Palgihalduse parimad tavad ja süsteemid

Logide haldamine võib olla keeruline ettevõtmine. Tüüpiline organisatsioon mitte ainult ei tekita neist palju, vaid pärineb ka mitmest allikast, millest igaüks võib olla erinevas vormingus ja sisaldab erinevat teavet. Järjekordse tellimuse tegemiseks millekski, mis võib kiiresti muutuda kaootiliseks, leiutati logihaldus. Täna vaatame logihalduse parimaid tavasid ja süsteeme. Loodame, et see aitab teil seda selgelt näha.

Alustame logihalduse lühikirjeldusega. Seejärel sukeldume otse logihalduse parimatesse tavadesse. Uurime, kas peaksite kasutama valmissüsteemi või tegema seda ise. Vaatame ka seda, mida ja mida mitte jälgida, millele järgnevad logi turvalisus ja säilitamine ning säilitamiskaalutlused. Ja enne mõne parimate logihaldussüsteemide ülevaatamist tutvume erinevate haldustega ülesanded, logide ülevaatamine ja hooldamine, andmeallikate korrelatsioon ja mõningane automatiseerimine kaalutlused.

Logi haldamise kohta

Lihtsamalt määratletud logi on konkreetse süsteemi jaoks asjakohase sündmuse automaatselt koostatud ja ajatemplitega dokumenteeritud dokument. Kui sündmus toimub süsteemis, genereeritakse logi või logikanne. Erinevad süsteemid genereerivad erinevate sündmuste jaoks logisid. Logi haldamise osas tähendab see üldiselt protsesse ja põhimõtteid, mida kasutatakse logiandmete genereerimise, edastamise, analüüsi ja säilitamise haldamiseks ja hõlbustamiseks. Logi haldamine tähendab tavaliselt tsentraliseeritud süsteemi, kus mitmest allikast pärit logid liidetakse.

Logi haldamine ei ole siiski ainult logikogumine. Nagu nimest järeldada võib, on juhtimisosa oluline. Kui logide haldussüsteem on logid kätte saanud, tõlgitakse need ühisesse vormingusse. See on vajalik, kuna erinevad süsteemid vormindavad logisid erinevalt ja hõlmavad logidesse erinevaid andmeid. Otsimise ja sündmuste korrelatsiooni lihtsamaks muutmiseks on logihaldussüsteemide eesmärk tagada, et kõiki kogutud logikirjeid hoitakse ühtses vormingus.

Rääkides otsimisest ja isegi korrelatsioonist, on see enamiku logihaldussüsteemide teine ​​peamine omadus. Parimatel logihaldussüsteemidel on võimas otsingumootor. See võimaldab administraatoritel sisestada täpselt vajaliku. Lisaks rühmitab sündmuste korrelatsioon seotud sündmused automaatselt, isegi kui need pärinevad erinevatest allikatest.

Palgihalduse parimad tavad

Logi haldamine on keeruline protsess, selle nimel pole palju võimalik ära teha. Selle keerukusega kaasneb oht, et teeme valesti. Selle vältimiseks oleme koostanud nimekirja parimatest logihalduse tavadest. Meie eesmärk on anda teile võimalikult palju teavet, et valida oma vajadustele parim logihaldussüsteem, kuid mis veelgi olulisem - sellest maksimaalselt kasu saada.

Logihaldussüsteem või DIY?

Mõnel põhjusel usuvad mõned inimesed, et saavad logihaldussüsteemi käsitsi rakendada. Kui olete nende inimeste seas, lõpetage kohe nalja tegemine. Kuigi seda on võimalik rakendada mingis vormis logihalduse käsitsi haldamisega kaaluvad nõutavad jõupingutused kaugelt üles tõelise logihaldussüsteemi rakendamiseks vajalikud pingutused. Ja kuna saadaval on mitu tasuta ja avatud lähtekoodiga tööriista, pole kuluargument õigustatud.

Peaaegu alati on mõistlik kasutada hallatud logimislahendust, mille on loonud, toetatud ja mastaapsed müüjad, selle asemel, et ise oma süsteemi välja ehitada. Nendega on tavaliselt vaja ainult ühendada oma allikad ja sihtkohad ning olete valmis süsteemi ja rakenduste logisid lihtsal viisil analüüsima. Logimisinfrastruktuuri väljaehitamise asemel võite vabalt kulutada rohkem aega jälgimisele ja logimisele.

