6 legjobb naplókezelő eszköz Linuxra 2020-ban

Mivel a mai rendszerek sok naplózási adatot generálnak, nem meglepő, hogy a rendszergazdák mindig naplókezelési megoldásokat keresnek. A naplókat alapértelmezés szerint gyakran helyben tárolják. Ennek van értelme, mivel megkönnyíti a forrásukhoz történő kapcsolást. Amikor megpróbáljuk elhárítani a problémákat és megtalálni azok kiváltó okát, néha számos eszközön több naplófájlt kell megnéznünk. Nem lenne jó, ha az összes eszközt az összes eszköz egyetlen központi helyen tárolja? Ez a célja naplókezelés. És ha a választott platform a Linux, akkor rengeteg lehetőség áll rendelkezésre. Olvassa tovább, amikor felfedezzük a Linux legjobb naplózási kezelését

A naplókezelés meghatározásával kezdjük. Látni fogja, hogy ez egy kicsit több is, mint pusztán a naplótárolás központosítása. Ezután megvitatjuk különféle fakitermelési technológiák. Ezek a naplókezelés sarokkövei, és valószínűleg nem létezne nélküle. Folytatva megkülönböztetjük a syslog kiszolgálókat a naplókezelő rendszerektől, és rájövünk, hogy közöttük nincs egyértelmű határvonal. Ezután röviden szünetet tartunk és megvitatjuk

Biztonsági információs és eseménykezelő rendszerek. Ezek egy másik típusú rendszer, amelyet gyakran összekevernek a naplókezeléssel, az egyesek kissé nem egyértelmű meghatározásának köszönhetően. És végül áttekintjük a legjobb naplókezelést a Linux számára.

Mi a naplókezelés?

Mielőtt beszélhetnénk a naplókezelésről, határozzuk meg, mi a napló. Egyszerűen definiálva, a napló egy adott rendszerre vonatkozó esemény automatikusan előállított és időbélyegző dokumentációja. Más szavakkal, amikor egy esemény egy rendszeren zajlik, napló készül. A rendszerek és eszközök naplókat generálnak különféle eseménytípusokhoz, és sok rendszer bizonyos mértékű ellenőrzést ad az adminisztrátorok számára arról, hogy mely esemény generál naplót, és melyik nem.

A naplókezelés vonatkozásában egyszerűen a felügyelethez és a megkönnyítéshez használt folyamatokra és házirendekre utal nagy mennyiségű naplóadat előállítása, továbbítása, elemzése, tárolása, archiválása és esetleges megsemmisítése. A naplókezelés ugyan nem egyértelműen meghatározza egy centralizált rendszert, ahol több forrásból származó naplókat gyűjtnek. A naplókezelés nemcsak a naplógyűjtés. A vezetés része a legfontosabb. A naplókezelő rendszereknek gyakran több funkciója van, a naplók gyűjtése csak egy.

Miután a naplókat a naplókezelő rendszer megkapta, azokat egységes formátumba kell szabványosítani, mivel a különböző rendszerformátumú naplók különböznek, és eltérő adatokat tartalmaznak. Egyesek naplót indítanak a dátummal és az idővel, mások az esemény számával kezdik. Néhányuk csak az esemény azonosítóját tartalmazza, míg mások az esemény teljes szövegét tartalmazzák. A naplókezelő rendszerek egyik célja annak biztosítása, hogy az összes összegyűjtött naplóbejegyzést egységes formátumban tárolják. Ez sokkal könnyebbé teszi az események korrelációját és az esetleges keresést.

A korreláció és a keresés több naplókezelő rendszer két további fő funkciója. Legjobb közülük egy hatalmas keresőmotort tartalmaz, amely lehetővé teszi az adminisztrátorok számára, hogy pontosan bemutassák a szükséges munkát. A korrelációs funkciók automatikusan csoportosítják a kapcsolódó eseményeket, még akkor is, ha különböző forrásokból származnak. Hogyan és milyen sikeresen hajtják végre a különböző naplókezelő rendszereket, ez egy fő megkülönböztető tényező.

