Best practice e sistemi di gestione dei log

La gestione dei registri può essere un'impresa complessa. Non solo un'organizzazione tipica ne genera una tonnellata, ma provengono da una varietà di fonti, ognuna con un formato potenzialmente diverso e contenente informazioni diverse. Per mettere una parvenza di ordine in qualcosa che può rapidamente diventare caotico, è stata inventata la gestione dei registri. Oggi esamineremo le migliori pratiche e i sistemi di gestione dei log. Speriamo che ti aiuti a vedere chiaramente attraverso questo.

Inizieremo con una breve descrizione della gestione dei log. Quindi, ci immergeremo direttamente nelle migliori pratiche di gestione dei registri. Scopriremo se è necessario utilizzare un sistema già pronto o farlo da soli. Daremo anche un'occhiata a cosa - e cosa no - da monitorare, seguiti da sicurezza e conservazione dei log, nonché da considerazioni sullo spazio di archiviazione. E prima di esaminare alcuni dei migliori sistemi di gestione dei log, daremo uno sguardo alle varie gestioni attività, revisione e manutenzione dei registri, correlazione delle origini dati e automazione Considerazioni.

Informazioni sulla gestione dei registri

Semplicemente definito, un registro è la documentazione prodotta automaticamente e timestamp di un evento rilevante per un particolare sistema. Quando si verifica un evento su un sistema, viene generato un registro o una voce di registro. Sistemi diversi genereranno registri per eventi diversi. Per quanto riguarda la gestione dei registri, si riferisce generalmente ai processi e alle politiche utilizzate per amministrare e facilitare la generazione, la trasmissione, l'analisi e l'archiviazione dei dati dei registri. La gestione dei log in genere implica un sistema centralizzato in cui sono aggregati i log di più origini.

Tuttavia, la gestione dei registri non è solo una raccolta di registri. Come suggerisce il nome, la parte di gestione è importante. Una volta che i registri vengono ricevuti dal sistema di gestione dei registri, vengono "tradotti" in un formato comune. È necessario poiché i diversi sistemi formattano i registri in modo diverso e includono dati diversi nei loro registri. Per semplificare la ricerca e la correlazione degli eventi, uno degli scopi dei sistemi di gestione dei registri è garantire che tutte le voci di registro raccolte siano archiviate in un formato uniforme.

Parlando di ricerca e persino di correlazione, questa è un'altra caratteristica importante della maggior parte dei sistemi di gestione dei log. I migliori sistemi di gestione dei log dispongono di un potente motore di ricerca. Consente agli amministratori di concentrarsi esattamente su ciò che è necessario. Inoltre, la correlazione degli eventi raggrupperà automaticamente gli eventi correlati, anche se provengono da fonti diverse.

Best practice per la gestione dei log

La gestione dei log è un processo complesso, non c'è molto che possiamo fare al riguardo. Con questa complessità arriva il rischio di sbagliare. Per evitarlo, abbiamo compilato un elenco di alcune delle migliori pratiche di gestione dei registri. Il nostro obiettivo è fornirti quante più informazioni possibili al fine di scegliere il miglior sistema di gestione dei log per le tue esigenze ma, cosa più importante, ottenere il massimo da esso.

Sistema di gestione dei registri o fai-da-te?

Per qualche ragione, alcune persone credono di poter implementare manualmente un "sistema di gestione dei registri". Se sei tra queste persone, smettila di scherzare immediatamente. Sebbene sia possibile implementare qualche forma della gestione dei log manualmente, gli sforzi richiesti superano di gran lunga ciò che è necessario per implementare un vero sistema di gestione dei log. E con diversi strumenti gratuiti e open source disponibili, l'argomento del costo non è valido.

Ha quasi sempre senso utilizzare una soluzione di registrazione gestita che è costruita, supportata e ridimensionata da un fornitore affidabile piuttosto che costruire un sistema da solo. Con loro, tutto ciò che devi fare è connettere le tue fonti e destinazioni e sei pronto per analizzare i registri di sistema e delle applicazioni in modo semplice. Sarai libero di dedicare più tempo al monitoraggio e alla registrazione anziché alla creazione della tua infrastruttura di registrazione.

