8 parasta lokinhallintaohjelmistoa nopeamman vianmäärityksen kannalta

Nykyaikaiset järjestelmät tuottavat paljon lokitietoja. Monilla alustoilla jokainen tapahtuma, tärkeä vai ei, kirjataan jonnekin. Lokit varastoidaan yleensä paikallisesti. Tämä on järkevää, koska lokit on linkitetty niiden lähteeseen. Mutta kun yritetään vianmääritystä ja löytää niiden syy, se tarkoittaa usein, että meidän on tarkasteltava useita lokitiedostoja useissa laitteissa. Eikö olisi hienoa, jos kaikkien laitteiden kaikki lokit säilytettäisiin yhdessä paikassa? Lokien hallinta on sitä ja paljon muuta, kun olet selvittämässä. Ja tänään tarkastelemme parhaita lokien hallintajärjestelmiä.

Aloitamme yrittämällä selittää mitä lokien hallinta on. Kuten huomaat, se voi olla paljon muutakin kuin vain lokien tallennuksen keskittämistä. Seuraavaksi puhumme lokiprotokollien kirjaamisesta. Se on melko tärkeää, koska lokinhallintaa ei todennäköisesti olisi ilman niitä. Yritämme sitten erottaa syslog-palvelimet lokinhallintajärjestelmistä. Valitettavasti niiden välillä ei ole selkeää rajaa. Seuraamme keskustelua turvallisuustiedoista ja tapahtumien hallintajärjestelmistä, koska tämä on toinen asia järjestelmän tyyppi, joka sekoitetaan usein lokien hallintaan, jokseenkin epäselvän määritelmän ansiosta kukin. Ja lopuksi tarkastelemme kahdeksan löydettävää lokinhallintajärjestelmää.

Lokin hallinta - mikä se on

Ennen kuin voimme puhua lokien hallinnasta, katsotaan mitä loki on. Yksinkertaisesti määritelty loki on automaattisesti tuotettu ja aikaleimattu dokumentaatio tapahtumista, jotka liittyvät tiettyyn järjestelmään. Aina tapahtuma tapahtuu järjestelmässä, loki luodaan. Eri järjestelmät luovat lokit eri tapahtumille ja monet järjestelmät antavat järjestelmänvalvojille jonkin verran hallintaa siitä, mikä luo lokin ja mikä ei.

Kun puhumme lokien hallinnasta, tarkoitamme prosesseja ja käytäntöjä, joita käytetään ylläpitämiseen ja helpottaa suurten lokimäärien luomista, lähettämistä, analysointia, varastointia, arkistointia ja lopullista hävittämistä tiedot. Lokien hallinta tarkoittaa keskitettyä järjestelmää, jossa lokit kerätään useista lähteistä.

Mutta lokien hallinta ei ole vain lokien keräämistä. Johtamisen osa on tärkein. Lokinhallintajärjestelmillä on tyypillisesti useita toimintoja, lokien kerääminen on vain yksi niistä.

Kun lokien hallintajärjestelmä on vastaanottanut lokit, ne on käännettävä yhteiseen muotoon. Eri järjestelmät muotoilevat lokit eri tavalla ja sisällyttävät lokiinsa erilaisia ​​tietoja. Jotkut aloittavat lokin päivämäärällä ja kellonajalla, toiset alkavat sen tapahtuman numerolla. Jotkut sisältävät vain lokitunnuksen, kun taas toiset sisältävät tapahtuman täydellisen tekstimuotoisen kuvauksen. Yksi lokinhallintajärjestelmien tarkoituksista on varmistaa, että kaikki kerätyt lokitiedot tallennetaan yhtenäisessä muodossa. Tämä tekee etsimisestä ja tapahtumien korrelaatiosta paljon helpompaa.

Etsimisestä ja jopa korrelaatiosta puhuttaessa, tämä on toinen tärkeä tehtävä monissa lokinhallintajärjestelmissä. Joissakin heistä on tehokas hakukone, jonka avulla järjestelmänvalvojat voivat nollata juuri tarvitsemansa. Korrelaatiofunktiot ryhmittelevät liittyvät tapahtumat automaattisesti, vaikka ne olisivat peräisin eri lähteistä. Kuinka ja kuinka onnistuneesti eri lokinhallintajärjestelmä suorittaa, tämä on tärkeä erottava tekijä.

Kirjausprotokollat

Lokin hallinta olisi huomattavasti vaikeampaa, jos se olisi mahdollista, ellei se olisi lokiprotokollia varten. Muutamia niistä on olemassa, jotka määrittelevät, mitä tietoja lokiin lisätään, miten ne tulisi muotoilla ja miten ne tulisi siirtää järjestelmien välillä.