OLVASSA FEL:15 legjobb hálózati megfigyelő eszköz (saját véleményünk)

Naplózási technológiák

A naplókezelés sokkal nehezebb lenne, talán még nem is lehetséges, ha nem naplózási protokollok lennének. Néhány közülük létezik. Meghatározzák, milyen adatokat kell beépíteni a naplókba, hogyan kell ezeket formázni, és néha, hogyan kell azokat a rendszerek között továbbítani.

A Syslog vitathatatlanul a leggyakrabban használt naplózási protokoll, főleg a Linux világában. A technológiát a nyolcvanas évek elején találták ki, és az Unix-szerű rendszerek de facto szabványává vált. A syslog technológia egyik legnagyobb előnye, hogy miként elősegíti a rendszer elválasztását vagy szoftver, amely naplókat generál, a rendszert, amely azokat tárolja, és a szoftver, amely jelentéseket készít és elemzi őket. A Syslog technológia használata sokkal könnyebbé teszi a naplókezelést. És a Syslog nem kizárólagos Unix. Számos nem Unix eszköz, például kapcsolók, útválasztók és sok gyártó mindenféle berendezése a syslog protokoll egy változatát használja.

Vannak más naplózási technológiák is. Például a Microsoft Windows más naplózási rendszert használ. Lehet, hogy köze van ahhoz a tényhez, hogy a Windows operációs rendszerek és alkalmazások naplóiban vannak, amelyek általában részletesebb információkat tartalmaznak, mint a Syslog technológia megengedi. Szerencsére a Windows Event Collector funkciói lehetőséget nyújtanak a naplókezelésre, amelyet a különböző rendszerek használhatnak események fogadására a Windows gazdagépektől. Ez a bejegyzés a Linux naplókezeléséről szól, tehát ne pazaroljunk túl sok időt a Windowson.

Nem számít, milyen naplózási technológiát használnak, a naplókezelés fontos része az eszközök konfigurálása, hogy naplóikat küldjék a felügyeleti rendszernek. Más típusú eszközök, például hálózati megfigyelő rendszerek képes beolvasni az adatokat a megfigyelt rendszerekből, de a naplókezeléssel minden eszközt el kell mondani, hogy hova kell továbbítani a naplóit. Ez viszonylag egyszerű feladat, amelyet gyakran egyszerű parancs kiadásával hajtanak végre.

TOVÁBBI IRODALOM:Legjobb hálózati diagram leképező és topológiai szoftver

Naplószerverek vagy naplókezelés?

Mivel ez minden időben elérhető volt minden Unix-szerű rendszeren - beleértve a Linuxot is -, a Syslog-ot gyakran naplószerverként használják, az egyik számítógéppel, amely több másiktól kapja a Syslog-adatokat. Noha a naplóknak ez a központosított tárolása határozott előnyökkel rendelkezik, nem elegendő a naplókezelésnek nevezni.

A Naplókezelő Rendszer neve megérdemeléséhez egy terméknek tartalmaznia kell legalább néhány fejlettebb funkciót. A Wikipedia szerint „a naplókezelés a következő funkciókból áll: naplógyűjtés, központosított naplóösszegzés, hosszú távú naplótárolás és -megtartás, naplóforgatás, naplóelemzés, naplókeresés és jelentés ”. Azta! Ez nagyon sok funkció. A naplószerverek ezzel szemben gyakran csak a naplók gyűjtését és tárolását kínálják, és ennél ritkábban.

Egy szó (vagy kettő) a SIEM-ről

Egy másik népszerű technológia, amelyet a naplókhoz társítanak és gyakran összekevernek a naplókezelő rendszerekkel, a biztonsági információk és eseménykezelés, vagy a SIEM. Ez különbözik a naplókezeléstől, de szorosan kapcsolódik egymáshoz. A vonal közöttük olyan vékony, hogy egyes naplókezelő rendszerekként hirdetett termékek valójában SIEM rendszerek, míg néhány alapvetõ SIEM rendszer nem más, mint fejlett naplókezelõ rendszerek.