Sapere cosa monitorare (e cosa no)

Sapere cosa registrare è importante, ma è ancora più importante sapere cosa non registrare. Solo perché puoi registrare qualcosa non significa necessariamente che dovresti. La registrazione troppo spesso non fa altro che rendere più difficile trovare dati che contano davvero. Inoltre, il volume aggiuntivo di registri aggiunge complessità e costi ai processi di gestione e archiviazione dei registri. È importante pensare in anticipo a ciò che verrà e non verrà registrato prima di iniziare a implementare una piattaforma di gestione dei registri. Preverrà errori costosi e ti permetterà di dimensionare meglio il tuo strumento.

Valuta attentamente ciò che devi effettivamente registrare. Gli ambienti di produzione che sono critici per la conformità o per scopi di controllo dovrebbero molto probabilmente essere registrati. Lo stesso vale per i dati che consentono di risolvere i problemi di prestazioni, risolvere i problemi relativi all'esperienza utente o monitorare gli eventi relativi alla sicurezza.

Al contrario, ci sono elementi che non è necessario registrare come, ad esempio, ambienti di test che non sono una parte essenziale dei processi aziendali. Ci sono anche dati che sceglierai di non registrare per motivi di conformità o sicurezza. Ad esempio, se un utente ha abilitato un'impostazione di non tracciamento, non è necessario registrare i dati associati a quell'utente.

Implementazione di un registro di sicurezza e criteri di conservazione

I registri possono contenere dati sensibili. Per tale motivo, è necessario disporre di una politica di sicurezza del registro. Sarà prezioso, ad esempio, per garantire che i dati sensibili vengano resi anonimi o crittografati. Inoltre, il trasporto sicuro dei dati di registro nei sistemi di gestione dei registri impone l'uso del trasporto crittografato mediante TLS o HTTPS sul client e sul lato server.

Per quanto riguarda un criterio di conservazione, i registri di origini o sistemi diversi potrebbero richiedere tempi di conservazione diversi. Ad esempio, i registri utilizzati principalmente per la risoluzione dei problemi potrebbero funzionare con tempi di conservazione relativamente brevi, ad esempio alcuni giorni o anche poche ore. D'altro canto, i registri relativi alla sicurezza o i registri delle transazioni aziendali richiedono tempi di conservazione più lunghi, spesso per la conformità normativa. Considerando ciò, i criteri di conservazione dovrebbero essere flessibili e adattabili, a seconda dell'origine del registro o del tipo di registro.

Considerazioni sull'archiviazione dei log

La conservazione dei dati di registro consuma prezioso spazio di archiviazione. Quando si pianifica la capacità di archiviazione per i registri, è necessario considerare picchi di carico elevati. Nella maggior parte dei casi, la quantità di log di dati al giorno è relativamente costante. Dipende principalmente dall'utilizzo del sistema e / o dal numero di transazioni al giorno. Tuttavia, quando qualcosa va storto, puoi aspettarti una crescita accelerata del volume del registro. Se l'archiviazione dei registri ha limiti superati, è possibile perdere gli ultimi registri. Per mitigare questo effetto, i migliori sistemi di gestione dei log utilizzano un buffer ciclico. Elimina i dati più vecchi prima di applicare qualsiasi limite di archiviazione.

Inoltre, l'archiviazione dei registri dovrebbe avere una propria politica di sicurezza. La maggior parte degli aggressori tenterà di evitare o eliminare le proprie tracce nei file di registro. Per evitarlo, è necessario spedire i registri in tempo reale all'archivio dei registri centrale, preferibilmente fuori sede, e proteggerlo. Pertanto, se un utente malintenzionato ha accesso ai registri fuori sede dell'infrastruttura manterrà le prove non manomesse.

Revisione e manutenzione dei registri

La manutenzione dei registri è una parte importante della gestione dei registri, se non la parte più importante. I registri non mantenuti possono comportare una risoluzione dei problemi più lunga, rischi di esposizione dei dati e costi di archiviazione dei registri più elevati. Esamina i log generati dai tuoi sistemi e regola il livello di registrazione in base alle tue esigenze. Dovresti considerare gli aspetti di usabilità, operativi e di sicurezza.

