Naplókezelési bevált gyakorlatok és rendszerek

A naplók kezelése összetett erőfeszítés lehet. Egy tipikus szervezet nem csak egy csomót generál ezekből, hanem különféle forrásokból származik, amelyek mindegyike eltérő formátumú és eltérő információt tartalmaz. Hogy valamilyen rendű rendet alkotjon valami elemre, amely gyorsan kaotikusvá válhat, felfedezték a naplókezelést. Ma áttekintjük a naplókezelési bevált gyakorlatokat és rendszereket. Reméljük, hogy segít abban, hogy tisztán láthassa ezt.

A naplókezelés rövid leírásával kezdjük. Ezután belemerülünk a naplókezelés legjobb gyakorlataiba. Megvizsgáljuk, vajon használjon-e kész rendszert, vagy csinálja-e magát. Megvizsgáljuk azt is, hogy mit - és mit nem - figyelni, majd a napló biztonságát és megőrzését, valamint a tárolással kapcsolatos szempontokat követjük. Mielőtt áttekintenénk a legjobb naplókezelő rendszerek néhányát, áttekintjük a különféle kezelési lehetőségeket feladatok, a naplók áttekintése és karbantartása, az adatforrások korrelációja és bizonyos automatizálás szempontokat.

A naplókezelésről

Egyszerűen definiálva, a napló egy adott rendszerre vonatkozó esemény automatikusan előállított és időbélyegző dokumentációja. Ha egy eseményre egy rendszeren kerül sor, napló - vagy naplóbejegyzés - jön létre. A különböző rendszerek naplókat generálnak a különböző eseményekhez. A naplókezelés vonatkozásában általában azokra a folyamatokra és házirendekre vonatkozik, amelyeket a naplóadatok előállításának, továbbításának, elemzésének és tárolásának kezelésére és megkönnyítésére használnak. A naplókezelés általában egy centralizált rendszert jelent, ahol a több forrásból származó naplók összesítve vannak.

A naplókezelés nemcsak a naplógyűjtés. Ahogy a neve is sugallja, a menedzsment rész fontos. Miután a naplókat a naplókezelő rendszer megkapta, azokat lefordítják egy általános formátumba. Szükséges, mivel a különböző rendszerek formázza a naplókat eltérően, és különféle adatokat tartalmaznak a naplóikba. A keresés és az események korrelációjának megkönnyítése érdekében a naplókezelő rendszerek egyik célja annak biztosítása, hogy az összes összegyűjtött naplóbejegyzés egységes formátumban legyen tárolva.

A keresésről és akár a korrelációról is beszélve, ez a legtöbb naplókezelő rendszer másik fő jellemzője. A legjobb naplókezelő rendszerek hatékony keresőmotort tartalmaznak. Ez lehetővé teszi az adminisztrátorok számára, hogy pontosan mi szükséges. Ezenkívül az eseménykorreláció automatikusan csoportosítja a kapcsolódó eseményeket, még akkor is, ha különböző forrásokból származnak.

Naplókezelési bevált gyakorlatok

A naplókezelés összetett folyamat, nem sok mindent tehetünk vele. Ezzel a bonyolultsággal jár annak veszélye, hogy rosszul cselekszik. Ennek elkerülése érdekében összeállítottuk a naplókezelés legjobb gyakorlatainak listáját. Célunk az, hogy minél több információval szolgáljon az Ön igényeihez legmegfelelőbb naplókezelő rendszer kiválasztása érdekében, de ami még fontosabb, hogy a legtöbbet hozza ki belőle.

Naplókezelő rendszer vagy DIY?

Bizonyos okok miatt egyesek úgy gondolják, hogy manuálisan tudják bevezetni a „naplókezelő rendszert”. Ha ilyen emberek közé tartozik, azonnal hagyja abba a viccelődést. Bár megvalósítható valamilyen formában a naplókezelés kézi adataival, a szükséges erőfeszítések messze meghaladják a valódi naplókezelő rendszer megvalósításához szükséges erőfeszítéseket. És számos ingyenes és nyílt forráskódú eszköz áll rendelkezésre, a költség érvelése nem érvényes.