Syslog on kiistatta eniten käytetty kirjausprotokolla. Kahdenkymmenenluvun alkupuolella keksimästä siitä on tullut Unix-kaltaisten järjestelmien tosiasiallinen standardi. Yksi syslog-protokollan suurimmista hyödyistä on se, miten se erottaa lokit muodostavan ohjelmiston, niitä tallentavan järjestelmän ja niitä raportoivan ja analysoivan ohjelmiston. Syslog-protokollan käyttö helpottaa lokien hallintaa. Monet muut kuin Unix-laitteet, kuten kytkimet, reitittimet ja muut verkkoyrityslaitteet useilta valmistajilta, käyttävät varianttia syslog-protokollasta.

Kuten saatat arvata, Microsoft Windows käyttää erilaista kirjausjärjestelmää. Se voi olla tekemistä sen kanssa, että Windows-käyttöjärjestelmissä ja sovelluksissa on lokit, jotka sisältävät yleensä paljon enemmän tietoa kuin syslog salli. Onneksi Windows Event Collector -toiminnot tarjoavat keinon lokinhallintajärjestelmille, joita voidaan käyttää tapahtumien vastaanottamiseen Windows-koneilta.

Lokien käytöstä riippumatta tärkeä osa lokinhallintaa on laitteiden määrittäminen lähettämään lokit hallintajärjestelmään. Tämä eroaa muista työkaluista, kuten verkonvalvontajärjestelmistä, joissa työkalu hakee tietoja isäntiltä.

Lokipalvelimet Vs lokien hallinta

Koska sitä on ollut jokaisessa Unixin kaltaisessa järjestelmässä jo jonkin aikaa, Syslogia käytettiin usein lokipalvelimena yhden tietokoneen kanssa, joka vastaanottaa syslog-tietoja useilta muilta. Vaikka tällä lokien keskitetyllä varastoinnilla on selvät edut, se ei ole lokien hallinta.

Ansaitaksesi lokinhallintajärjestelmän nimen, tuotteen täytyy sisältää ainakin jotkut edistyneemmistä toiminnoista. Wikipedian mukaan lokien hallinta koostuu seuraavista toiminnoista: lokien keruu, keskitetty lokien yhdistäminen, lokien pitkäaikainen varastointi ja säilyttäminen, lokien kierto, lokien analysointi, lokien haku ja raportointi. Lokipalvelimet tarjoavat usein vain lokien keräämistä ja tallentamista ja harvoin enemmän. Jokainen ylimmän listan lokinhallintajärjestelmä tarjoaa ainakin joitain edistyneemmistä toiminnoista.

Entä SIEM-järjestelmät?

Toinen suosittu tekniikka, joka usein liitetään lokiin ja sekoitetaan lokien hallintajärjestelmiin Turvatiedot ja tapahtumien hallinta tai SIEM. Tämä eroaa aivan lokien hallinnasta, vaikka se on läheisesti toisiinsa liittyvä. Itse asiassa jotkut lokinhallintajärjestelminä mainostetut tuotteet ovat itse asiassa SIEM-järjestelmiä, kun taas jotkut SIEM-perusjärjestelmät ovat vain lokinhallintajärjestelmiä.

Pääsyy hämmennykseen on, että lokien hallinta tai ainakin lokianalyysi on tärkeä osa SIEM-järjestelmiä. Itse asiassa SIEM-järjestelmät vievät lokinhallinnan yleensä seuraavalle tasolle lisäämällä prosessiin älykkyyttä. Nämä järjestelmät suorittavat lokianalyysin lopullisena tavoitteenaan tunnistaa tietoturvaongelmat. He etsivät esimerkiksi merkkejä epäonnistuneista kirjautumisista, jotka osoittavat luvattoman tunkeutumisyrityksen. Nämä järjestelmät tarkistavat lokitiedot automaattisesti etsimällä jotain epätavallista.

SIEM-järjestelmät liittyvät enemmän tietoturvaan kuin IT-hallintaan, ja toiset sisältävät laajan lokienhallinnan ominaisuuksia, monet voivat käyttää myös ulkoista lokinhallintajärjestelmää, ja ei ole harvinaista nähdä molempia järjestelmiä toimimasta vierekkäin puolella.

Paras lokinhallintaohjelmisto

Nyt kun meillä on yhteinen käsitys lokien hallinnasta ja mikä se ei ole, katsotaanpa mitä on saatavilla. Olemme etsineet markkinoilta parhaita lokinhallintajärjestelmiä. Alkuperäinen havainto on, että heitä on paljon ja monet heistä erittäin hyviä. Mutta meillä on vain niin paljon tilaa, joten olemme tarkistamassa kahdeksan mielenkiintoisinta, joita löysimme.

