6 parasta lokinhallintatyökalua Linuxille vuonna 2020

Koska nykypäivän järjestelmät tuottavat paljon lokitietoja, ei ole yllättävää, että järjestelmänvalvojat etsivät aina lokinhallintaratkaisuja. Lokit tallennetaan oletuksena usein paikallisesti. Tämä on järkevää, koska se on helppo linkittää heidän lähteensä. Mutta yrittäessämme selvittää ongelmia ja löytää niiden syy, meidän on joskus tarkasteltava useita lokitiedostoja useissa laitteissa. Eikö olisi hienoa, jos kaikkien laitteiden kaikki lokit säilytettäisiin yhdessä keskitetyssä paikassa? Tämä on päämäärä lokien hallinta. Ja jos valitsemasi alusta on Linux, vaihtoehtoja on paljon. Lue edelleen, kun löydämme joitain parhaista lokienhallinnan Linuxista

Aloitamme määrittelemällä lokinhallinnan. Huomaat, että se voi olla paljon enemmän kuin vain lokien tallennuksen keskittäminen. Seuraavaksi keskustelemme erilaiset hakkuuteknologiat. Ne ovat lokinhallinnan kulmakivi, eikä sitä todennäköisesti olisi ilman niitä. Jatkamme erotamme syslog-palvelimet lokinhallintajärjestelmistä ja ymmärrämme, että niiden välillä ei ole selkeää rajaa. Seuraavaksi pysähdymme hetkeksi ja keskustelemme

Turvallisuustiedot ja tapahtumien hallintajärjestelmät. Ne ovat toinen tyyppi järjestelmä, joka sekoitetaan usein lokien hallintaan kunkin määritelmän ansiosta epäselvän määritelmän ansiosta. Ja lopuksi, arvioimme parhaan lokinhallinnan Linuxille.

Mikä on lokinhallinta?

Määritämme mitä loki on, ennen kuin voimme puhua lokien hallinnasta. Yksinkertaisesti määritelty loki on automaattisesti tuotettu ja aikaleimattu dokumentaatio tapahtumasta, joka liittyy tiettyyn järjestelmään. Toisin sanoen, aina kun tapahtuma tapahtuu järjestelmässä, loki luodaan. Järjestelmät ja laitteet luovat lokit erityyppisiin tapahtumiin, ja monet järjestelmät antavat järjestelmänvalvojille jonkin verran hallintaa siitä, mikä tapahtuma tuottaa lokin ja mikä ei.

Lokien hallintaan viitataan yksinkertaisesti prosesseihin ja käytäntöihin, joita hallitaan ja helpotetaan suurten lokitietojen tuottaminen, lähettäminen, analysointi, varastointi, arkistointi ja lopullinen hävittäminen. Vaikka lokien hallinta ei ole selkeästi mainittu, se tarkoittaa keskitettyä järjestelmää, jossa lokit kerätään useista lähteistä. Lokien hallinta ei kuitenkaan ole vain lokien kokoaminen. Se on tärkein hallinto-osa. Ja lokinhallintajärjestelmillä on usein useita toimintoja, lokien kerääminen on vain yksi niistä.

Kun lokien hallintajärjestelmä on vastaanottanut lokit, ne on standardisoitava yhteiseen muotoon, koska eri järjestelmämuotoiset lokit eroavat toisistaan ​​ja sisältävät erilaisia ​​tietoja. Jotkut aloittavat lokin päivämäärällä ja kellonajalla, toiset alkavat sen tapahtuman numerolla. Jotkut sisältävät vain tapahtuman tunnuksen, kun taas toiset sisältävät tapahtuman koko tekstin. Yksi lokinhallintajärjestelmien tarkoituksista on varmistaa, että kaikki kerätyt lokitiedot tallennetaan yhtenäisessä muodossa. Tämä johtaa tapahtumien korrelaatioon ja mahdolliseen hakuun paljon helpommin.

Jopa korrelaatio ja etsiminen ovat useiden lokinhallintajärjestelmien kaksi ylimääräistä päätoimintoa. Parhaimmissa niistä on tehokas hakukone, jonka avulla järjestelmänvalvojat voivat nollata juuri tarvitsemansa. Korrelaatiofunktiot ryhmittelevät liittyvät tapahtumat automaattisesti, vaikka ne olisivat peräisin eri lähteistä. Kuinka ja kuinka onnistuneesti eri lokinhallintajärjestelmä suorittaa, tämä on tärkeä erottava tekijä.