Szinte mindig van értelme olyan menedzselt naplózási megoldást használni, amelyet egy jó hírű gyártó épített, támogatott és méretezött, ahelyett, hogy saját rendszert építene ki. Velük általában csak annyit kell tennie, hogy összekapcsolja a forrásokat és a rendeltetési helyeket, és készen áll a rendszer- és alkalmazásnaplók egyszerű elemzésére. Szabadon több időt tölthet megfigyeléssel és naplózással, mint a naplózási infrastruktúra kiépítésével.

Tudva, hogy mit kell figyelni (és mi nem)

Fontos annak ismerete, hogy mit kell naplózni, de még fontosabb tudni, hogy mit ne naplózni. Csak azért, mert be tud jelentkezni, nem feltétlenül jelenti azt, hogy kellene. A túl sok naplózás nem más, mint megnehezíti a ténylegesen fontos adatok megtalálását. Ezenkívül a naplók extra mennyisége bonyolultabbá és költségesebbé teszi a naplók tárolási és kezelési folyamatait. A naplókezelési platformon történő alkalmazás megkezdése előtt fontos előre gondolni, hogy mi lesz és mi nem lesz naplózva. Ez megakadályozza a költséges hibákat, és lehetővé teszi az eszköz jobb méretét.

Gondosan mérlegelje meg, mi valójában be kell jelentkeznie. A megfelelés vagy az ellenőrzés szempontjából kritikus termelési környezeteket valószínűleg naplózni kell. Ugyanez vonatkozik azokra az adatokra, amelyek segítenek a teljesítményproblémák elhárításában, a felhasználói élménygel kapcsolatos problémák megoldásában vagy a biztonsággal kapcsolatos események figyelésében.

Ezzel szemben vannak olyan dolgok, amelyeket nem kell bejelentkeznie, például olyan tesztkörnyezetek, amelyek nem alapvető részét képezik az üzleti folyamatoknak. Vannak olyan adatok is, amelyeket akkor választ, ha nem jelentkezik be megfelelési vagy biztonsági okokból. Például, ha a felhasználó engedélyezte a nem-nyomkövetési beállítást, akkor nem szabad naplóznia az adott felhasználóval társított adatokat.

Naplóbiztonsági és -megőrzési politika végrehajtása

A naplók érzékeny adatokat tartalmazhatnak. Ezért szükség van naplóbiztonsági politikára. Felbecsülhetetlen fontosságú például annak biztosításában, hogy az érzékeny adatokat anonimizálják vagy titkosítsák. A naplóadatok biztonságos szállítása a naplókezelő rendszerekbe kötelezi a titkosított szállítás használatát a kliens és a szerver oldalán TLS vagy HTTPS használatával.

Ami a megőrzési politikát illeti, a különböző forrásokból vagy rendszerekből származó naplók eltérő megőrzési időket igényelhetnek. Például azok a naplók, amelyeket elsősorban a hibaelhárításra használnak, viszonylag rövid megőrzési idővel működhetnek, például néhány nap vagy akár néhány óra. Másrészt, a biztonsággal kapcsolatos naplók vagy üzleti tranzakciók naplói hosszabb megőrzési időt igényelnek, gyakran a szabályok betartása érdekében. Ezt figyelembe véve, a megőrzési politikának rugalmasnak és alkalmazkodónak kell lennie, a napló forrásától vagy a napló típusától függően.