SolarWinds on yleinen nimi verkonhallintatyökalujen alalla. Se on ollut melkein 20 vuotta ja tuonut meille yhden parhaista kaistanleveyden seuranta työkalut ja yksi parhaista NetFlow-analysaattorit ja keräilijät. Yhtiö on myös tunnettu julkaisemasta useita ilmaisia ​​työkaluja, jotka vastaavat tiettyihin verkonvalvojien erityistarpeisiin, kuten aliverkon laskin tai a syslog-palvelin.

Muutama vuosi sitten SolarWinds osti Papertrail, suosittu lokinhallintajärjestelmä. Se yhdistää lokitiedostot monista suosituista tuotteista, kuten Apache tai MySQL, sekä Ruby on Rails -sovelluksista, erilaisista pilvipalveluista ja muista tavallisista tekstitiedostoista. Papertrail käyttäjät voivat sitten käyttää verkkopohjaista hakuliittymää tai komentorivityökaluja etsiäksesi näitä tiedostoja vikojen ja suorituskykyongelmien diagnosoimiseksi. Papertrail integroituu myös muihin SolarWinds-tuotteisiin, kuten Libratoon ja Geckoboardiin tulosten kuvaajaksi.

Papertrail on pilvipohjainen ohjelmisto palveluna (SaaS), joka tarjoaa SolarWinds. Se on helppo toteuttaa, käyttää ja ymmärtää. Ja se antaa sinulle välittömän näkyvyyden kaikissa järjestelmissä muutamassa minuutissa. Työkalulla on erittäin tehokas hakukone, joka voi etsiä sekä tallennettuja että suoratoistolokeja. Ja se on salamannopea.

Papertrail on saatavana useina suunnitelmina, mukaan lukien ilmainen suunnitelma. Se on kuitenkin jonkin verran rajallinen, ja sallii vain 100 Mt lokit joka kuukausi. Se sallii kuitenkin 16 Gt lokit ensimmäisessä kuussa, mikä vastaa ilmaisen 30 päivän kokeilujakson antamista. Maksetut suunnitelmat alkavat 7 dollaria kuukaudessa 1 Gt / kuukausi lokitiedoista, yhden vuoden arkiston ja yhden viikon hakemiston. Melun suodatus antaa työkalulle mahdollisuuden säilyttää tiedot tallentamatta turhia lokit.

Seuraava merkintömme on toinen SolarWindsin tuote, nimeltään SolarWinds Lokien ja tapahtumien hallinta. Vastoin aikaisempaa ilmoituksemme, tämä on paikallisesti asennettu tuote. Ja se on myös paljon muutakin kuin vain lokinhallintajärjestelmä. Monet tämän tuotteen edistyneistä ominaisuuksista asettavat sen SIEM-sarjaan. Siinä on esimerkiksi reaaliaikainen vent korrelaatio ja reaaliaikainen korjaus.

Tässä on yleiskatsaus SolarWinds Log & Event ManagerTärkeimmät ominaisuudet. Se eliminoi uhat nopeasti käyttämällä epäilyttävän toiminnan välitöntä havaitsemista ja automatisoituja vastauksia. Se voi myös suorittaa tietoturvatapahtumien tutkinnan ja rikostutkinnan lieventämiseksi ja noudattamiseksi. Ja puhuttaessa vaatimustenmukaisuudesta, tuotteen avulla voit osoittaa sen, muun muassa HIPAA: n, PCI DSS: n ja SOX: n auditoidun raportoinnin ansiosta. Tällä työkalulla on myös tiedostojen eheyden valvonta ja USB-laitteiden valvonta, kaksi ominaisuutta, jotka ovat huomattavasti korkeammat kuin mitä lokien hallintajärjestelmissä yleisesti näemme.

Hinnat SolarWinds Log & Event Manager alkaa 4585 dollarista jopa 30 valvotulle solmulle. Enintään 2500 solmun lisenssejä voi ostaa, mikä tekee tuotteesta erittäin skaalautuvan. Ja jos haluat varmistaa käytännössä, että tuote sopii sinulle, on saatavana ilmainen, monipuolinen 30 päivän kokeiluversio.

3. ipswitch Log Management Suite

Lokinhallintaohjelma on työkalu Ipswitchiltä, ​​samalta yritykseltä, joka toi meille WhatsUp Goldin, erittäin suositun verkonvalvontatyökalun. Tämä on automatisoitu työkalu, joka kerää, tallentaa, arkistoi ja tallentaa järjestelmälokit, Windows-tapahtumat ja W3C / IIC-lokit. Lisäksi sen jatkuva lokivalvonta ilmoittaa sinulle epäilyttävistä toimista.

