8 parimat logijälgimisriista ja analüüsitarkvara aastaks 2020

Logifailid esinevad peaaegu igas arvutisüsteemis või võrguseadmes. Need sisaldavad üksikasju igas süsteemis toimuvate sündmuste kohta. Need võivad mitmesuguste probleemide tõrkeotsingul osutuda hindamatuks. Need võivad paljastada ka pahatahtlikke tegevusi ja võivad seetõttu muutuda kasulikuks vahendiks turvalisuse tagamisel. Kuid kellel on aega isegi logifaile vaadata? Kuna tavaline administraator haldab kümneid seadmeid, millest mõned logivad mitu sündmust iga sekund, pole kellelgi enam võimalik silma peal hoida. Seetõttu leiutati logi jälgimise tööriistad. Nad koondavad kõik sündmuste logid ühte kohta ja pakuvad sageli analüüsivahendeid ja teenuseid, mis läbivad logid ja tekitavad teateid alati, kui täheldatakse midagi tavapärast. Saadaval on palju erinevaid logide jälgimise tööriistu ja parimate valimine võib osutuda väljakutseks. Teie abistamiseks koostasime selle loendi parimatest logi jälgimise tööriistadest.

Alustame oma arutelu uurides süsteemilogisid, mis need on ja kuidas nad töötavad. Järgmisena räägime logide jälgimisest. Nii nagu varem, vaatame ka, mida see tähendab ja kuidas see on tehtud. Seejärel pakume teile logi analüüsi kohta rohkem üksikasju, kuna see on funktsioon, mis muudab logide jälgimise tööriistad kõige kasulikumaks. Nagu varemgi, kirjeldame ka seda, mis see on, ja erinevaid saadaolevaid analüüsi vorme. Lõpuks vaatame üle mõned parimatest logijälgimisriistadest, mida me võiksime leida, ja tutvustame teile nende peamisi funktsioone.

Süsteem logib lühidalt

Ühes lauses on logifail ehk süsteemipäevik fail, mis salvestab operatsioonisüsteemis või muus tarkvaras aset leidvaid sündmusi. Logimine on süsteemipäeviku pidamise toiming. Kõige lihtsamal juhul kirjutatakse sõnumid lihtsalt ühte logifaili. Kui enamik süsteeme kasutab sündmuste logimiseks peamiselt tekstifaile, kasutavad mõned kaasaegsed süsteemid nende registreerimiseks mingisugust andmebaasi.

Pole tähtis, kuidas ja kuhu sündmused logitakse, võimaldavad mõned süsteemid teil määratleda vajaliku logimistaseme. See kehtib eriti võrguseadmete kohta, kus igal sündmusel on raskusaste ja logimisparameetrid saab seada salvestama ainult kindla raskusastmega või kõrgema taseme sündmusi. Sarnaseid funktsioone pakuvad ka muud tüüpi süsteemid.

Logide jälgimise kohta

Logide jälgimine on kaheosaline protsess. Esimene ja kõige olulisem osa on logiandmete kogumine erinevatest süsteemidest. Seda tehakse erineval viisil. Mõnda süsteemi saab konfigureerida logide automaatseks saatmiseks tsentraliseeritud serverisse Syslogi protokolli kaudu. Logijälgimisriistadel on tavaliselt sisseehitatud syslogiserver, et sündmuste andmeid otse vastu võtta. Muud süsteemid, näiteks Windows, töötavad erinevalt. Nendest süsteemidest saab logiandmete saamiseks mitmesuguseid vahendeid, näiteks Windowsi haldusinstrumentide kasutamine või Windowsi masinatel töötavate kohalike esindajate kasutamine. Olenemata sellest, kuidas see tehtud on, sisaldab iga logiseiresüsteem vajalikke funktsioone logiandmete vastuvõtmiseks ja konsolideerimiseks mitmest allikast.

Järgmine samm - logianalüüs

Mis tahes kasuliku logijälgimisriista teine ​​ülesanne on logianalüüs. Siin erinevad tööriistad kõige enam. Mõni pakub ainult väga lihtsat analüüsi, näiteks hoiatuse käivitamist, kui sündmuste arv ajaühikus jõuab etteantud läveni. Keerukamate tööriistadega uuritakse iga sündmust ja otsitakse konkreetseid viiteid probleemidele. Näiteks võib suur arv ebaõnnestunud sisselogimisi olla märk jätkuvast sissetungimiskatsest. Me saaksime kulutada lehti, mis kirjeldavad saadaolevaid logianalüüsi erinevaid vorme. Selle asemel kutsume teid tutvuma erinevate tooteülevaadetega, et saada üksikasju selle kohta, mida igaüks pakub.