Napló tárolási szempontok

A naplóadatok megőrzése értékes tárhelyet igényel. A naplók tárolási kapacitásának megtervezésekor figyelembe kell vennie a magas terhelési csúcsokat. A legtöbb esetben a naplózás napi mennyisége viszonylag állandó. Ez elsősorban a rendszer kihasználásától és / vagy a napi tranzakciók számától függ. Ha azonban valami rosszul fordul elő, akkor a naplómennyiség gyorsuló növekedésére számíthat. Ha a naplófájl tárolása meghaladja a korlátozásokat, elveszítheti a legfrissebb naplókat. Ennek a hatásnak a csökkentése érdekében a legjobb naplókezelő rendszerek ciklikus puffert használnak. A tárolási korlátozások alkalmazása előtt előbb törli a legrégebbi adatokat.

Ezenkívül a naplótárolásnak saját biztonsági politikával kell rendelkeznie. A legtöbb támadó megpróbálja elkerülni vagy törölni a nyomkövetést a naplófájlokban. Ennek elkerülése érdekében valós időben kell a naplókat a központi naplóraktárba szállítani - lehetőleg a telephelyen kívül -, és biztosítani kell. Így ha egy támadó hozzáfér az infrastruktúrájához a webhelyen kívüli naplókhoz, akkor a bizonyítékokat akadálytalanul megőrzi.

Naplók áttekintése és karbantartása

A naplókarbantartás a naplókezelés fontos része, ha nem is a legfontosabb. A nem karbantartott naplók hosszabb hibaelhárítást, az adatok expozíciós kockázatokat és magasabb napló-tárolási költségeket eredményezhetnek. Nézze át a rendszer által generált naplókat, és állítsa be a naplózási szintet az Ön igényei szerint. Fontolnia kell a használhatóság, az üzemeltetés és a biztonság szempontjait.

A napló szintjét konfigurálhatóvá teheti

Egyes rendszernaplók túl pontosak, míg mások nem nyújtanak elegendő információt. Sajnos nincs mindig valami, amit tehetünk vele. A legtöbb rendszer állítható naplózási szintet biztosít. Ezek a kulcsok a naplók sokoldalúságának konfigurálásához és annak biztosításához, hogy az, amit naplózni kell, és ami nem fontos, nem az.

Ellenőrizze az ellenőrzési naplókat gyakran

A biztonsági kérdésekben való fellépés elengedhetetlen. Ezért kell mindig szemmel tartani a naplókat. Ha a naplókezelő rendszer nem rendelkezik ezzel a funkcióval - sokuk igen, akkor használjon külső biztonsági eszközöket, például az auditd vagy az OSSEC. Valós idejű naplóelemzést hajtanak végre, és riasztási naplókat generálnak, amelyek a lehetséges biztonsági problémákra mutatnak. Ezen felül meghatároznia kell a kritikus eseményekre vonatkozó riasztásokat, hogy gyorsan értesülhessenek minden gyanús tevékenységről.

Összefüggés az adatforrásokkal

A naplózás a globális megfigyelési stratégia csak egy eleme. Az igazán hatékony megfigyeléshez ki kell egészítenie a naplókezelést más típusú megfigyeléssel, például eseményekre, riasztásokra és nyomon követésre alapozott megfigyeléssel. Ez a legjobb módja annak, hogy a teljes képet elkészítsük arról, hogy mi történik bármikor. Noha a naplók jóak a nagy felbontású részletek biztosításához a kérdésekben, ez a leghasznosabb, ha valamilyen távolságot tesz az erdő megnézéséhez, mielőtt a fákba nagyítana.

A naplókezelés nem működik jól egy silóban. Semmi nem csinál. Nyilvánvalóan ki kell egészítenie azt más típusú megfigyelésekkel, mint például a hálózati megfigyelés, az infrastruktúra megfigyelése és így tovább. És ideális világban a megfigyelési megoldásának elég átfogónak kell lennie, hogy az összes megfigyelési információt egy helyen biztosítsa. Alternatív megoldásként integrálható más eszközökkel, amelyek ezt az információt szolgáltatják. A cél itt az, hogy amennyire csak lehetséges, legyen egyablakos kilátás az egész környezetről.