Usein tarkastettuja tapahtumia, kuten käyttöoikeuksia sekä tiedosto-, kansio- ja objektioikeuksia, voidaan seurata, tuottaa hälytyksiä tarpeen mukaan ja niitä käytetään HIPAA: n, SOX: n, FISMA: n, PCI: n, MiFID: n tai Basel II: n vaatimustenmukaisuusraporttien laatimiseen noudattamista. Työkalu voi myös auttaa sinua muuttamaan raakat lokitiedot merkityksellisiksi tiedoiksi johtajille tai tietoturvaryhmille automaattisen suodatus-, korrelointi-, raportointi- ja muuntamisominaisuuksien ansiosta.

Hinnoittelutiedot Lokinhallintaohjelma ei ole helposti saatavissa Ipswitchiltä. Tuotteen voi ostaa joko suoraan kustantajalta tai Ipswitchin jälleenmyyjäverkoston kautta. Saatavana on myös ilmainen kokeiluversio.

4. ManageEngine EventLog -analysaattori

ManageEngine, toinen yleinen nimi verkonvalvojan kanssa, tekee loistavasta lokinhallintajärjestelmästä nimeltään ManageEngine EventLog -analysaattori. Tuote kerää, hallitsee, analysoi, korreloi ja etsii yli 700 lähteen lokitiedot yhdistelmä- tai agenttittomasta ja agenttipohjaisesta lokikokoelmasta sekä lokien tuonnista.

Nopeus on yksi ManageEngine EventLog -analysaattoriVahvuus. Se voi käsitellä lokitietoja vaikuttavalla 25 000 lokilla sekunnissa ja havaita hyökkäykset reaaliajassa. Se voi myös suorittaa nopean oikeuslääketieteellisen analyysin rikkomuksen vaikutusten vähentämiseksi. Järjestelmän auditointimahdollisuudet ulottuvat verkon kehälaitteiden lokiin, käyttäjän toimintoihin, palvelintilien muutoksiin, käyttäjän käyttöoikeuksiin ja muuhun, mikä auttaa sinua vastaamaan tietoturvatarkastusten tarpeisiin.

ManageEngine EventLog -analysaattori on saatavana ominaisuuksilla vähennetyssä ilmaisessa versiossa, joka tukee vain viittä lokilähdettä, tai premium-versiossa, joka alkaa 595 dollarista ja vaihtelee laitteiden ja sovellusten määrän mukaan. Saatavana on myös ilmainen, monipuolinen 30 päivän kokeiluversio.

5. Nagios-lokipalvelin

Nagios tunnetaan parhaiten erinomaisesta verkonvalvontaohjelmisto mutta sen lokipalvelin on mahdollisesti yhtä mielenkiintoinen. Soitettiin oikein Nagios-lokipalvelin, se tarjoaa keskitetyn lokien hallinnan, seurannan ja analysoinnin. Nagios-lokipalvelin yksinkertaistaa lokitietojen hakuprosessia. Sen avulla voit myös asettaa hälytyksiä ilmoitettaviksi mahdollisista uhista. Lisäksi ohjelmistolla on korkea käytettävyys ja epäonnistuvuus sisäänrakennettu. Sen helppo lähteen asennusvelho auttaa sinua määrittämään palvelimet nopeasti lähettämään kaikki lokitiedot ja aloittamaan lokien seurannan muutamassa minuutissa.

Nagios-lokipalvelin antaa sinun korreloida kaikkien palvelimien lokitapahtumat helposti vain muutamalla napsautuksella. Ja sen avulla voit tarkastella lokitietoja reaaliajassa, jolloin pystyt analysoimaan ja ratkaisemaan ongelmia niiden esiintyessä. Tuotteella on vaikuttava skaalautuvuus ja se vastaa tarpeitasi organisaation kasvaessa. lisä- Nagios-lokipalvelin ilmentymiä voidaan lisätä seurantaklusteriin, jolloin voit lisätä nopeasti enemmän virtaa, nopeutta, tallennustilaa ja luotettavuutta.

Yhden instanssin hinta Nagios-lokipalvelin on 3 995 dollaria ja vaikka ilmaista kokeilua ei näytä olevan saatavana, ilmainen online-esittely on, jos haluat mieluummin katsoa tuotetta ensin.