A zavar abból a tényből fakad, hogy a naplókezelés - vagy legalábbis a naplóelemzés - a SIEM rendszerek fontos eleme. Az, ami megkülönbözteti a SIEM rendszereket, az, hogy naplóelemzést végeznek a biztonsági kérdések azonosításának végső céljaként. Például a sikertelen bejelentkezések jeleit fogják keresni, amelyek jelképezhetik a jelzést illetéktelen behatolási kísérlet. Ezek a rendszerek folyamatosan ellenőrzik a naplóbejegyzéseket bármi szokatlanat keres. Míg egyes SIEM rendszerek kiterjedt naplókezelési funkciókat tartalmaznak, mások külső naplókezelő rendszert használnak, és nem ritka, ha mindkét rendszert egymás mellett futtatják.

KAPCSOLÓDÓ OLVASAT:A legjobb IP-szkennerek Mac-hez

A legjobb naplókezelés Linuxhoz

Remélhetőleg most már közös értelmezésünk van arról, mi a naplókezelés, és mi nem. Nézzük meg, mi elérhető a Linux számára. De először tisztázzunk valamit. A Linux naplókezelésre való hivatkozás alatt olyan naplókezelő rendszereket értünk, amelyek képesek befogadni a Linux naplókat, és amelyek Linux platformon vagy felhőben futnak. Néhány kiválasztásunk - különösen a felhőalapú rendszerek - más platformon lévő naplókkal is működni fog.

SolarWinds háztartási névré vált a hálózati rendszergazdák körében. Ez majdnem 20 éve a legjobb eszközök egyike, és nagy sávszélesség-figyelő eszközöket, valamint az egyik legjobb NetFlow elemzőt és gyűjtőt kínál. A társaság közismert számos olyan ingyenes eszköz közzétételével, amely a hálózati rendszergazdák speciális igényeit kielégíti, például az alhálózati számológépet vagy a syslog szervert.

• INGYENES TERV: SolarWinds Papertrail
• Hivatalos letöltési link: https://papertrailapp.com/plans

Nem olyan régen, SolarWinds szerzett Papertrail, egy népszerű naplókezelő rendszer. Összesíti a népszerű termékek naplófájljait, például az Apache vagy a MySQL, valamint a Ruby on Rails alkalmazásokat, a különféle felhőtárhely-szolgáltatásokat és más szokásos syslog és szövegalapú naplófájlokat. Papertrail A felhasználók ezután a webalapú keresési felületet vagy a parancssori eszközöket használhatják a fájlok átkutatására a különféle problémák diagnosztizálásához. A Papertrail más SolarWinds termékekkel, például a Libratoval és a Geckoboard-lal integrálódik az eredmények grafikonjaihoz.

Papertrail egy felhőalapú szoftver, mint szolgáltatás (SaaS), amelyet a SolarWinds kínál. A felhőalapú lévén azt jelenti, hogy jól működik egy egész Linux alatt működő környezetben. A platform könnyen megvalósítható, használható és érthető, és azonnali láthatóságot biztosít minden rendszerben percek alatt. Ezenkívül a terméknek nagyon hatékony keresőmotorja van, amely kereshet mind tárolt, mind streaming naplókban. És villámgyors.

Papertrail több terv szerint is elérhető, beleértve egy ingyenes tervet is. Ennek ellenére kissé korlátozott, és csak 100 MB naplókat engedélyez havonta. Ez azonban az első hónapban 16 GB naplókat tesz lehetővé, ami megegyezik a így ingyenes 30 napos próbaverziót kínál. A fizetett tervek havi 7 dollárból indulnak, ha 1 GB / hónap naplókat, 1 év archívumot és 1 hetes indexet tartalmaznak. A zajszűrés lehetővé teszi az eszköz számára az adatok megőrzését azáltal, hogy nem menti el a haszontalan naplókat.

Loggly egy másik felhőalapú online szolgáltatás. Elsősorban naplókonszolidátorként kínál naplóelemzési funkciókat. Mivel felhőalapú, ez a rendszer nem igényel telepítést, és készen áll arra, hogy felhasználja a feliratkozott percet. Természetesen a rendszereket és az eszközöket be kell állítani, hogy rendszeresen feltöltsék a szokásos naplófájlokat az online szerverre.

