6 najboljih alata za upravljanje zapisnicima za Linux u 2020. godini

S današnjim sustavima koji generiraju mnoštvo podataka za bilježenje dnevnika, ne čudi da administratori uvijek traže rješenja za upravljanje zapisnicima. Zapisi se prema zadanim postavkama često pohranjuju lokalno. To ima smisla jer ih je lako povezati s njihovim izvorom. No, kada pokušavamo riješiti probleme i pronaći njihov osnovni uzrok, ponekad moramo pogledati više datoteka dnevnika na brojnim uređajima. Ne bi li bilo lijepo kad bi se svi zapisi s svih uređaja pohranili na jedno, centralizirano mjesto? To je svrha upravljanje zapisnicima. A ako je vaša platforma izbora Linux, na raspolaganju vam je puno opcija. Čitajte dalje dok otkrivamo neke od najboljih načina upravljanja zapisnicima za Linux

Alati za upravljanje zapisima za Linux

Započet ćemo definiranjem upravljanja zapisnikom. Vidjet ćete da to može biti prilično malo više od samo centraliziranja pohrane dnevnika. Zatim ćemo razgovarati razne tehnologije sječe drva. Oni su okosnica upravljanja zapisnicima i bez njih vjerovatno ne bi postojali. U nastavku ćemo razlikovati syslog servere od sustava upravljanja zapisnicima i shvatiti da ne postoji jasno razgraničenje između njih. Zatim ćemo nakratko zastati i razgovarati

Sigurnosni podaci i sustavi upravljanja događajima. Oni su druga vrsta sustava koji se često miješa s upravljanjem zapisnikom, zahvaljujući pomalo nejasnoj definiciji svakog od njih. I na kraju, pregledat ćemo najbolje upravljanje dnevnikom za Linux.

Što je upravljanje dnevnikom?

Prije nego što možemo razgovarati o upravljanju zapisnicima, definirajmo što je zapisnik. Jednostavno definirano, zapisnik je automatski izrađena i vremenski označena dokumentacija događaja relevantnog za određeni sustav. Drugim riječima, svaki put kada se događaj dogodi u sustavu, generira se dnevnik. Sustavi i uređaji generirat će zapisnike za različite vrste događaja i mnogi sustavi daju administratorima određenu kontrolu nad događajem koji generira zapisnik, a koji ne.

Što se tiče upravljanja zapisnikom, jednostavno se odnosi na procese i politike koje se koriste za administriranje i olakšavanje stvaranje, prijenos, analiza, pohrana, arhiviranje i eventualno odlaganje velikih količina podataka dnevnika. Iako nije jasno rečeno, upravljanje dnevnicima podrazumijeva centralizirani sustav u kojem se prikupljaju zapisnici iz više izvora. Upravljanje zapisima nije samo prikupljanje dnevnika. Upravni dio je najvažniji. A sustavi za upravljanje zapisnicima često imaju višestruke funkcionalnosti, a skupljanje trupaca samo je jedan od njih.

Nakon što sustav za upravljanje zapisnicima primi zapisnike, potrebno ih je standardizirati u zajednički format, jer različiti sustavi zapisa dnevnika razlikuju i uključuju različite podatke. Neki pokreću dnevnik s datumom i vremenom, neki započnu s brojem događaja. Neki sadrže samo ID događaja, dok drugi sadrže opis cijelog teksta. Jedna od svrha sustava upravljanja zapisnicima je osigurati da se svi prikupljeni unosi u dnevnik pohranjuju u jednoličnom formatu. Ovo će dovesti do korelacije događaja i lakšeg pretraživanja.

Čak su korelacija i pretraživanje dvije dodatne glavne funkcije nekoliko sustava upravljanja zapisnicima. Najbolji od njih imaju moćnu tražilicu koja omogućava administratorima da se uključe u ono što im je potrebno. Korelacijske funkcije automatski će grupirati povezane događaje, čak i ako su iz različitih izvora. Na koji način i kako uspješno postižu različite sustave upravljanja zapisnicima, to je glavni faktor koji razlikuje.