Parimad logijälgimisriistad

Nagu me varem märkisime, on saadaval palju erinevaid tööriistu, millel on erinev funktsionaalsus. Mitte igaüks ei vaja ulatusliku analüüsi ja kõrge turvalisusega funktsioonidega tööriista, seetõttu hõlmasime mitmesuguseid funktsioone pakkuvaid tööriistu. Mõned neist on lihtsamad, teised aga keerukamad. Teie enda otsustada, milline tööriist teie vajadustele kõige paremini sobib. Õnneks on kõigil meie loendis olevatel tööriistadel tasuta prooviversioon, nii et miski ei takista teil mõnda proovida - midagi, mida me väga soovitame.

SolarWinds on seiremaailmas levinud nimi. Ettevõte on tegutsenud juba üle 20 aasta ja tema lipulaeva, mida nimetatakse võrgu jõudluse jälgimiseks, tunnustavad paljud kui ühte parimat SNMP jälgimisriista. Ja justkui sellest ei piisa, on SolarWinds tuntud ka arvukate tasuta tööriistade abil. Need on väiksemad tööriistad, mis kõik vastavad võrguadministraatorite konkreetsele vajadusele. Advanced Subnet Calculator ja SolarWinds TFTP server on kaks suurepärast näidet nende tasuta tööriistade kohta.

Mis puutub SolarWindsi logi- ja sündmustehaldur (LEM), see on täpselt see, mida selle nimi viitab. Tööriist on nii funktsioonirikas, et paljud peavad seda täieõiguslikuks turbeteabe ja sündmuste haldamise tööriistaks. Logide jälgimise ja haldamise osas on see tõenäoliselt üks huvitavamaid logihaldusriistu, mida leiate. Sellel on väga kasulikud logihaldus- ja korrelatsioonifunktsioonid ning muljetavaldav aruandlusmootor.

• TASUTA PROOVIVERSIOON:SolarWindsi logi- ja sündmustehaldur
• Lae alla link:https://www.solarwinds.com/log-event-manager-software/registration

SolarWindsi logi- ja sündmustehaldur võib aidata parandada turvalisust ja nõuetele vastavust, tuvastades kahtlase tegevuse ja tuvastades ohud kiiremini, kui tuvastada kahtlane tegevus sündmuse ajal. Seda tööriista saate kasutada ka turvasündmuste uurimiseks ja kohtuekspertiisi leevendamiseks ja nende järgimiseks. Selle omaduse tõttu peavad paljud toodet SIEM-i tööriistaks. Lisaks aitab see tööriist valmisolekut järgida norme. Tänu auditi tõestatud aruandlusele HIPAA, PCI DSS, SOX, DISA STIG ja muude jaoks saate seda vastavuse tõendamiseks kasutada.

SolarWindsi logi- ja sündmustehaldurSündmuste reageerimise funktsioonid ei jäta midagi soovida. Üksikasjalik reaalajas reageerimise süsteem reageerib aktiivselt igale ohule. Kui käitumine põhineb allkirjade analüüsil, tähendab see, et olete kaitstud isegi tundmatute või tulevaste ohtude eest. Kuid tööriista armatuurlaud on selle parim eelis. Lihtsa kujunduse korral pole teil probleeme kõrvalekallete kiireks tuvastamiseks.

Hinnakujundus SolarWindsi logi- ja sündmustehaldur põhineb jälgitavate sõlmede arvul. Saadaval on erinevatasemelised litsentsid 30–2500 sõlme alates 4 665 dollarist. Ja kui soovite toodet enne ostmist proovida, allalaadimiseks on saadaval tasuta täielikult töötav 30-päevane prooviversioon.

Järgmine meie loendis on veel üks SolarWindsi toode, mida nimetatakse Orioni logihaldur. Orion, kui te pole SolarWindsi toodetega tuttav, oli mõni aasta tagasi ettevõtte kõrgeim platvorm. See on endiselt aluseks olev arhitektuur, millele on ehitatud paljud SolarWindsi parimad tooted. Kui kasutate mõnda võrgu jõudluse kuvarit, NetFlow liikluseanalüsaatorit, siis võrgukonfiguratsiooni Haldaja, virtualiseerimishaldur, serveri- ja rakendusmonitor või salvestusressursside jälgija, mida kasutate Orion.