Teades, mida jälgida (ja mida mitte)

Oluline on teada, mida logida, kuid veelgi olulisem on teada, mida mitte logida. See, et saate midagi logida, ei tähenda tingimata, et peaksite. Liiga palju logides ei tehta muud kui tegelikult oluliste andmete leidmise raskendamine. Lisaks lisab logide täiendav maht teie logide säilitamise ja haldamise protsesside keerukust ja kulusid. Enne logihaldusplatvormi juurutamist on oluline enne läbi mõelda, mis logitakse ja mida mitte. See hoiab ära kulukad vead ja võimaldab teil tööriista paremini mõõta.

Mõelge hoolikalt, mida te tegelikult logimiseks vajate. Tootmiskeskkonnad, mis on vastavuse või auditeerimise jaoks kriitilise tähtsusega, tuleks tõenäoliselt logida. Nii peaksid olema ka andmed, mis aitavad teil jõudlusprobleemide tõrkeotsingut, kasutajakogemusega seotud probleemide lahendamist või turbega seotud sündmuste jälgimist.

Ja vastupidi, on asju, mida te ei pea logima, näiteks testimiskeskkonnad, mis pole teie äriprotsesside oluline osa. Samuti on andmeid, mille valimisel mitte logida vastavuse või turvalisuse kaalutlustel. Näiteks kui kasutaja on lubanud raja jälgimiseta valiku, ei tohiks te selle kasutajaga seotud andmeid logida.

Logi turvalisuse ja säilitamise poliitika rakendamine

Logid võivad sisaldada tundlikke andmeid. Sel põhjusel peab teil olema logi turbepoliitika. See on hindamatu, näiteks tagades tundlike andmete anonüümseks muutmise või krüptimise. Samuti lubab logiandmete turvaline transportimine logihaldussüsteemidesse krüptitud transpordi kasutamist TLS või HTTPS abil kliendi ja serveri poolel.

Mis puudutab säilituspoliitikat, siis erinevatest allikatest või süsteemidest pärit logid võivad nõuda erinevaid säilitusaegu. Näiteks logid, mida kasutatakse peamiselt tõrkeotsinguks, võivad töötada suhteliselt lühikese säilitusajaga, näiteks mõni päev või isegi mõni tund. Teisest küljest nõuavad turvalisusega seotud logid või äritehingute logid pikemat säilitustähtaega, sageli õigusnormide järgimiseks. Seda arvesse võttes peaks teie säilituspoliitika olema paindlik ja kohandatav, sõltuvalt logi allikast või logi tüübist.

Logi säilitamisega seotud kaalutlused

Logiandmete hoidmiseks kulub väärtuslikku salvestusruumi. Palkide salvestusmahu kavandamisel peate arvestama kõrgete koormuste tippudega. Enamikul juhtudel on andmete logi arv päevas suhteliselt konstantne. See sõltub peamiselt süsteemi kasutamisest ja / või tehingute arvust päevas. Kui aga midagi valesti läheb, võite oodata logimahu kiirendatud kasvu. Kui teie logisalvestuses on ületatud piirid, võite kaotada uusimad logid. Selle efekti leevendamiseks kasutavad parimad logihaldussüsteemid tsüklilist puhvrit. Enne salvestuslimiidi rakendamist kustutab see kõige vanemad andmed.

Samuti peaks logide salvestamisel olema oma turbepoliitika. Enamik ründajaid üritab logifailides jälgi vältida või kustutada. Selle vältimiseks peaksite logid reaalajas kesksesse logihoidlasse saatma - eelistatult mujale - ja turvama. Seega, kui ründajal on juurdepääs teie infrastruktuurivälistele logidele, hoiab tõendusmaterjal takistusteta.

Logide ülevaatamine ja säilitamine

Logi hooldus on oluline osa logihaldusest, kui mitte kõige olulisem osa. Hooldamata logid võivad põhjustada pikemat tõrkeotsingut, andmete kokkupuute riske ja kõrgemaid logide säilitamiskulusid. Vaadake üle oma süsteemide loodud logid ja kohandage logimistase vastavalt teie vajadustele. Peaksite arvestama kasutatavuse, töö- ja turbeaspektidega.

Muutke logitase konfigureeritavaks

Mõned süsteemilogid on liiga palju, teised ei anna piisavalt teavet. Kahjuks pole alati midagi sellist teha. Enamik süsteeme pakub reguleeritavat logitaset. Need on võtmeks logide täpsuse konfigureerimiseks ja tagamaks, et logida tuleb seda, mis pole oluline, seda pole.