TAKO PROČITAJTE:15 najboljih mrežnih nadzornih alata (naša vlastita recenzija)

Tehnologije sječe

Upravljanje zapisnikom bilo bi mnogo teže, možda čak i nemoguće, da nije bilo protokola za bilježenje zapisa. Nekoliko ih postoji. Oni definiraju koje podatke treba uvrstiti u zapisnike, kako ih treba oblikovati i ponekad kako će se prenositi između sustava.

Syslog je vjerojatno najčešće korišteni protokol za bilježenje, posebno u svijetu Linuxa. Tehnologija je izumljena početkom osamdesetih godina i postala je de-facto standard za sve sustave slične Unixu. Jedno od najvećih bogatstava syslog tehnologije je kako olakšava razdvajanje sustava ili softver koji stvara zapisnike, sustav koji ih pohranjuje i softver koji izvještava i analizira ih. Korištenje Syslog tehnologije znatno olakšava upravljanje zapisnicima. A Syslog nije Unix ekskluzivan. Mnogi uređaji koji nisu Unix, poput sklopki, usmjerivača i sve vrste opreme od mnogih proizvođača koriste varijantu protokola syslog.

Postoje i druge tehnologije za sječu. Microsoft Windows, na primjer, koristi drugi sustav prijavljivanja. To bi moglo imati veze s činjenicom da Windows operativni sustavi i aplikacije imaju zapisnike koji obično sadrže detaljnije informacije nego što to dopušta tehnologija Syslog. Srećom, funkcije Windows Event Collector nude način upravljanja zapisima koji različiti sustavi mogu koristiti za primanje događaja od Windows domaćina. Ovaj post govori o upravljanju zapisnikom u Linuxu, tako da ipak ne gubimo previše vremena na Windows.

Bez obzira na to koja se tehnologija zapisivanja koristi, važan dio upravljanja dnevnikom je konfiguriranje uređaja za slanje svojih zapisa u sustav upravljanja. Ostale vrste alata kao što su sustavi za nadzor mreže mogu dohvaćati podatke iz sustava koje prate, ali uz upravljanje zapisnikom, za svaki uređaj mora se reći "gdje" poslati svoje zapisnike. No, to je, međutim, relativno jednostavan zadatak koji se često izvršava izdavanjem jednostavne naredbe.

DALJNJE ČITANJE:Najbolji softver za mapiranje i topologiju dijagrama mreže

Poslužitelji dnevnika ili upravljanje dnevnikom?

Budući da je već dugo vremena dostupan u svim sustavima sličnim Unixu, uključujući Linux -, Syslog se često koristi kao poslužitelj dnevnika s jednim računalom koji prima Syslog podatke od nekoliko drugih. Iako ova centralizirana pohrana trupaca ima određene prednosti, nije dovoljno nazvati upravljanje zapisnikom.

Da bi zaslužio naziv Sustava upravljanja zapisima, proizvod mora sadržavati barem neke naprednije funkcije. Prema Wikipediji, "upravljanje dnevnikom sastoji se od sljedećih funkcija: prikupljanje dnevnika, centralizirano združivanje zapisnika, dugoročno pohranjivanje i zadržavanje dnevnika, rotacija zapisa, analiza zapisa, pretraživanje dnevnika i izvješćivanje ”. Wow! To je puno funkcionalnosti. S druge strane, poslužitelji dnevnika često nude samo prikupljanje i pohranu zapisa i rijetko više od toga.

Riječ (ili dvije) o SIEM-u

Druga popularna tehnologija koja je povezana s zapisnicima i koja se često miješa sa sustavima upravljanja zapisima je Sigurnosne informacije i upravljanje događajima ili SIEM. Ovo se razlikuje od upravljanja dnevnikom, a usko je povezano. Linija je tako tanka da su neki proizvodi oglašeni kao sustavi upravljanja zapisnicima zapravo SIEM sustavi, dok neki osnovni SIEM sustavi nisu ništa drugo do napredni sustavi upravljanja zapisnicima.