• INGYENES PRÓBAVERZIÓ: Loggly tervek
• Hivatalos link: https://www.loggly.com

Loggly ezután konvertálja a kapott naplóadatokat szabványos formátumba, ezáltal lehetővé téve az analizátor számára, hogy a különféle rekordokat feldolgozza források és az események nyomon követésének és korrelációjának lehetővé tétele minden rendszerben, függetlenül az operációs rendszertől vagy a naplózástól technológia. A naplóadatok forrásai nem korlátozódnak a helyszíni kiszolgálókra. A rendszer természetesen képes feldolgozni az online szerverek, például az Amazon AWS és az által generált naplókat tartalmazhat bizonyos alkalmazások, például a Docker és a Logstash által létrehozott üzeneteket, csak az a neve érdekében kevés.

Az Loggly A szolgáltatás három különböző terv alapján érhető el, növekvő adatfeldolgozási korlátokkal és megőrzési idővel. Ki kell választania a megfelelőt, hogy elegendő hely maradjon a naplóadataihoz. A belépő szintű tervet hívják Loggly Lite. Ingyenesen használható. E terv szerint napi 200 MB naplóadatokat tölthet fel, és a rendszer minden rekordot hét napig megőriz. Következő a Szabványos terv, amely napi 1 GB feltöltési támogatást biztosít Önnek, és 30 napig megőrzi a nyilvántartást. A fizetett tervek lehetővé teszik több felhasználói fiók használatát. A Standard csomag segítségével három felhasználói fiókkal rendelkezik. A legfelső szint nevezik Loggly Vállalkozás. Nincs korlátozva a beállítható felhasználói fiókok számára, és az árak a feltöltési kapacitás mértékétől és a szükséges megőrzési időtartamtól függően változnak. Az összes fizetett terv fizetése havonta vagy évente történhet, és egy ingyenes 14 napos próbaverzió érhető el a standard terv szerint.

3. Splunk

Splunk egy jól ismert - a rendszer adminisztrációs közösségben belül - átfogó naplókezelő rendszer Linux, Mac OS és Windows rendszerekhez. Az alapvető naplókezelő rendszereken túlmenően néhányan egy teljes behatolás-megakadályozó rendszernek tekinti azt. A termék három változatban kapható. A tetején van Splunk Enterprise ami inkább hálózati menedzsment rendszer, nem pusztán naplókezelő eszköz. Az árak havonta 173 USD-tól kezdődnek, és sok funkcionalitást kapnak.

Van egy ingyenes verzió is a Splunk ami alapvetően ugyanaz az eszköz a legfejlettebb funkcióinak néhány nélkül. Lényegében a naplófájlok elemzésére korlátozódik. Bármelyik szokásos naplófájlba betáplálhat, vagy élő adatokat küldhet egy fájlon keresztül az analizátorba. Az ingyenes verziónak van néhány korlátozása. Például csak egy felhasználói fiókkal rendelkezik, és adatátviteli sebessége napi 500 MB naplókra korlátozódik. Az adatkezelő és -szűrő funkció be van építve a Splunkba, megkönnyítve ezzel a hibaelhárítási erőfeszítéseket. Ezzel a funkcióval eloszthatja a naplóbejegyzéseket dátum szerint, és az egyes csoportokat új fájlokba írhatja. Valójában ez a funkció nagyon rugalmas.

4. Nagios Log Server

Nagios a legismertebb kiváló hálózati megfigyelő szoftveréről, de a Log Server ugyanolyan érdekes. A terméket egyszerűen a Nagios Log Server és központosított naplókezelést, megfigyelést és elemzést kínál. Ez az eszköz jelentősen leegyszerűsíti a naplóadatok keresési folyamatát. Ezenkívül beállíthatja a figyelmeztetéseket, hogy értesüljenek a potenciális veszélyekről. A szoftver magas rendelkezésre állású és beépített hibamentes. Ezenkívül az egyszerű forrásbeállítási varázslók segítségével gyorsan beállíthatja a kiszolgálókat az összes naplóadat elküldésére és a naplók figyelésére.