Kontrollige kontrollipäevikuid sageli

Julgeolekuküsimustes tegutsemine on ülioluline. Sellepärast peaks palkidel alati silma peal olema. Kui teie logihaldussüsteemil seda funktsiooni pole - paljud neist kasutavad, kasutage väliseid turbevahendeid, näiteks auditd või OSSEC. Nad rakendavad reaalajas logianalüüsi ja genereerivad hoiatuste logisid, mis osutavad võimalikele turbeprobleemidele. Ja lisaks sellele peaksite määratlema kriitiliste sündmuste hoiatused, et saaksite kahtlasest tegevusest kiiresti teada.

Andmeallikate korrelatsioon

Metsaraie on ainult üks osa globaalsest seirestrateegiast. Tõeliselt tõhusaks jälgimiseks peate logihaldust täiendama muud tüüpi jälgimisega, näiteks sündmuste, häirete ja jälgimise põhjal toimuva jälgimisega. See on parim viis saada kogu pilt toimuvast igal ajahetkel. Kuigi logid on hea probleemide kõrglahutusega üksikasjade pakkumiseks, on see kõige kasulikum, kui vaatate metsa enne puude suumimist natuke kaugemale.

Logi haldamine ei tööta silos hästi. Midagi ei tee. Kindlasti peaksite seda täiendama muude seiretüüpidega, näiteks võrgu jälgimine, infrastruktuuri jälgimine ja palju muud. Ja ideaalses maailmas peaks teie seirelahendus olema piisavalt kõikehõlmav, et kogu seireteave oleks ühes kohas. Teise võimalusena võiks selle integreerida teiste seda teavet pakkuvate tööriistadega. Siinkohal on eesmärk, et kogu keskkonnal oleks võimalikult palju ühe paneeli vaadet.

Logi haldamine ja automatiseerimine

Logi haldamine aitab teil probleeme varakult lahendada, säästes nii teie kui teie meeskonna jaoks väärtuslikku aega ja energiat. Samuti võib see aidata teil leida võimalusi automatiseerimiseks. Enamik logihaldusriistu võimaldab teil seadistada kohandatud märguandeid, mis käivituvad, kui midagi juhtub. Mõni lubab teil isegi seadistada automatiseeritud toimingud, mis algatatakse nende hoiatuste käivitamisel. Peaksite kasutama nii palju automatiseerimist, kui teie haldustööriist võimaldab. Hoolimata ajast, mille kulutate selle automatiseerimise seadistamisele, näete, et see oli seda väärt, kui esimest korda juhtumiga kokku puutute.

Kuus parimat logihaldusriista

Oleme uurinud turgu, püüdes leida parimat logihaldusvahendit. Oleme püüdnud kokku panna nimekirja, mis sisaldab erinevat tüüpi tööriistu. Lõppude lõpuks on kõigi vajadused erinevad ja ühe jaoks parim vahend ei pruugi olla parim kellegi teise jaoks.

SolarWinds on üldine nimi võrguhaldustööriistade valdkonnas. See on kestnud umbes kaks aastakümmet ja see on toonud meile mõned parimad ribalaiuse jälgimise tööriistad ning NetFlow analüsaatorid ja kogujad. Ettevõte on tuntud ka paljude tasuta tööriistade, näiteks alamvõrgu kalkulaatori või süsteemiserveri, väljaandmiseks võrguadministraatorite konkreetsetele vajadustele.

Logide haldamise osas nimetatakse ettevõtte pakkumist nüüd SolarWindsi turvasündmuste haldur. See sai hiljuti uue nime Logi ja sündmuste haldur, ilmselt selleks, et paremini kajastada tõsiasja, et see on tegelikult palju enamat kui lihtsalt logihaldussüsteem. Paljud selle täiustatud funktsioonid paigutavad selle turbeteabe ja sündmuste haldamise (SIEM) vahemikku. Sellel on näiteks reaalajas sündmuste korrelatsioon ja reaalajas parandamine, kaks SIEM-i taolist omadust.