• TASUTA PROOVIVERSIOON:SolarWinds Orioni logihaldur
• Lae alla link:https://www.solarwinds.com/log-manager-for-orion-software/registration

SolarWinds Orioni logihaldur lisab logihaldusvõimalused ükskõik millisele Orionil põhinevale seire- ja haldustööriistale. Kokkuvõtlikult võib öelda, et tootes on võimas ja intuitiivne logide koondamine, sildistamine, filtreerimine ja hoiatamine. Selle integreerimine Orioni platvormitoodetega pakub ühtset vaadet IT-infrastruktuuri jälgimisele ja seotud logidele. Toode loodi koostöös võrgu- ja süsteemitehnikutega, et tagada nende probleemide ja nende lahendamise mõistmine.

Vaatamata integratsioonile Orioni platvormiga Logihaldur saab ise installida ega vaja ühegi teise Orioni tööriista installimist. Hinnakujundus algab 1 495 dollarist ja kui soovite tootele prooviversiooni anda, on saadaval tasuta 30-päevane prooviversioon ja vaadake, kuidas see teie vajadustele sobib.

Järgmine on veel üks SolarWindsi toode nimega Papertrail. See erineb kahest eelmisest väga, kuna see on pilvepõhine tarkvara kui teenuse (SaaS) pakkumine. Võimas tööriist oli juba mõne aasta pärast populaarsust kogunud, kui SolarWinds selle omandas. See koondab paljude failide, näiteks Apache või MySQL, logifailid, samuti rakenduste Ruby on Rails, mitmete pilvemajutusteenuste ja muude standardsete tekstilogifailide logifailid.

• Registreeruge siin: https://papertrailapp.com/plans

Vigade diagnoosimiseks ja toimivusega seotud probleemide lahendamiseks võite kasutada nuppu Papertrail väga tõhus ja välkkiire otsingumootor, mis võimaldab otsida nii salvestatud kui ka voogesitatud logidest. Toode integreeritakse tulemuste graafikute loomiseks mõne muu SolarWindsi tootega, näiteks Librato ja Geckoboard. Papertrail on ka hõlpsasti rakendatav, kasutatav ja arusaadav. See tagab teile kohese nähtavuse kõigis süsteemides mõne minutiga.

Papertrail on saadaval mitme kava alusel, sealhulgas tasuta pakett. See on mõnevõrra piiratud ja lubab iga kuu ainult 50 MB logisid. See lubab aga esimesel kuul 16 GB logisid, mis võrdub teile tasuta ja piiramatu 30-päevase prooviversiooni pakkumisega. Tasulised plaanid algavad 7 dollarist kuus 1 GB / kuus logide, 1 aasta arhiivi ja 1 nädala indeksi eest. Kõige populaarsem on 75 GB kuus 8 GB palkidega plaan. Mürafiltreerimine võimaldab tööriistal andmeid säilitada, salvestamata mõttetuid logisid.

4. PRTG võrgumonitor

PRTG võrgumonitor Paessler AG-lt on integreeritud kõik-ühes seiresüsteem, mida saab tänu nutikale anduripõhisele arhitektuurile kasutada peaaegu kõigi jälgimiseks. Selle ettevõtte parimaks omaduseks on kindlasti selle häälestamise kiirus. Paessleri sõnul on PRTG võrgumonitor saab paari minutiga üles seada. Ehkki see ei pruugi kõigi jaoks nii kiire olla, on see siiski üks hõlpsamaid ja kiiremaid jälgimisriistu, mis tänu automaatse tuvastamise protsessile seadistatakse.

PRTG võrgumonitor on funktsioonirikas toode. Alusel on see peamiselt võrguseirevahend, mis kasutab SNMP-d seadmete küsitlemiseks ja nende liideste kasutamise kuvamiseks kronoloogilistel graafikutel. Täiendavate andurite kasutamise kaudu saab PRTG jälgida aga peaaegu kõike. Andurid on mõnevõrra sarnased lisandmoodulitega, välja arvatud see, et need on tootega kaasas. Lisaks on saadaval mitmesuguste serverite, teenuste ja rakenduste andurid. Kokku sisaldab toode üle 200 anduri.

Logi jälgimiseks ja haldamiseks on saadaval kaks erinevat andurit. Sündmuste logi Windowsi API andur hõivab kõik Windowsi genereeritavad logisõnumid. See andur jälgib pigem logisõnumite sagedust kui nende sisu ja see tekitab häire, kui sündmuselogide teadete määr jõuab kriitilise läveni.