6. Hälytyslogiikan hallinta

Alert Logicin painopiste on turvallisuus ja noudattaminen. Ja koska tukin hallinta liittyy läheisesti molempiin, ei ole yllättävää, että yritys tarjoaa Hälytyslogiikan hallinta. Tämä pilvipohjainen työkalu tarjoaa automatisoidun ja yhtenäisen lokien hallinnan kaikissa ympäristöissäsi. Se kerää, yhdistää ja hakee lokitietoja pilvestä, palvelimesta, sovelluksista, tietoturvasta ja verkkoresursseista.

Hälytyslogiikan hallinta sisältää lokien seurannan ja analysoinnin sekä loki-tarkastelun, jonka tekevät ihmisanalysaattorit. Alert Logicin asiantuntijat ilmoittavat mahdollisista uhkatoimista 365 päivää vuodessa. Palvelu auttaa myös täyttämään SOC 2: n, HIPAA: n ja SOX: n lokien tarkistusvaatimukset ja poistamaan lokien tarkistamisen ja tapahtumien seurannan taakan noudattamaan PCI / DSS 10.6, 10.6.1, 10.6.3

Hinnoittelutiedot Hälytyslogiikan hallinta ei ole helposti saatavissa verkosta, ja sinun on otettava yhteyttä Alert Logic -myyntiin saadaksesi virallisen tarjouksen. Ilmaista kokeilua ei myöskään ole saatavana, mutta ilmainen esittely voidaan järjestää ottamalla yhteyttä hälytyslogiikkaan.

7. LogDNA

Perustettu vuonna 2015, LogDNAon uusi lapsi blokissa. Yhtiö väittää, että ”LogDNA on nopein, intuitiivisin ja kustannustehokkain lokinhallintajärjestelmä ”. Kaikki alkaa asennuksesta, joka vie vain muutaman minuutin, ennen kuin voit aloittaa lokien seurannan. Lokien muodostumisesta ja lähettämisestä riippumatta on saatavana satoja mukautettuja integraatiojärjestelmiä, jotta lokit voidaan keskittää yhteen ruutuun.

LogDNA voi olla pilvipohjainen tai itseisäntä, mielesi mukaan. Se on erittäin skaalautuva ja pystyy käsittelemään satoja tuhansia lokkeja sekunnissa ja kymmeniä teratavuja asiakasa kohden päivässä täysin turvallisena reaaliaikaisen lokianalyysin avulla. Yhtiö ja sen tuotteet ovat SOC2-, PCI- ja HIPAA-yhteensopivia sekä Privacy Shield -sertifioituja.

Yrityksellä on yksinkertaisella, pay-per-GB-hinnoittelumallilla, joka eliminoi sopimukset ja kiinteät tietosarjat, on alhaisimmat kokonaiskustannukset. Useita tilaussuunnitelmia on saatavana kasvavilla ominaisuuksilla. Pohjakerroksen suunnitelma on ilmainen ja maksetut järjestelyt vaihtelevat 1,50 dollarista / kk / kk - 3 dollari / kk / kk riippuen säilytysajasta ja käyttäjien lukumäärästä. Saatavana on myös ilmainen, monipuolinen 14 päivän kokeiluversio.

8. Graylog

Viimeisin luettelossamme on tuote nimeltään Graylog. Tuote tarjoaa monia mielenkiintoisia ominaisuuksia. Työkalu jäsentää ja rikastuttaa lokit ja tapahtumatiedot mistä tahansa tietolähteestä. Sen prosessointiputket mahdollistavat jonkin verran joustavuutta viestien reitittämisessä, mustassa luettelossa muuttamisessa ja rikastamisessa reaaliajassa. Graylog etsii teratavuilla lokitietoja löytääksesi ja analysoidaksesi tärkeää tietoa. Tehokkaan hakusyntaksin avulla voit löytää juuri etsimäsi.

Kanssa Graylog, voit luoda kojetauluja visuaalisten tietojen näyttämiseksi ja trendien seuraamiseksi yhdessä keskeisessä paikassa. Voit käyttää kenttätilastoja, nopeita arvoja ja kaavioita hakutulossivulta sukeltaaksesi syvemmälle analyysillesi. Järjestelmällä on myös mahdollisuus käynnistää toimenpiteitä tai antaa ilmoituksia tapahtumista, kuten epäonnistuneet kirjautumisyritykset, poikkeukset tai suorituskyvyn heikkeneminen.

Graylog on saatavana joko ilmaisena ja avoimen lähdekoodin ominaisuuksilla rajoitettuna versiona, jolla on myös rajoitettu tuki, tai yritysversiona, jolla on laajennetut ominaisuudet ja rajoittamaton tuki. Koeluvan voi hankkia myös ottamalla yhteyttä Graylog myynti.