• TASUTA PROJEKT: SolarWindsi turvasündmuste haldur
• Ametlik allalaadimislink: https://www.solarwinds.com/security-event-manager/registration

Vaatame mõnda neist SolarWindsi turvasündmuste haldurPeamised omadused. Tööriist saab ohud kiiresti kõrvaldada, kasutades kahtlase tegevuse kohest tuvastamist ja automatiseeritud reageerimist. Samuti saab see läbi viia turvasündmuste uurimist ja kohtuekspertiisi leevendamiseks ja nende järgimiseks. Ja rääkides vastavusest, võimaldab toode teil seda demonstreerida tänu auditi tõestatud aruandlusele muu hulgas HIPAA, PCI DSS ja SOX jaoks. Sellel tööriistal on ka faili terviklikkuse jälgimine ja USB-seadme jälgimine - kaks funktsiooni, mis on palju üle selle, mida me tavaliselt logihaldussüsteemides näeme.

Hinnad SolarWindsi turvasündmuste haldur Alusta 4585 dollarist kuni 30 jälgitava sõlme jaoks. Võimalik on osta litsentse kuni 2500 sõlme jaoks, muutes toote väga skaleeritavaks. Ja kui soovite kontrollida, kas toode sobib teile, 30-päevane tasuta täisversioon on olemas.

Teiseks on meil veel üks suurepärane toode nimega Papertrail, hiljuti omandatud SolarWinds. Papertrail on populaarne pilvepõhine logihaldussüsteem. See koondab paljude erinevate populaarsete toodete nagu Apache või MySQL, samuti rakenduste Ruby on Rails, erinevate pilvemajutusteenuste ja muude standardsete tekstilogifailide logifailid. Papertrail kasutajad saavad seejärel kasutada veebipõhist otsimisliidest või käsureatööriistu nende failide otsimiseks, et aidata diagnoosida vigu ja toimivusprobleeme. Tööriist integreerub ka teistega SolarWinds sellised tooted nagu Librato ja Geckoboard tulemuste graafikute jaoks.

• KASUTATAV TASUTA PLAAN: SolarWinds Papertrail
• Ametlik allalaadimislink: https://papertrailapp.com/plans

Papertrail on pilvepõhine tarkvara kui teenus (SaaS), mis pakub alates SolarWinds. Seda on lihtne rakendada, kasutada ja mõista. Ja see annab teile kohe nähtavuse kõigis süsteemides mõne minutiga. Tööriistal on väga tõhus otsingumootor, mis võimaldab otsida nii salvestatud kui ka voogesitatud logisid. Ja see on välkkiire.

Papertrail on saadaval mitme kava alusel, sealhulgas tasuta pakett. See on siiski mõnevõrra piiratud ja lubab iga kuu ainult 100 MB logisid. See aga lubage esimesel kuul 16 GB logisid, mis võrdub teile tasuta 30-päevase prooviversiooni pakkumisega. Tasulised plaanid algavad 7 dollarist kuus 1 GB / kuus logide, 1 aasta arhiivi ja 1 nädala indeksi eest. Mürafiltreerimine võimaldab tööriistal andmeid säilitada, salvestamata mõttetuid logisid.

3. ManageEngine EventLog Analyzer

ManageEngine, veel üks üldine nimi võrguadministraatoritega, loob suurepärase logihaldussüsteemi nimega ManageEngine EventLog Analyzer. Toode kogub, haldab, analüüsib, korreleerib ja otsib üle 700 allika logiandmeid, kasutades nii agendita ja agendipõhist logikogumist kui ka logide importi.

Kiirus on üks neist ManageEngine EventLog AnalyzerTugevus. See suudab töödelda logiandmeid muljetavaldava 25 000 logiga sekundis ja tuvastada rünnakuid reaalajas. Samuti saab rikkumise mõju vähendamiseks teha kiiret kohtuekspertiisi. Süsteemi auditeerimisvõimalused laienevad võrgu perimeetri seadmete logidele, kasutaja tegevustele, serveri konto muudatustele, kasutaja juurdepääsule ja muule, aidates teil täita turbeauditeerimise vajadusi.

ManageEngine EventLog Analyzer on saadaval funktsioonidega vähendatud tasuta väljaandes, mis toetab ainult viit logiallikat, või premium-väljaandes, mille hind algab 595 dollarist ja mis varieerub vastavalt seadmete ja rakenduste arvule. Saadaval on ka tasuta täisfunktsionaalne 30-päevane prooviversioon.

