y la cantidad de usuarios. También está disponible una prueba gratuita de 14 días con todas las funciones.

8. Graylog

El último en nuestra lista es un producto llamado Graylog. El producto ofrece muchas características interesantes. La herramienta analizará y enriquecerá registros y datos de eventos desde cualquier fuente de datos. Sus canales de procesamiento permiten cierta flexibilidad en el enrutamiento, las listas negras, la modificación y el enriquecimiento de mensajes en tiempo real. Graylog buscará a través de terabytes de datos de registro para descubrir y analizar información importante. La potente sintaxis de búsqueda le permite encontrar exactamente lo que está buscando.

Con Graylog, puede crear paneles para visualizar métricas y observar tendencias en una ubicación central. Puede usar estadísticas de campo, valores rápidos y gráficos desde la página de resultados de búsqueda para sumergirse en un análisis más profundo de sus datos. El sistema también tiene la opción de activar acciones o emitir notificaciones sobre eventos tales como intentos fallidos de inicio de sesión, excepciones o degradación del rendimiento.

Graylog está disponible como una versión gratuita y de código abierto, con características limitadas que también tiene soporte limitado o como una versión empresarial con características extendidas y soporte ilimitado. También se puede obtener una licencia de prueba contactando Graylog ventas.