Konfuzija proizlazi iz činjenice da je upravljanje zapisnicima - ili u najmanju ruku analiza dnevnika - važna komponenta SIEM sustava. Ono što razlikuje sustave SIEM je da oni provode analizu dnevnika s krajnjim ciljem identificiranja sigurnosnih problema. Na primjer, oni će tražiti znakove neuspješne prijave koji bi mogli biti znak značenja an neovlašteni pokušaj upada. Ovi sustavi kontinuirano skeniraju unose u dnevnik tražeći išta neobično. Iako neki sustavi SIEM-a sadrže opsežne značajke upravljanja zapisnicima, neki koriste vanjski sustav upravljanja zapisnicima i nije neuobičajeno da oba sustava vide jedan uz drugi.

ODNOSNO ČITANJE:Najbolji IP skeneri za Mac

Najbolje upravljanje zapisima za Linux

Nadamo se da sada imamo zajedničko razumijevanje što je upravljanje zapisnicima i što nije. Dakle, pogledajmo što je na raspolaganju za Linux. No prvo, razjasnimo nešto. Kada govorimo o upravljanju Linux logom, podrazumijevamo sustave za upravljanje dnevnicima koji mogu smjestiti Linux zapisnike i koji će se pokrenuti na Linux platformi ili u oblaku. Neki će naš izbor, posebno sustavi utemeljeni na oblaku, također raditi s zapisnicima s drugih platformi.

SolarWinds postalo je kućno ime među mrežnim administratorima. Izrađuje neke od najboljih alata gotovo 20 godina, donoseći nam sjajne alate za praćenje propusnosti i jedan od najboljih NetFlow analizatora i sakupljača. Tvrtka je također poznata po objavljivanju nekoliko besplatnih alata koji rješavaju neke specifične potrebe mrežnih administratora, kao što su kalkulator podmreže ili syslog poslužitelj.

Nadzorna ploča Papertrail SolarWinds
  • BESPLATNI PLAN: SolarWinds Papertrail
  • Službena veza za preuzimanje: https://papertrailapp.com/plans

Ne tako davno, SolarWinds stečena Papertrail, popularan sustav upravljanja zapisnicima. Ona objedinjuje datoteke dnevnika iz širokog spektra popularnih proizvoda poput Apache ili MySQL, kao i Ruby on Rails aplikacija, različitih usluga hostinga u oblaku i ostalih standardnih datoteka i datoteka sa sjedištem u tekstu. Papertrail tada korisnici mogu pomoću internetskog sučelja za pretraživanje ili alata naredbenog retka pretraživati ​​te datoteke kako bi dijagnosticirali različite probleme. Papertrail se također integrira s ostalim proizvodima SolarWinds kao što su Librato i Geckoboard za rezultate grafikona.

Papertrail je softver utemeljen na oblaku kao usluga (SaaS) koja nudi SolarWinds. To što se temelji na oblaku znači da će to raditi u all-Linux okruženju. Platformu je lako implementirati, koristiti i razumjeti, a dat će vam trenutnu vidljivost na svim sustavima u roku od nekoliko minuta. Nadalje, proizvod ima vrlo učinkovitu tražilicu koja može pretraživati ​​i pohranjene i strujne zapisnike. I to munjevito brzo.

Papertrail je dostupan u nekoliko planova, uključujući besplatni plan. Međutim, nešto je ograničeno i omogućuje samo 100 MB zapisnika mjesečno. Međutim, omogućit će 16 GB trupaca u prvom mjesecu, što je jednako omogućujući vam besplatno 30-dnevno suđenje. Plaćeni planovi počinju od 7 USD mjesečno za 1GB / month zapisnika, 1 godinu arhiva i 1 tjedan indeksa. Pročišćavanje buke omogućuje alatu da sačuva podatke ne štedeći beskorisne zapise.

Loggly je još jedna internetska usluga utemeljena na oblaku. Prvenstveno konsolidator dnevnika, on također nudi funkciju analize dnevnika. Zbog toga što je utemeljen u oblaku, ovaj sustav ne zahtijeva instalaciju i spreman je iskoristiti minutu na koju se pretplatite. Naravno, vaše sustave i uređaje morat ćete konfigurirati da povremeno prenose svoje standardne datoteke dnevnika na internetski poslužitelj.