Naplókezelés és automatizálás

A naplókezelés segíthet a problémák korai felfedezésében, ezáltal értékes időt és energiát takaríthat meg Ön és csapata számára. Segíthet az automatizálás lehetőségeinek megtalálásában. A legtöbb naplókezelő eszköz lehetővé teszi az egyedi riasztások beállítását, amelyek aktiválódnak, ha valami történik. Néhányan azt is lehetővé teszik, hogy beállítsa az automatikus figyelmeztetéseket, amelyeket ezen riasztások indításakor el kell indítani. Annyi automatizálást kell használnia, amennyit a felügyeleti eszköz lehetővé tesz. Annak ellenére, hogy eltöltött időt töltött fel az automatizálás beállításával, azt tapasztalhatja, hogy az első alkalommal, amikor egy eseményt tapasztal, megéri.

A 6 legfontosabb naplókezelő eszköz

Megvizsgáltuk a piacot, hogy megpróbáljuk megtalálni a legjobb naplókezelő eszközt. Megpróbáltuk összeállítani egy listát, amely különféle eszközöket tartalmaz. Végül is mindenki igényei eltérőek, és az egyik legjobb eszköze nem feltétlenül a legjobb valaki számára.

SolarWinds egy általános név a hálózati adminisztrációs eszközök területén. Körülbelül két évtized óta működik, és hozta nekünk a legjobb sávszélesség-figyelő eszközöket, valamint a NetFlow elemzőket és gyűjtőket. A társaság közismert számos olyan ingyenes eszköz közzétételével, amely a hálózati rendszergazdák speciális igényeit kielégíti, például az alhálózati számológépet vagy a syslog szervert.

A naplókezelésről a vállalat ajánlatát most nevezik SolarWinds biztonsági eseménykezelő. Nemrégiben nevezték át Napló- és eseménykezelő, valószínűleg jobban tükrözi azt a tényt, hogy ez valójában sokkal több, mint egy naplókezelő rendszer. Számos fejlett funkciója a biztonsági információk és eseménykezelés (SIEM) körébe tartozik. Például valós idejű eseménykorrelációval és valósidejű helyreállítással, két SIEM-szerű tulajdonsággal rendelkezik.

• INGYENES Kísérlet: A SolarWinds biztonsági eseménykezelője
• Hivatalos letöltési link: https://www.solarwinds.com/security-event-manager/registration

Vessünk egy pillantást ezekre SolarWinds biztonsági eseménykezelőFőbb jellemzői. Az eszköz a gyanús tevékenységek azonnali észlelése és az automatikus válaszok segítségével gyorsan kiküszöböli a fenyegetéseket. Ezenkívül biztonsági események kivizsgálását és kriminalisztikáját is elvégezheti az enyhítés és a megfelelés érdekében. És a megfelelőségről beszélve, a termék lehetővé teszi annak demonstrálását, többek között a HIPAA, a PCI DSS és a SOX által auditáltan bebizonyított jelentéseknek köszönhetően. Ez az eszköz rendelkezik a fájl integritásának megfigyelésével és az USB-eszközök megfigyelésével is, amelyek két olyan tulajdonsággal rendelkeznek, amelyek jóval meghaladják a naplókezelő rendszerekben általánosan megfigyelt jellemzőket.

Az árak a SolarWinds biztonsági eseménykezelő Kezdje 4585 dollárból akár 30 megfigyelt csomóponthoz. Legfeljebb 2500 csomóponthoz licenceket lehet megvásárolni, így a termék nagyon skálázható. És ha azt akarja ellenőrizni, hogy a termék az Ön számára megfelelő-e, egy ingyenes, teljes értékű 30 napos próbaverzió elérhető.