LUKAA myös:15 parasta verkonvalvontatyökalua (oma arvostelu)

Metsätaloustekniikat

Lokin hallinta olisi paljon vaikeampaa, ehkä edes mahdotonta, jos se ei olisi lokiprotokolla. Muutama niistä on olemassa. Ne määrittelevät, mitkä tiedot sisällytetään lokiin, miten ne tulisi muotoilla ja joskus miten ne siirretään järjestelmien välillä.

Syslog on kiistatta eniten käytetty kirjausprotokolla, etenkin Linux-maailmassa. Teknologia keksittiin 1980-luvun alkupuolella, ja siitä on tullut tosiasiallinen standardi kaikille Unix-kaltaisille järjestelmille. Yksi syslog-tekniikan suurimmista hyödyistä on se, kuinka se helpottaa järjestelmän erottamista toisistaan tai ohjelmisto, joka luo lokit, järjestelmä, joka tallentaa ne, ja ohjelmisto, joka raportoi ja analysoi niitä. Syslog-tekniikan käyttö helpottaa lokien hallintaa. Ja Syslog ei ole Unixin yksinoikeus. Monet muut kuin Unix-laitteet, kuten kytkimet, reitittimet ja kaikenlaiset useiden valmistajien laitteet, käyttävät varianttia syslog-protokollasta.

On olemassa muitakin hakkuuteknologioita. Esimerkiksi Microsoft Windows käyttää erilaista kirjausjärjestelmää. Se voi olla tekemistä sen kanssa, että Windows-käyttöjärjestelmissä ja sovelluksissa on lokit, jotka sisältävät yleensä yksityiskohtaisempia tietoja kuin Syslog-tekniikka sallii. Onneksi Windows Event Collector -toiminnot tarjoavat keinon lokien hallintaan, jota eri järjestelmät voivat käyttää tapahtumien vastaanottamiseen Windows-koneilta. Tämä viesti koskee Linux-lokien hallintaa, joten älä tuhlaa liian paljon aikaa Windowsissa.

Huolimatta siitä, mitä kirjaustekniikkaa käytetään, tärkeä osa lokinhallintaa on laitteiden määrittäminen lähettämään lokit hallintajärjestelmään. Muun tyyppiset työkalut, kuten verkonvalvontajärjestelmät voi hakea tietoja tarkkailemistaan ​​järjestelmistä, mutta lokinhallinnan avulla jokaiselle laitteelle on kerrottava, mihin lokit lähetetään. Se on kuitenkin suhteellisen yksinkertainen tehtävä, joka usein suoritetaan antamalla yksinkertainen komento.

LISÄLUKU:Paras verkkokaaviokarttaus- ja topologiaohjelmisto

Lokipalvelimet vai lokien hallinta?

Koska Syslog on ollut jo pitkään käytettävissä kaikissa Unix-kaltaisissa järjestelmissä - myös Linux -, sitä käytetään usein lokipalvelimena yhden tietokoneen kanssa, joka vastaanottaa Syslog-tietoja useilta muilta. Vaikka tällä lokien keskitetyllä varastoinnilla on selvät edut, se ei riitä, että sitä kutsutaan lokinhallintaksi.

Ansaitaksesi lokinhallintajärjestelmän nimen, tuotteen täytyy sisältää ainakin jotkut edistyneemmistä toiminnoista. Wikipedian mukaan ”lokien hallinta koostuu seuraavista toiminnoista: lokien keruu, keskitetty lokien yhdistäminen, lokien pitkäaikainen varastointi ja säilyttäminen, lokien kierto, lokien analysointi, lokien haku ja raportointi ”. Vau! Se on paljon toiminnallisuutta. Lokipalvelimet puolestaan ​​tarjoavat usein vain lokien keräämistä ja tallentamista ja harvoin enemmän.

Sana (tai kaksi) SIEM: stä

Toinen suosittu tekniikka, joka liittyy lokiin ja sekoitetaan usein lokien hallintajärjestelmiin, on tietoturvatiedot ja tapahtumien hallinta (SIEM). Tämä eroaa lokien hallinnasta, mutta liittyy läheisesti toisiinsa. Linja on niiden välillä niin ohut, että jotkut lokinhallintajärjestelminä mainostetut tuotteet ovat todella SIEM-järjestelmiä, kun taas jotkut SIEM-perusjärjestelmät ovat vain edistyneitä lokinhallintajärjestelmiä.