Snimka zaslona Loggly
  • BESPLATNO ISPITIVANJE: Loggly planovi
  • Službena veza: https://www.loggly.com

Loggly zatim pretvara primljene podatke dnevnika u standardni format, omogućujući analizatoru da obrađuje zapise iz raznih izvori i omogućavanje praćenja i povezanosti događaja u svim sustavima, bez obzira na njihov operativni sustav ili prijavu tehnologija. Izvori podataka dnevnika nisu ograničeni na vaše lokalne poslužitelje. Sustav je, naravno, u mogućnosti obraditi zapisnike generirane na mrežnim poslužiteljima, poput Amazonovih AWS i može uključivati ​​poruke kreirane od strane određenih aplikacija, kao što su Docker i Logstash, samo radi naziva nekoliko.

Loggly usluga je dostupna u okviru tri različita plana, uz povećanje ograničenja obrade podataka i vremena zadržavanja. Trebate odabrati pravi koji će vam osigurati dovoljno prostora za vaše zapisnike. Naziva se plan ulazne razine Loggly Lite. Besplatna je upotreba. Prema ovom planu možete dnevno prenijeti 200 MB podataka zapisnika i sustav će svaki zapis čuvati sedam dana. Slijedi Standardni plan koji vam daje naknadu za prijenos od 1 GB dnevno i čuva evidenciju 30 dana. Plaćeni planovi omogućavaju vam i korištenje više korisničkih računa. S paketom Standard možete imati tri korisnička računa. Naziva se gornji sloj Loggly Poduzeće. Nema ograničenja u broju korisničkih računa koje možete postaviti, a cijene variraju ovisno o količini učitavanja i vremenu zadržavanja koji vam je potreban. Plaćanje za sve plaćene planove može biti mjesečno ili godišnje i besplatno je 14-dnevno probno razdoblje dostupno na Standardnom planu.

3. Splunk

Splunk je dobro poznat u zajednici administracije sustava - sveobuhvatni sustav upravljanja zapisnicima za Linux, Mac OS i Windows. Nešto više od osnovnog sustava upravljanja zapisnikom, neki smatraju da je to cjelovit sustav za sprječavanje provale. Proizvod je dostupan u tri verzije. Na vrhu je Splunk Enterprise koji je više sustav upravljanja mrežom, a ne samo alat za upravljanje zapisnikom. Cijene počinju od 173 USD mjesečno i dobivate puno funkcionalnosti.

Snimka zaslona za upravljanje splunk-om

Postoji i besplatna verzija Splunk koji je u osnovi isti alat bez nekih svojih najnaprednijih funkcionalnosti. U osnovi je ograničen na analizu datoteka zapisa. Možete unositi bilo koju standardnu ​​datoteku dnevnika ili ih uživo poslati putem datoteke u analizator. Besplatna verzija ima nekoliko ograničenja. Na primjer, može imati samo jedan korisnički račun, a protok podataka mu je ograničen na 500 MB dnevnika dnevno. Funkcija razvrstavanja i filtriranja podataka ugrađena je u Splunk, što vam olakšava napore za rješavanje problema. Ovim značajkama možete koristiti za dijeljenje zapisa zapisa po datumu i pisanje svake grupe u nove datoteke. U stvari, ova je funkcionalnost vrlo fleksibilna.

4. Nagios Log Server

Nagios najpoznatiji je po izvrsnom softveru za nadgledanje mreže, ali njegov Log Server jednako je zanimljiv. Proizvod se jednostavno naziva Nagios Log Server nudi centralizirano upravljanje, nadgledanje i analizu dnevnika. Ovaj alat može uvelike pojednostaviti postupak pretraživanja podataka dnevnika. Također vam omogućuje postavljanje upozorenja kako biste bili obaviješteni o potencijalnim prijetnjama. Osim toga, softver ima visoku dostupnost i ugrađen propust u njega. Nadalje, čarobnjaci za jednostavno postavljanje izvora pomoći će vam da brzo konfigurirate poslužitelje za slanje svih podataka dnevnika i započnete nadzor nad zapisnicima u nekoliko minuta.