Másodszor, van egy újabb nagyszerű termékünk, az úgynevezett Papertrail, a SolarWinds. Papertrail egy népszerű felhőalapú naplókezelő rendszer. Összesíti a népszerű termékek naplófájljait, például az Apache vagy a MySQL, valamint a Ruby on Rails alkalmazásokat, a különböző felhőtárhely-szolgáltatásokat és más szokásos szövegnaplófájlokat. Papertrail A felhasználók ezután a webalapú keresési felületet vagy a parancssori eszközöket használhatják a fájlok átkutatására a hibák és a teljesítményproblémák diagnosztizálásához. Az eszköz más eszközökkel is integrálódik SolarWinds olyan termékek, mint a Librato és Geckoboard az eredmények grafikonja.

• INGYENES JAVASLAT: A SolarWinds Papertrail
• Hivatalos letöltési link: https://papertrailapp.com/plans

Papertrail egy felhőalapú szoftver, mint szolgáltatás (SaaS), amelyet a SolarWinds. Könnyen megvalósítható, használható és megérthető. És azonnali láthatóságot biztosít minden rendszerben perc alatt. Az eszköznek nagyon hatékony keresőmotorja van, amely tárolt és streaming naplókban is kereshet. És villámgyors.

Papertrail több terv szerint is elérhető, beleértve egy ingyenes tervet is. Ennek ellenére kissé korlátozott, és csak 100 MB naplókat engedélyez havonta. Ez azonban engedjen be 16 GB naplót az első hónapban, ami egyenértékű azzal, hogy ingyenes 30 napos próbaverziót biztosít Önnek. A fizetett tervek havi 7 dollárból indulnak, ha 1 GB / hónap naplókat, 1 év archívumot és 1 hetes indexet tartalmaznak. A zajszűrés lehetővé teszi az eszköz számára az adatok megőrzését azáltal, hogy nem menti el a haszontalan naplókat.

3. ManageEngine EventLog elemző

ManageEngine, egy másik általános név a hálózati rendszergazdákkal, kiváló naplókezelő rendszert alkot, melynek neve ManageEngine EventLog elemző. A termék több mint 700 forrás naplózási adatait gyűjti, kezeli, elemzi, összekapcsolja és keresse az ügynökök nélküli és az ügynök alapú naplógyűjtés kombinációját, valamint a naplóimportálást.

A sebesség az egyik ManageEngine EventLog elemzőErőssége. Feldolgozza a naplóadatokat lenyűgöző 25 000 napló / másodpercenként, és valós időben észlelheti a támadásokat. Gyors kriminalisztikai elemzést is végezhet a jogsértés hatásának csökkentése érdekében. A rendszer ellenőrzési képességei kiterjednek a hálózati kerület eszköznaplóira, felhasználói tevékenységeire, szerverfiókjainak változásaira, felhasználói hozzáférésekre és egyebekre, segítve a biztonsági ellenőrzési igények kielégítésében.

Az ManageEngine EventLog elemző elérhető egy szolgáltatás nélküli, ingyenes kiadásban, amely csak 5 naplóforrást támogat, vagy egy prémium kiadásban, amely 595 dollárral kezdődik, és az eszközök és alkalmazások számától függ. Ingyenes, teljes értékű 30 napos próbaverzió is rendelkezésre áll.

4. Ipswitch Naplókezelő csomag

Az Naplókezelő csomag egy termék a (z) Ipswitch, ugyanaz a cég, amely hozott minket WhatsUp Gold, egy rendkívül népszerű hálózati megfigyelő eszköz. Ez egy automatizált eszköz, amely gyűjti, tárolja, archiválja és menti a rendszernaplókat, a Windows eseményeket és a W3C / IIC naplókat. Ezenkívül a folyamatos naplófigyelés figyelmezteti Önt minden gyanús tevékenységre.

A gyakran ellenőrzött események, például a hozzáférési jogok és a fájl-, mappa- és objektumjogosultságok követhetők, riasztások generálása szükség szerint és a HIPAA, SOX, FISMA, PCI, MiFID vagy Basel II megfelelési jelentések készítéséhez megfelelést. Az eszköz az automatizált szűrési, korrelációs, jelentési és konvertáló funkcióinak köszönhetően elősegítheti a nyers naplóadatok értelmezését a menedzserek vagy az IT biztonsági csapatok számára.