Sekaannus johtuu siitä, että lokien hallinta - tai ainakin loki-analyysi - on tärkeä osa SIEM-järjestelmiä. SIEM-järjestelmät erottavat sen, että ne suorittavat lokianalyysin lopullisena tavoitteenaan tunnistaa tietoturvaongelmat. He etsivät esimerkiksi merkkejä epäonnistuneista kirjautumisista, jotka voisivat olla merkki ilmaisimesta luvaton tunkeutumisyritys. Nämä järjestelmät skannaavat jatkuvasti lokitietoja etsivät jotain tavallista. Vaikka jotkut SIEM-järjestelmät sisältävät laajoja lokinhallintaominaisuuksia, toiset käyttävät ulkoista lokinhallintajärjestelmää, ja ei ole harvinaista nähdä molemmat järjestelmät toimimasta vierekkäin.

LIITTYVÄT LUKEMUKSET:Paras IP-skanneri Macille

Paras lokien hallinta Linuxille

Toivottavasti meillä on nyt yhteinen käsitys lokien hallinnasta ja mikä se ei ole. Katsotaanpa niin, mitä Linuxille on saatavana. Mutta ensin selitetään jotain. Kun viitataan Linux-lokien hallintaan, tarkoitamme lokinhallintajärjestelmiä, joihin mahtuu Linux-lokit ja jotka toimivat joko Linux-alustalla tai pilvessä. Jotkut valinnoistamme - erityisesti pilvipohjaiset järjestelmät - toimivat myös muiden alustojen lokien kanssa.

SolarWinds on tullut kotitalousnimi verkonvalvojien keskuudessa. Se on valmistanut joitain parhaista työkaluista lähes 20 vuoden ajan, ja tarjoaa meille hienoja kaistanleveyden seurantatyökaluja ja yhden parhaista NetFlow-analysaattoreista ja keräilijöistä. Yhtiö on myös tunnettu julkaisemasta useita ilmaisia ​​työkaluja, jotka vastaavat tiettyihin verkonvalvojien erityistarpeisiin, kuten aliverkon laskin tai syslog-palvelin.

• ILMAINEN SUUNNITELMA: SolarWinds Papertrail
• Virallinen latauslinkki: https://papertrailapp.com/plans

Ei niin kauan sitten, SolarWinds hankittu Papertrail, suosittu lokinhallintajärjestelmä. Se yhdistää lokitiedostot monista suosituista tuotteista, kuten Apache tai MySQL, sekä Ruby on Rails -sovelluksista, erilaisista pilvipalvelupalveluista ja muista tavallisista syslog- ja tekstipohjaisista lokitiedostoista. Papertrail käyttäjät voivat sitten käyttää verkkopohjaista hakuliittymää tai komentorivityökaluja etsiäksesi näitä tiedostoja erilaisten ongelmien diagnosoimiseksi. Papertrail integroituu myös muihin SolarWinds-tuotteisiin, kuten Libratoon ja Geckoboardiin tulosten kuvaajaksi.

Papertrail on pilvipohjainen ohjelmisto palveluna (SaaS), joka tarjoaa SolarWinds. Pilvipohjaisuus tarkoittaa, että se toimii hyvin koko Linux-ympäristössä. Alusta on helppo toteuttaa, käyttää ja ymmärtää, ja se antaa sinulle välittömän näkyvyyden kaikissa järjestelmissä muutamassa minuutissa. Lisäksi tuotteella on erittäin tehokas hakukone, joka voi etsiä sekä tallennettuja että suoratoistolokeja. Ja se on salamannopea.

Papertrail on saatavana useina suunnitelmina, mukaan lukien ilmainen suunnitelma. Se on kuitenkin jonkin verran rajallinen, ja sallii vain 100 Mt lokit joka kuukausi. Se sallii kuitenkin 16 Gt lokit ensimmäisessä kuussa, mikä vastaa antaa sinulle ilmaisen 30 päivän kokeilun. Maksetut suunnitelmat alkavat 7 dollaria kuukaudessa 1 Gt / kuukausi lokitiedoista, yhden vuoden arkiston ja yhden viikon hakemiston. Melun suodatus antaa työkalulle mahdollisuuden säilyttää tiedot tallentamatta turhia lokit.

Loggly on toinen pilvipohjainen verkkopalvelu. Ensisijaisesti lokien yhdistäjä, se tarjoaa myös loki-analyysitoiminnot. Koska järjestelmä on pilvipohjainen, se ei vaadi asennusta ja on valmis käyttämään tilaamaasi minuuttia. Tietysti järjestelmät ja laitteesi on määritettävä lataamaan vakio lokitiedostot säännöllisesti online-palvelimelle.