Teine huvitav andur, Syslogi vastuvõtja andur, võtab vastu, jälgib ja salvestab syslog-teateid mis tahes seadmest. Kuid see ei koonda lihtsalt erinevatest allikatest pärit logisid. Selle jälgimisfunktsioon käivitab häireid alati, kui tekivad murettekitavad tingimused, näiteks logi vastuvõtu kiiruse suurenemine.

PRTG võrgumonitor on saadaval kahes versioonis. Tasuta versioon on täisfunktsionaalne, kuid see piirab teie jälgimisvõime 100 andurini. SNMP kasutamisel arvestatakse iga jälgitavat parameetrit ühe andurina. Näiteks kui jälgite ruuteril kahte liidest, loetakse see kaheks anduriks. Konkreetse seireanduri iga eksemplari loetakse samuti üheks. Kui vajate rohkem kui 100 andurit, peate ostma litsentsi, mis algab 500 sensori eest alates 1 600 dollarist. Saadaval on tasuta sensori piiramatu ja täisfunktsionaalne 30-päevane prooviversioon.

5. ManageEngine EventLog Analyzer

ManageEngine on veel üks IT-spetsialistide seas tuntud võrguhaldustööriistade valmistaja. Ettevõte pakub logi haldamise süsteemi nimega ManageEngine EventLog Analyzer. Toode kogub, haldab, analüüsib, korreleerib ja otsib üle 700 allika logiandmeid, kasutades nii kombinatsiooni- või agendivaba ja agendipõhist logikogumit kui ka logide importi.

ManageEngine EventLog AnalyzerMahutavus on muljetavaldav. See saab töödelda logiandmeid kiirusega kuni 25 000 logi sekundis ja tuvastada rünnakuid reaalajas. Samuti saab tööriist kiiresti läbi viia kohtuekspertiisi, vähendades sellega rikkumise võimalikku mõju. Süsteemi auditeerimisvõimalused laienevad võrgu perimeetri seadmete logidele, kasutaja tegevustele, serveri konto muudatustele, kasutaja juurdepääsule ja muule, aidates teil täita turbeauditeerimise vajadusi.

Tööriista reaalajas sündmuste logi korrelatsioon tuvastab koheselt rünnakukatsed ja võimaldab korrelatsiooni abil jälgida potentsiaalseid turvaohte logige andmeid üle 30 etteantud reegliga, et tuvastada julma jõu rünnakuid, konto blokeeringuid, andmete vargusi, veebiserveri rünnakuid ja paljusid rohkem. Samuti sisaldab see kohandatud logi parserit, mis võib väljad kaevandada mis tahes inimesele loetavas logivormingus. Toode pakub tõepoolest ühte turvakonsooli andmete vaatamiseks ühte konsooli.

ManageEngine EventLog Analyzer on saadaval funktsioonidega vähendatud tasuta väljaandes, mis toetab ainult viit logiallikat, või premium-väljaandes, mille hind algab 595 dollarist ja mis varieerub vastavalt seadmete ja rakenduste arvule. Saadaval on ka tasuta täisfunktsionaalne 30-päevane prooviversioon.

6. Graylog

Graylog on tasuta avatud lähtekoodiga logide haldamise platvorm, millel on palju huvitavaid funktsioone. Tööriist saab parsida ja rikastada logisid ja sündmuste andmeid peaaegu igast andmeallikast. Selle töötlemistorustikud võimaldavad teatavat paindlikkust teadete reaalajas suunamisel, musta nimekirja lisamisel, muutmisel ja rikastamisel. Tööriist otsib olulise teabe leidmiseks ja analüüsimiseks terabaitides logiandmeid. Selle võimas ja üsna ainulaadne otsingusüntaks võimaldab teil leida täpselt selle, mida otsite.

Koos Graylog, on teil võimalus luua kohandatud armatuurlaudu, mis võimaldavad teil konkreetseid mõõdikuid visualiseerida ja suundumusi jälgida ühest kesksest asukohast. Andmete sügavamaks analüüsimiseks võite kasutada otsingutulemite lehe väljade statistikat, kiireid väärtusi ja diagramme. Lisaks pakub toode võimalust käivitada toiminguid või väljastada teatisi selliste sündmuste kohta nagu ebaõnnestunud sisselogimiskatsed, erandid või toimivuse halvenemine.