Árazási információk a Naplókezelő csomag nem elérhető a következőtől: Ipswitch. A terméket megvásárolhatja közvetlenül a kiadótól vagy az interneten keresztül IpswitchViszonteladói hálózatát. Ingyenes próbaverzió is elérhető.

5. Alert Logic Log Manager

Riasztási logikaElsődleges hangsúly a biztonságra és a megfelelésre. Mivel a naplókezelés szorosan kapcsolódik mindkettőhöz, nem meglepő, hogy a cég a Alert Logic Log Manager. Ez a felhőalapú eszköz automatizált és egységes naplózási kezelést kínál minden környezetében. Összegyűjti, összegyűjti és keresse a naplóadatokat a felhőből, kiszolgálóból, alkalmazásból, biztonságból és hálózati eszközökből.

Az Alert Logic Log Manager magában foglalja a napló megfigyelését és elemzését, valamint a napló áttekintését, amelyet élő elemzők végeznek. Riasztási logikaSzakértői évente 365 napon figyelmeztetnek az esetleges fenyegetésekre. A szolgáltatás emellett hozzájárul az SOC 2, HIPAA és SOX naplófájl-áttekintési követelményeinek teljesítéséhez, valamint a naplók áttekintésének és az események nyomon követésének a PCI / DSS 10.6, 10.6.1, 10.6.3

Árazási információk a Alert Logic Log Manager nem elérhető az interneten, és kapcsolatba kell lépnie velük Riasztási logika értékesítés hivatalos ajánlat megszerzése érdekében. Ingyenes próbaverzió szintén nem érhető el, de egy ingyenes demo kapcsolatfelvétellel megszervezhető Riasztási logika.

6. Nagios Log Server

Lehet, hogy már tudja Nagios kiváló hálózati megfigyelő csomagként. Ingyenes és nyílt forráskódú, valamint kereskedelmi változatként kínált termékének jó hírneve van. Naplókezeléshez, Nagios"Az ajánlatot nevezik Nagios Log Server. Ez egy komplett csomag központi naplókezeléssel, megfigyeléssel és elemzéssel. Ez az eszköz leegyszerűsíti a naplóadatok keresési folyamatát. Ezenkívül beállíthatja a figyelmeztetéseket, hogy értesüljenek a potenciális veszélyekről. A szoftver magas rendelkezésre állású és beépített hibamentes. Az egyszerű forrásbeállítási varázslók segítenek a kiszolgálók és más eszközök konfigurálásában, hogy naplóadataikat a platformon továbbítsák, lehetővé téve, hogy perceken belül megfigyelje a naplókat.

Az Nagios Log Server pár nappali kattintással könnyedén összekapcsolhatja a napló eseményeit az összes naplózási forrás között. A rendszer lehetővé teszi a naplóadatok valós időben történő megtekintését, lehetővé téve a problémák valós időben történő elemzését és megoldását, amint azok felmerülnek. A termék másik erőssége a lenyűgöző méretezhetőség. Ez az eszköz megfelel az igényeinek, miközben a szervezet növekszik. Ha szükséges, további Nagios Log Server példányok hozzáadhatók egy megfigyelő fürthez, lehetővé téve ezzel gyorsabb energiát, sebességet, tárolást és megbízhatóságot.

Mindezekkel a funkciókkal számolhat egy izgalmas árat. Nem ez a helyzet, és az egypéldányos ár a Nagios Log Server nagyon ésszerű 3 995 USD. Annak ellenére, hogy nem kínál ingyenes próbaverziót, elérhető egy ingyenes online bemutató, ha a vásárlási döntés meghozatala előtt inkább első kézből szeretné megtekinteni a terméket.