• ILMAINEN KOKEILU: Loggly suunnitelmat
• Virallinen linkki: https://www.loggly.com

Loggly sitten muuntaa vastaanotetut lokitiedot standardimuotoon, jolloin analysaattori voi prosessoida tietueita useista lähteet ja mahdollistavat tapahtumien seurannan ja korrelaation kaikissa järjestelmissä käyttöjärjestelmästä tai lokista riippumatta teknologiaa. Lokitietojen lähteet eivät ole rajoittuneet paikallisiin palvelimiin. Järjestelmä tietysti pystyy käsittelemään verkkopalvelimien, kuten Amazonin AWS: n ja WWW: n, tuottamat lokit se voi sisältää viestejä, jotka on luotu erityisissä sovelluksissa, kuten Docker ja Logstash, vain nimetäksesi harvat.

Loggly palvelu on saatavana kolmella erilaisella suunnitelmalla, kasvavilla tietojenkäsittelyrajoilla ja säilytysajoilla. Sinun on valittava oikea, jotta sinulla on tarpeeksi tilaa lokitiedoillesi. Alkutason suunnitelmaa kutsutaan Loggly Lite. Se on ilmainen käyttää. Tämän suunnitelman mukaan voit lähettää 200 Mt lokitietoja päivässä ja järjestelmä säilyttää kunkin tietueen seitsemän päivän ajan. Seuraava on vakiosuunnitelma, joka antaa sinulle lähetyskorvauksen 1 Gt päivässä ja säilyttää tietueet 30 päivän ajan. Maksettujen suunnitelmien avulla voit myös käyttää useita käyttäjätilejä. Standard-paketin avulla sinulla voi olla kolme käyttäjätiliä. Ylätasoa kutsutaan Loggly yritys. Sillä ei ole mitään rajaa määritettävien käyttäjätilien lukumäärälle, ja hinnat vaihtelevat riippuen lähetyskapasiteetin määrästä ja vaaditusta säilytysjaksosta. Maksu kaikista maksettavista suunnitelmista voi olla joko kuukausittain tai vuosittain ilmainen 14 päivän kokeiluversio on saatavana standardisuunnitelmassa.

3. Splunk

Splunk on hyvin tunnettu - järjestelmänhallintayhteisössä - kattava lokienhallintajärjestelmä Linuxille, Mac OS: lle ja Windowsille. Muuta kuin pelkkää lokinhallintajärjestelmää, jotkut katsovat sen olevan täysimittainen tunkeutumisen estävä järjestelmä. Tuotetta on saatavana kolmessa versiossa. Yläosassa on Splunk Enterprise joka on pikemminkin verkonhallintajärjestelmä kuin pelkkä lokinhallintatyökalu. Hinnoittelu alkaa 173 dollarista kuukaudessa ja saat paljon toiminnallisuutta.

On myös ilmainen versio Splunk joka on periaatteessa sama työkalu ilman joitain sen edistyneimmistä toiminnoista. Pohjimmiltaan se on rajoitettu lokitiedostoanalyysiin. Voit syöttää mitä tahansa tavanomaisia ​​lokitiedostoja tai lähettää sille live-tietoja tiedoston kautta analysaattoriin. Ilmaisella versiolla on muutama rajoitus. Sillä voi olla esimerkiksi vain yksi käyttäjätili, ja sen tiedonsiirtonopeus on rajoitettu 500 Mt lokit päivässä. Splunkiin on integroitu tietojen lajittelu- ja suodatusominaisuudet, mikä helpottaa vianetsintää. Voit käyttää näitä ominaisuuksia jakaa lokitietueet päivämäärän mukaan ja kirjoittaa jokaisen ryhmän uusiin tiedostoihin. Itse asiassa tämä toiminnallisuus on erittäin joustava.

4. Nagios-lokipalvelin

Nagios tunnetaan parhaiten erinomaisesta verkonvalvontaohjelmistosta, mutta sen lokipalvelin on yhtä mielenkiintoinen. Tuotetta kutsutaan yksinkertaisesti Nagios-lokipalvelin ja se tarjoaa keskitetyn lokien hallinnan, seurannan ja analysoinnin. Tämä työkalu voi huomattavasti yksinkertaistaa lokitietojesi hakua. Sen avulla voit myös asettaa hälytyksiä ilmoitettaviksi mahdollisista uhista. Lisäksi ohjelmistolla on korkea käytettävyys ja epäonnistuvuus sisäänrakennettu suoraan siihen. Lisäksi helpon lähteen asennusvelhojen avulla voit määrittää palvelimet nopeasti lähettämään kaikki lokitiedot ja aloittamaan lokien seurannan muutamassa minuutissa.