4. Ipswitchi logihalduskomplekt

Logihalduskomplekt on toode firmalt Ipswitch, sama ettevõte, kes meid tõi WhatsUp kuld, tohutult populaarne võrgu jälgimise tööriist. See on automatiseeritud tööriist, mis kogub, salvestab, arhiveerib ja salvestab süsteemilogid, Windowsi sündmused ja W3C / IIC logid. Lisaks hoiab selle pidev logi jälgimine teid kahtlasest tegevusest.

Jälgida saab sageli auditeeritavaid sündmusi, näiteks juurdepääsuõigusi ning faili-, kausta- ja objektiõigusi, vajaduse korral hoiatuste genereerimine ja HIPAA, SOX, FISMA, PCI, MiFID või Basel II vastavusaruannete koostamine vastavus. Tööriist aitab teil tänu oma automatiseeritud filtreerimise, korrelatsiooni, aruandluse ja teisendamise funktsioonidele muuta töötlemata logiandmed juhtide või IT-turbemeeskondade jaoks olulisteks andmeteks.

Hinnateave Logihalduskomplekt pole alates tänasest hõlpsasti saadaval Ipswitch. Toodet saab osta kas otse kirjastajalt või läbi IpswitchEdasimüüjate võrk. Saadaval on ka tasuta prooviversioon.

5. Alert Logic Log Manager

HäireloogikaPõhirõhk on turvalisusel ja vastavusel. Ja kuna logihaldus on tihedalt seotud mõlemaga, pole üllatav, et ettevõte seda pakub Alert Logic Log Manager. See pilvepõhine tööriist pakub automatiseeritud ja ühtset logihaldust kõigis teie keskkondades. See kogub, koondab ja otsib logi andmeid pilvest, serverist, rakendusest, turvalisusest ja võrguvaradest.

Alert Logic Log Manager hõlmab logide jälgimist ja analüüsi, samuti logi ülevaatamist, mille inimanalüsaatorid teostavad otse. HäireloogikaEksperdid hoiatavad teid võimaliku ohu eest 365 päeva aastas. Teenus aitab täita ka logide ülevaatuse nõudeid SOC 2, HIPAA ja SOX ning vabastada logide ülevaatamise ja sündmuste järelkontrolli koormustest, et täita PCI / DSS 10.6, 10.6.1, 10.6.3

Hinnateave Alert Logic Log Manager pole veebist hõlpsasti saadaval ja peate võtma ühendust Häireloogika müük ametliku pakkumise saamiseks. Samuti pole saadaval tasuta prooviversioon, kuid tasuta demo saab korraldada ühenduse võtmise teel Häireloogika.

6. Nagios Logi server

Võib-olla te juba teate Nagios kui suurepärane võrguseire pakett. Pakkudes tootele tasuta ja avatud lähtekoodiga ning ka kommertsversiooni, on sellel kindel maine. Logi haldamiseks Nagios'Pakkumist nimetatakse Nagios Logi server. See on täielik pakett koos tsentraliseeritud logihalduse, seire ja analüüsiga. See tööriist saab lihtsustada teie logiandmete otsimist. See võimaldab teil ka seada hoiatusteateid võimalike ohtude kohta. Lisaks on tarkvaral kõrge kättesaadavus ja tõrgeteta sisseehitatud tarkvara. Selle lihtsad lähteteksti seadmise viisardid aitavad teil konfigureerida oma serverid ja muud seadmed logiandmeid platvormile saatma, võimaldades teil logide jälgimist alustada mõne minuti jooksul.

Nagios Logi server pakub logi sündmuste hõlpsat korrelatsiooni kõigi logimisallikate vahel vaid mõne hiireklõpsuga. Süsteem võimaldab teil logiandmeid reaalajas vaadata, lastes analüüsida ja lahendada probleeme reaalajas, kui need tekivad. Toote tugevuseks on ka muljetavaldav mastaapsus. See tööriist vastab teie organisatsiooni kasvades teie vajadustele. Vajadusel täiendav Nagios Logi server esinemisjuhte saab monitooringuklastrisse lisada, mis võimaldab teil kiiresti lisada rohkem energiat, kiirust, salvestusruumi ja töökindlust.

Kõigi nende funktsioonide korral võiks oodata kopsakat hinnasilti. See pole nii ja ainuõiguse hind Nagios Logi server on väga mõistlik 3 995 dollarit. Hoolimata sellest, et te ei paku tasuta prooviversiooni, on saadaval tasuta veebis tutvustav demo, kui eelistate enne ostuotsuse tegemist toote esmast kätt vaadata.