Az Nagios Log Server néhány nappali kattintással lehetővé teszi a napló események könnyű korrelálását az összes kiszolgálón. A rendszer lehetővé teszi a naplóadatok valós időben történő megtekintését, lehetőséget adva a problémák elemzésére és megoldására, amikor azok felmerülnek. A termék lenyűgöző méretezhetőséggel rendelkezik, és a szervezet növekedésével továbbra is megfelel az Ön igényeinek. További Nagios Log Server példányok hozzáadhatók egy megfigyelő fürthez, lehetővé téve ezzel gyorsabb energiát, sebességet, tárolást és megbízhatóságot.

Az egypéldányos ár a Nagios Log Server 3 995 dollár, és bár úgy tűnik, hogy nem érhető el ingyenes próbaverzió, ingyenes online bemutató, ha inkább a termék első kézből történő megnézése mellett dönt.

5. Graylog

Következő a listánk egy termék, az úgynevezett Graylog. A termék számos érdekes funkcióval rendelkezik. Az eszköz elemzi és gazdagítja a naplókat és az eseményadatokat bármilyen adatforrásból. A feldolgozási csővezetékek bizonyos rugalmasságot biztosítanak az üzenetek valós időben történő irányításában, feketelistázásában, módosításában és gazdagításában. Graylog terabyte naplóadatot fog keresni a fontos információk felfedezéséhez és elemzéséhez. A hatékony keresési szintaxis segítségével pontosan megtalálhatja azt, amit keres.

Val vel Graylog, irányítópultokat hozhat létre a metrikák megjelenítéséhez és a trendek megfigyeléséhez egy központi helyen. A terepi statisztikák, a gyors értékek és a keresési eredményoldal diagramjai segítségével belemerülhet az adatok mélyebb elemzésébe. A rendszernek lehetősége van arra is, hogy műveleteket indítson vagy értesítéseket bocsásson ki olyan eseményekről, mint például a sikertelen bejelentkezési kísérletek, kivételek vagy a teljesítmény romlása.

Graylog egy ingyenes, nyílt forrású naplófájl-alapú rendszer, amely sokkal több funkciót nyújthat Önnek, mint egy napló-archiváló segédprogram. Ennek a naplóelemzőnek grafikus felhasználói felülete van, és Ubuntu, Debian, CentOS és SUSE Linux rendszereken futhat. Futtathatja azt egy virtuális gépen a Microsoft Windows rendszeren, és telepítheti a Graylog rendszert az Amazon AWS-re.

6. ManageEngine EventLog elemző

ManageEngine, amely egy másik általános név a hálózati adminisztrátorok körében, kiváló naplókezelő rendszert alkot ManageEngine EventLog elemző. A termék több mint 700 forrás naplózási adatait gyűjti, kezeli, elemzi, összekapcsolja és keresse az ügynökök nélküli és az ügynök alapú naplógyűjtés kombinációját, valamint a naplóimportálást.

A sebesség az egyik ManageEngine EventLog elemzőErőssége. Feldolgozza a naplóadatokat lenyűgöző 25 000 napló / másodpercenként, és valós időben észlelheti a támadásokat. Gyors kriminalisztikai elemzést is végezhet a jogsértés hatásának csökkentése érdekében. A rendszer ellenőrzési képességei kiterjednek a hálózati kerület eszköznaplóira, felhasználói tevékenységeire, szerverfiókjainak változásaira, felhasználói hozzáférésekre és egyebekre, segítve a biztonsági ellenőrzési igények kielégítésében.

Az ManageEngine EventLog elemző elérhető egy szolgáltatás nélküli, ingyenes kiadásban, amely csak 5 naplóforrást támogat, vagy egy prémium kiadásban, amely 595 dollárral kezdődik, és az eszközök és alkalmazások számától függ. Ingyenes, teljes értékű 30 napos próbaverzió is rendelkezésre áll.