Nagios-lokipalvelin sallii lokipalvelutapahtumien helpon korreloinnin kaikilla palvelimilla vain muutamalla napsautuksella. Järjestelmä antaa sinun tarkastella lokitietoja reaaliajassa, jolloin sinulla on mahdollisuus analysoida ja ratkaista ongelmia niiden esiintyessä. Tuotteella on vaikuttava skaalautuvuus ja se vastaa tarpeitasi organisaation kasvaessa. lisä- Nagios-lokipalvelin ilmentymiä voidaan lisätä seurantaklusteriin, jolloin voit lisätä nopeasti enemmän virtaa, nopeutta, tallennustilaa ja luotettavuutta.

Yhden instanssin hinta Nagios-lokipalvelin on 3 995 dollaria ja vaikka ilmaista kokeilua ei näytä olevan saatavana, ilmainen online-esittely on, jos haluat mieluummin katsoa tuotetta ensin.

5. Graylog

Seuraava luettelossamme on tuote nimeltään Graylog. Tuote tarjoaa monia mielenkiintoisia ominaisuuksia. Työkalu jäsentää ja rikastuttaa lokit ja tapahtumatiedot mistä tahansa tietolähteestä. Sen prosessointiputket mahdollistavat jonkin verran joustavuutta viestien reitittämisessä, mustassa luettelossa muuttamisessa ja rikastamisessa reaaliajassa. Graylog etsii teratavuilla lokitietoja löytääksesi ja analysoidaksesi tärkeää tietoa. Tehokkaan hakusyntaksin avulla voit löytää juuri etsimäsi.

Kanssa Graylog, voit luoda kojetauluja visuaalisten tietojen näyttämiseksi ja trendien seuraamiseksi yhdessä keskeisessä paikassa. Voit käyttää kenttätilastoja, nopeita arvoja ja kaavioita hakutulossivulta sukeltaaksesi syvemmälle analyysillesi. Järjestelmällä on myös mahdollisuus käynnistää toimenpiteitä tai antaa ilmoituksia tapahtumista, kuten epäonnistuneet kirjautumisyritykset, poikkeukset tai suorituskyvyn heikkeneminen.

Graylog on ilmainen, avoimen lähdekoodin lokitiedostopohjainen järjestelmä, joka voi antaa sinulle paljon enemmän toimintoja kuin vain lokien arkistointiohjelma. Lokianalysaattorilla on graafinen käyttöliittymä ja se voi toimia Ubuntu-, Debian-, CentOS- ja SUSE Linux -käyttöjärjestelmissä. Voit myös käyttää sitä virtuaalikoneessa Microsoft Windowsissa ja voit asentaa Graylog-järjestelmän Amazon AWS: ään.

6. ManageEngine EventLog -analysaattori

ManageEngine, toinen yleinen nimi verkonvalvojien keskuudessa, tekee loistavasta lokinhallintajärjestelmästä nimeltään ManageEngine EventLog -analysaattori. Tuote kerää, hallitsee, analysoi, korreloi ja etsii yli 700 lähteen lokitiedot yhdistelmällä agenttittomia ja agenttipohjaisia ​​lokikokoelmia sekä lokien tuontia.

Nopeus on yksi ManageEngine EventLog -analysaattoriVahvuus. Se voi käsitellä lokitietoja vaikuttavalla 25 000 lokilla sekunnissa ja havaita hyökkäyksiä reaaliajassa. Se voi myös suorittaa nopean oikeuslääketieteellisen analyysin rikkomuksen vaikutusten vähentämiseksi. Järjestelmän auditointimahdollisuudet ulottuvat verkon kehälaitteiden lokiin, käyttäjän toimintoihin, palvelintilien muutoksiin, käyttäjän käyttöoikeuksiin ja muuhun, mikä auttaa sinua vastaamaan tietoturvatarkastusten tarpeisiin.

ManageEngine EventLog -analysaattori on saatavana ominaisuuksilla vähennetyssä ilmaisessa versiossa, joka tukee vain viittä lokilähdettä, tai premium-versiossa, joka alkaa 595 dollarista ja vaihtelee laitteiden ja sovellusten määrän mukaan. Saatavana on myös ilmainen, monipuolinen 30 päivän kokeiluversio.