Rendi configurabile il livello di registro

Alcuni registri di sistema sono troppo dettagliati mentre altri non forniscono informazioni sufficienti. Sfortunatamente, non c'è sempre qualcosa che puoi fare al riguardo. La maggior parte dei sistemi fornisce livelli di registro regolabili. Sono la chiave per configurare la verbosità dei registri e garantire che ciò che deve essere registrato sia e ciò che non è importante non lo è.

Ispezionare frequentemente i registri di controllo

Agire su questioni di sicurezza è fondamentale. Questo è il motivo per cui si dovrebbe sempre avere un occhio sui registri. Se il tuo sistema di gestione dei log non ha questa funzionalità, molti di loro lo fanno, usa strumenti di sicurezza esterni come auditd o OSSEC. Implementano l'analisi dei registri in tempo reale e generano registri di allerta che indicano potenziali problemi di sicurezza. Inoltre, è necessario definire avvisi su eventi critici per essere avvisati rapidamente di qualsiasi attività sospetta.

Origini dati correlate

La registrazione è solo un elemento di una strategia di monitoraggio globale. Per un monitoraggio veramente efficace, è necessario integrare la gestione dei registri con altri tipi di monitoraggio come il monitoraggio basato su eventi, avvisi e traccia. Fare questo è il modo migliore per ottenere il quadro completo di ciò che sta accadendo in qualsiasi momento. Sebbene i registri siano utili per fornire dettagli ad alta definizione su problemi, ciò è molto utile quando si prende una certa distanza per guardare la foresta prima di ingrandire gli alberi.

La gestione dei log non funziona bene in un silo. Niente fa. Dovresti assolutamente integrarlo con altri tipi di monitoraggio come il monitoraggio della rete, il monitoraggio dell'infrastruttura e altro. E in un mondo ideale, la soluzione di monitoraggio dovrebbe essere sufficientemente completa da fornire tutte le informazioni di monitoraggio in un unico posto. In alternativa, potrebbe integrarsi con altri strumenti che forniscono queste informazioni. L'obiettivo qui è avere, per quanto possibile, una vista a riquadro singolo dell'intero ambiente.

Gestione dei log e automazione

La gestione dei registri può aiutarti a individuare i problemi nelle prime fasi, risparmiando così tempo e energia a te e al tuo team. Può anche aiutarti a trovare opportunità di automazione. La maggior parte degli strumenti di gestione dei registri ti consente di impostare avvisi personalizzati che si attivano quando succede qualcosa. Alcuni ti permetteranno persino di impostare azioni automatiche da avviare quando vengono attivati ​​questi avvisi. È necessario utilizzare tutta l'automazione consentita dallo strumento di gestione. Nonostante il tempo che impiegherai a configurare questa automazione, scoprirai che ne è valsa la pena la prima volta che incontri un incidente.

I 6 migliori strumenti di gestione dei registri

Abbiamo perlustrato il mercato cercando di trovare il miglior strumento di gestione dei log. Abbiamo provato a mettere insieme un elenco che include vari tipi di strumenti. Dopotutto, le esigenze di tutti sono diverse e lo strumento migliore per uno non è necessariamente il migliore per qualcun altro.

SolarWinds è un nome comune nel campo degli strumenti di amministrazione della rete. È in circolazione da circa due decenni e ci ha portato alcuni dei migliori strumenti di monitoraggio della larghezza di banda e analizzatori e raccoglitori NetFlow. La società è anche nota per la pubblicazione di numerosi strumenti gratuiti che rispondono ad alcune esigenze specifiche degli amministratori di rete come il calcolatore di sottorete o un server syslog.

Quando si tratta di gestione dei registri, l'offerta dell'azienda è ora denominata Gestione eventi di sicurezza SolarWinds. È stato recentemente ribattezzato da Log & Event Manager, probabilmente per riflettere meglio il fatto che questo è in realtà molto più di un semplice sistema di gestione dei registri. Molte delle sue funzionalità avanzate lo collocano nella gamma di informazioni sulla sicurezza e la gestione degli eventi (SIEM). Ha, ad esempio, la correlazione degli eventi in tempo reale e la correzione in tempo reale, due funzionalità simili a SIEM.