Podaci u stvarnom vremenu Nagios poslužitelja dnevnika

Nagios Log Server omogućuje jednostavnu korelaciju događaja dnevnika na svim poslužiteljima u samo nekoliko klikova. Sustav će vam omogućiti da pregledavate podatke dnevnika u stvarnom vremenu, dajući vam mogućnost analize i rješavanja problema dok se pojave. Proizvod ima impresivnu skalabilnost i nastavit će zadovoljavati vaše potrebe s rastom vaše organizacije. dodatni Nagios Log Server primjerci se mogu dodati grupi za praćenje, omogućujući vam brzo dodavanje više snage, brzine, pohrane i pouzdanosti.

Cijena za jedan primjerak Nagios Log Server je 3 995 USD, a iako se čini da besplatna proba nije dostupna, besplatna mrežna demonstracija je, ako biste radije pogledali proizvod iz prve ruke.

5. Graylog

Sljedeći na našem popisu je proizvod pod nazivom Graylog. Proizvod nudi mnogo zanimljivih značajki. Alat će raščistiti i obogatiti zapisnike i podatke o događajima iz bilo kojeg izvora podataka. Njegovi cjevovodi za obradu omogućuju određenu fleksibilnost u usmjeravanju, crnom popisu, izmjeni i obogaćivanju poruka u stvarnom vremenu. Graylog pretražit će kroz terabajte podataka dnevnika kako bi otkrio i analizirao važne podatke. Snažna sintaksa pretraživanja omogućuje vam da pronađete upravo ono što tražite.

Snimka zaslona Graylog

S Graylog, možete izraditi nadzorne ploče za vizualizaciju mjernih podataka i promatranje trendova na jednom središnjem mjestu. Možete koristiti statistiku na terenu, brze vrijednosti i grafikone sa stranice rezultata pretraživanja za ulazak u dublju analizu podataka. Sustav također ima mogućnost pokretanja radnji ili izdavanja obavijesti o događajima kao što su neuspjeli pokušaji prijave, iznimke ili pogoršanje performansi.

Graylog je besplatni sustav temeljen na datoteci s otvorenim kodom dnevnika koji vam može dati puno više funkcionalnosti nego samo uslužni program za arhiviranje zapisa. Ovaj analizator dnevnika ima grafičko korisničko sučelje i može se izvoditi na Ubuntu, Debian, CentOS i SUSE Linuxu. Možete ga pokrenuti i na virtualnom računalu u sustavu Microsoft Windows, a sustav Graylog možete instalirati na Amazon AWS.

6. ManageEngine EventLog Analyzer

ManageEngine, još jedno uobičajeno ime među mrežnim administratorom, čini odličan sustav upravljanja zapisnikom koji se zove ManageEngine EventLog Analyzer. Proizvod će prikupljati, upravljati, analizirati, korelirati i pretraživati ​​podatke dnevnika više od 700 izvora koristeći kombinaciju zbirke dnevnika temeljenih na agentima i na agentu kao i uvoz dnevnika.

ManageEngine EventLog Analyzer

Brzina je jedna od ManageEngine EventLog AnalyzerSnagu. Može obraditi podatke dnevnika pri impresivnih 25 000 zapisa / sekundi i otkriti napade u stvarnom vremenu. Također može obaviti brzu forenzičku analizu kako bi se smanjio utjecaj kršenja. Mogućnosti revizije sustava proširuju se na zapise mrežnih perimetara, korisničke aktivnosti, promjene računa na poslužitelju, korisničke pristupe i još mnogo toga, pomažući vam u ispunjavanju potreba revizije sigurnosti.

ManageEngine EventLog Analyzer dostupan je u besplatnom izdanju s smanjenim značajkama koje podržava samo 5 izvora dnevnika ili u premium izdanju koje kreće od 595 USD i varira ovisno o broju uređaja i aplikacija. Također je dostupna i besplatna probna inačica s 30 dana.

watch instagram story