Graylog on saadaval kas tasuta ja avatud lähtekoodiga piiratud versioonina, millel on ka piiratud tugi. Samuti on olemas laiendatud funktsioonide ja piiramatu toega ettevõtte versioon. Samuti on see tasuta kuni 5 GB palke päevas. Sõltuvalt sellest, kui suur ja hõivatud on teie võrk. See võiks olla teie vajaduste jaoks piisav. Litsentsi- ja tugihindade saamiseks saate ühendust võtta Graylog müük.

7. WhatsUpi logihalduskomplekt

WhatsUpi logihalduskomplekt on suurepärane tööriist firmalt Ipswitch. Ipswitch, kas on vaja teile meelde tuletada, on WhatsUp Goldi taga olev ettevõte, mis on ülipopulaarne võrguseireriist. See on automatiseeritud tööriist, mis kogub, salvestab, arhiveerib ja salvestab süsteemilogid, Windowsi sündmused ja W3C / IIC logid. Tegemist ei ole lihtsalt logide ja sündmuste koondamisega, kuid pidev logide jälgimine ja analüüs hoiab teid ebanormaalse tegevuse eest.

WhatsUpi logihalduskomplekt jälgib sageli auditeeritavaid sündmusi, nagu juurdepääsuõigused ning faili-, kausta- ja objektiõigused, ning genereerib vajadusel teateid. Samuti kasutab ta kogutud sündmusi HIPAA, SOX, FISMA, PCI, MiFID või Basel II vastavuse aruannete koostamiseks. See tarkvara aitab ka muuta teie töötlemata logiandmed juhtide või IT jaoks oluliseks teabeks turvameeskonnad, kasutades selle võimsat automatiseeritud filtreerimist, korrelatsiooni, aruandlust ja teisendamist Funktsioonid.

WhatsUpi logihalduskomplekt on tegelikult rakenduste komplekt, mis sisaldab järgmisi tööriistu:

• Ürituste arhiiv: See tööriist automatiseerib logide kogumist, tühjendamist ja konsolideerimist.
• Sündmuse häire: Tööriist logifailide jälgimiseks ja reaalajas teatiste vastuvõtmiseks peamiste sündmuste kohta.
• Ürituste analüütik: Logiandmete ja suundumuste analüüs ja aruanded; levitavad aruanded automaatselt juhtkonnale, turvaametnikele, audiitoritele ja teistele sidusrühmadele.
• Ürituse Rover: Ühtne konsool kõigi serverite ja tööjaamade põhjalikuks kohtuekspertiisiks, et suurendada tõhusust ja säästa aega.

Hinnateave Logihalduskomplekt pole Ipswitchist hõlpsasti saadaval. Toodet saab osta kas otse väljaandjalt või Ipswitchi edasimüüjate võrgu kaudu. Muidugi on saadaval ka tasuta prooviversioon.

8. LogDNA

LogDNA kohta öeldakse:kiireim, kõige intuitiivsem ja kulutõhusam logihaldussüsteem”. See kipub olema tõsi. Kohe algusest peale võtab toote installimine vaid paar minutit, enne kui saate hakata logisid koguma ja jälgima. Pole tähtis, kuidas logisid genereeritakse ja edastatakse, on tootes saadaval sadu kohandatud integratsiooniskeeme, mis aitavad logisid koondada ühte kohta.

LogDNA on sõltuvalt teie eelistustest saadaval kas pilvepõhises või ise hostitavas versioonis. See on väga skaleeritav toode, mis saab hakkama sadade tuhandete logidega sekundis ja kümnete terabaitidega päevas, pakkudes samas nii ülimat turvalisust kui ka reaalajas logianalüüsi. Nii ettevõte kui ka selle tooted vastavad SOC2, PCI ja HIPAA nõuetele ning on ka Privacy Shieldi sertifikaadiga.

LogDNA lihtne-maksa-GB-hinnakujundusmudel välistab lepingud ja fikseeritud andmeeraldised, mis teeb kõigi tasuliste logide jälgimise ja haldamise lahenduste omamise madalaimatest kogukuludest. Kasvavate funktsioonidega on saadaval mitu tellimiskava. Alumise astme plaan on tasuta ja tasuliste plaanide hinnad varieeruvad 1,50 dollarist / GB / kuu kuni 3 dollarini / GB / kuu, sõltuvalt säilitamise kestusest ja kasutajate arvust. Saadaval on ka tasuta, täisfunktsionaalne ja piiramatu 14-päevane prooviversioon.