• PROVA GRATUITA: SolarWinds Security Event Manager
• Link ufficiale per il download: https://www.solarwinds.com/security-event-manager/registration

Diamo un'occhiata ad alcuni dei Gestione eventi di sicurezza SolarWindsLe caratteristiche principali. Lo strumento può eliminare rapidamente le minacce utilizzando il rilevamento istantaneo di attività sospette e risposte automatizzate. Può anche eseguire indagini sugli eventi di sicurezza e analisi forensi per mitigazione e conformità. E parlando di conformità, il prodotto ti consentirà di dimostrarlo, grazie al suo reporting collaudato per HIPAA, PCI DSS e SOX, tra gli altri. Questo strumento ha anche il monitoraggio dell'integrità dei file e il monitoraggio dei dispositivi USB, due caratteristiche che sono molto al di sopra di ciò che comunemente vediamo nei sistemi di gestione dei log.

Prezzi per il Gestione eventi di sicurezza SolarWinds iniziare da $ 4.585 per un massimo di 30 nodi monitorati. È possibile acquistare licenze per un massimo di 2500 nodi che rendono il prodotto altamente scalabile. E se vuoi verificare direttamente che il prodotto è adatto a te, una prova gratuita di 30 giorni completa di tutte le funzionalità è disponibile.

Al secondo posto, abbiamo un altro ottimo prodotto chiamato Papertrail, una recente acquisizione di SolarWinds. Papertrail è un popolare sistema di gestione dei log basato su cloud. Aggrega i file di registro di una vasta gamma di prodotti popolari come Apache o MySQL, nonché le app Ruby on Rails, diversi servizi di cloud hosting e altri file di registro di testo standard. Papertrail gli utenti possono quindi utilizzare l'interfaccia di ricerca basata sul Web o gli strumenti della riga di comando per cercare questi file per diagnosticare bug e problemi di prestazioni. Lo strumento si integra anche con altri SolarWinds prodotti come Librato e Geckoboard per risultati grafici.

• PIANO GRATUITO DISPONIBILE: SolarWinds Papertrail
• Link ufficiale per il download: https://papertrailapp.com/plans

Papertrail è un'offerta SaaS (Software as a service) basata su cloud di SolarWinds. È facile da implementare, utilizzare e comprendere. E ti darà visibilità istantanea su tutti i sistemi in pochi minuti. Lo strumento ha un motore di ricerca molto efficace in grado di cercare registri sia archiviati che in streaming. Ed è velocissimo.

Papertrail è disponibile in diversi piani, incluso un piano gratuito. Tuttavia, è in qualche modo limitato e consente solo 100 MB di log al mese. Sarà, tuttavia, consentire 16 GB di log nel primo mese, il che equivale a fornire una prova gratuita di 30 giorni. I piani a pagamento partono da $ 7 / mese per 1 GB / mese di registri, 1 anno di archivio e 1 settimana di indice. Il filtro antirumore consente allo strumento di conservare i dati non salvando registri inutili.

3. ManageEngine EventLog Analyzer

ManageEngine, un altro nome comune con gli amministratori di rete, crea un eccellente sistema di gestione dei log chiamato ManageEngine EventLog Analyzer. Il prodotto raccoglierà, gestirà, analizzerà, correlerà e cercherà tra i dati di registro di oltre 700 fonti utilizzando una combinazione di raccolta di registri senza agenti e basata su agenti e importazione dei registri.

La velocità è una delle ManageEngine EventLog AnalyzerLa forza. È in grado di elaborare i dati dei registri a ben 25.000 registri / secondo e rilevare gli attacchi in tempo reale. Può anche eseguire analisi forensi rapide per ridurre l'impatto di una violazione. Le capacità di controllo del sistema si estendono ai registri dei dispositivi perimetrali di rete, alle attività degli utenti, alle modifiche dell'account del server, agli accessi degli utenti e altro, aiutandoti a soddisfare le esigenze di controllo della sicurezza.

Il ManageEngine EventLog Analyzer è disponibile in un'edizione gratuita ridotta di funzionalità che supporta solo 5 origini log o in un'edizione premium che parte da $ 595 e varia in base al numero di dispositivi e applicazioni. È inoltre disponibile una versione di prova gratuita di 30 giorni con funzionalità complete.

4. Suite di gestione log Ipswitch

Il Log Management Suite è un prodotto di Ipswitch, la stessa compagnia che ci ha portato WhatsUp Gold, uno strumento di monitoraggio della rete estremamente popolare. Questo è uno strumento automatizzato che raccoglie, archivia, archivia e salva registri di sistema, eventi di Windows e registri W3C / IIC. Inoltre, la sua continua sorveglianza dei log ti avviserà di eventuali attività sospette.

È possibile seguire eventi controllati frequentemente come diritti di accesso e privilegi di file, cartelle e oggetti, generare avvisi in base alle necessità e utilizzati per creare rapporti di conformità per HIPAA, SOX, FISMA, PCI, MiFID o Basilea II conformità. Lo strumento può anche aiutarti a trasformare i tuoi dati di log non elaborati in dati significativi per manager o team di sicurezza IT, grazie alle sue funzionalità di filtro, correlazione, reportistica e conversione automatizzate.

Informazioni sui prezzi per il Log Management Suite non è prontamente disponibile da Ipswitch. Il prodotto può essere acquistato direttamente dall'editore o tramite IpswitchRete di rivenditori. È inoltre disponibile una versione di prova gratuita.

5. Gestione log log degli avvisi

Logica di avvisoIl focus principale è sulla sicurezza e sulla conformità. E poiché la gestione dei registri è strettamente correlata ad entrambi, non sorprende che la società offra il servizio Gestione log log degli avvisi. Questo strumento basato su cloud offre una gestione dei log automatizzata e unificata in tutti i tuoi ambienti. Raccoglierà, aggregherà e cercherà i dati del registro dal cloud, dal server, dall'applicazione, dalla sicurezza e dalle risorse di rete.

Il Gestione log log degli avvisi include il monitoraggio e l'analisi dei registri, nonché la revisione dei registri eseguita in tempo reale da analizzatori umani. Logica di avvisoGli esperti ti avvertiranno di possibili attività di minaccia 365 giorni all'anno. Il servizio consentirà inoltre di soddisfare i requisiti di revisione dei registri di SOC 2, HIPAA e SOX e scaricare l'onere della revisione dei registri e del seguito degli eventi, per conformarsi a PCI / DSS 10.6, 10.6.1, 10.6.3

Informazioni sui prezzi per il Gestione log log degli avvisi non è prontamente disponibile dal Web e dovrai contattare Logica di avviso vendite per ottenere un preventivo formale. Non è inoltre disponibile una versione di prova gratuita, ma è possibile organizzare una demo gratuita contattando Logica di avviso.

6. Nagios Log Server

Potresti già saperlo Nagios come eccellente pacchetto di monitoraggio della rete. Offrendogli una versione gratuita e open-source, nonché in una versione commerciale, il prodotto ha una solida reputazione. Per la gestione dei registri, Nagios'L'offerta si chiama Nagios Log Server. È un pacchetto completo con gestione, monitoraggio e analisi dei log centralizzati. Questo strumento può semplificare il processo di ricerca dei dati di registro. Inoltre, consente di impostare avvisi per la notifica di potenziali minacce. Inoltre, il software dispone di elevata disponibilità e failover integrati. Le sue semplici procedure guidate di configurazione dell'origine possono aiutarti a configurare i tuoi server e altri dispositivi per inviare i loro dati di registro alla piattaforma, permettendoti di iniziare a monitorare i tuoi registri in pochi minuti.

Il Nagios Log Server fornisce una facile correlazione degli eventi di registro tra tutte le origini di registrazione in pochi clic. Il sistema ti consentirà di visualizzare i dati di registro in tempo reale, consentendo di analizzare e risolvere i problemi in tempo reale, non appena si verificano. Un altro punto di forza del prodotto è la sua impressionante scalabilità. Questo strumento continua a soddisfare le tue esigenze man mano che la tua organizzazione cresce. Se necessario, aggiuntivo Nagios Log Server le istanze possono essere aggiunte a un cluster di monitoraggio, consentendo di aggiungere rapidamente più potenza, velocità, archiviazione e affidabilità.

Con tutte queste caratteristiche, ci si aspetterebbe un prezzo elevato. Non è il caso e il prezzo a istanza singola per il Nagios Log Server è un ragionevole $ 3 995. Nonostante non offra una versione di prova gratuita, è disponibile una demo online gratuita, se si preferisce dare un'occhiata diretta al prodotto prima di prendere una decisione di acquisto.