6 geriausi „Linux“ žurnalo valdymo įrankiai 2020 m

Šiandieninės sistemos generuoja daug registravimo duomenų, nenuostabu, kad administratoriai visada ieško žurnalo tvarkymo sprendimų. Pagal numatytuosius nustatymus žurnalai dažnai saugomi vietoje. Tai prasminga, nes juos lengva susieti su jų šaltiniu. Bet bandydami pašalinti triktis ir rasti jų pagrindinę priežastį, kartais turime ieškoti kelių žurnalo failų daugelyje įrenginių. Ar nebūtų puiku, jei visi visų įrenginių žurnalai būtų saugomi vienoje, centralizuotoje vietoje? Tai yra tikslas žurnalo tvarkymas. Ir jei jūsų pasirinkta platforma yra „Linux“, yra daugybė galimybių. Skaitykite toliau, kai atrasime geriausią „Linux“ žurnalo valdymą

Pradėsime apibrėždami žurnalo valdymą. Pamatysite, kad tai gali būti daug daugiau nei tik centralizuota žurnalo saugykla. Toliau aptarsime įvairios medienos ruošos technologijos. Jie yra kertinis žurnalo tvarkymo akmuo ir greičiausiai be jų nebūtų. Tęsdami mes atskirtume „syslog“ serverius nuo žurnalų valdymo sistemų ir suprasime, kad tarp jų nėra aiškių atskyrimų. Toliau trumpai pristabdysime ir aptarsime

Saugumo informacijos ir įvykių valdymo sistemos. Tai yra dar viena sistemos rūšis, kuri dažnai painiojama su žurnalų valdymu dėl šiek tiek neaiškių kiekvienos jų apibrėžimų. Galiausiai apžvelgsime geriausią „Linux“ žurnalo tvarkymą.

Kas yra žurnalo valdymas?

Prieš pradėdami kalbėti apie žurnalo valdymą, apibrėžkime, kas yra žurnalas. Paprasčiau apibrėžtas žurnalas yra automatiškai parengtas ir laiko pažymėtas įvykio, susijusio su konkrečia sistema, dokumentas. Kitaip tariant, kai įvykis įvyksta sistemoje, sugeneruojamas žurnalas. Sistemos ir įrenginiai generuos įvairių tipų įvykių žurnalus, o daugelis sistemų administratoriams suteikia tam tikrą laipsnį kontrolės, kuris įvykis generuoja žurnalą, o kuris ne.

Žurnalų valdymas - tai tiesiog nuoroda į procesus ir strategijas, naudojamus administruoti ir palengvinti didelių žurnalų duomenų generavimas, perdavimas, analizė, saugojimas, archyvavimas ir galutinis sunaikinimas. Nors tai nėra aiškiai pasakyta, žurnalų valdymas reiškia centralizuotą sistemą, kurioje renkami žurnalai iš kelių šaltinių. Vis dėlto žurnalo valdymas nėra vien tik žurnalo rinkimas. Svarbiausia yra valdymo dalis. Žurnalų valdymo sistemos dažnai turi keletą funkcijų, rinkdamos žurnalus yra tik viena iš jų.

Kai žurnalus gauna žurnalų tvarkymo sistema, juos reikia standartizuoti į bendrą formatą, nes skirtingi sistemos formato žurnalai skiriasi ir apima skirtingus duomenis. Kai kurie pradeda žurnalą su data ir laiku, kiti pradeda nuo įvykio numerio. Kai kuriuose yra tik įvykio ID, o kituose pateikiamas visas įvykio aprašymas. Vienas iš žurnalų valdymo sistemų tikslų yra užtikrinti, kad visi surinkti žurnalo įrašai būtų saugomi vienoda forma. Tai žymiai palengvins įvykių koreliaciją ir galimą paiešką.

Net koreliacija ir paieška yra dvi pagrindinės kelių žurnalų valdymo sistemų pagrindinės funkcijos. Geriausias iš jų turi galingą paieškos variklį, leidžiantį administratoriams tiksliai nustatyti, ko jiems reikia. Koreliacijos funkcijos automatiškai sugrupuos susijusius įvykius, net jei jie yra iš skirtingų šaltinių. Kaip ir kaip sėkmingai įgyvendinama skirtinga žurnalo valdymo sistema, tai yra pagrindinis skiriamasis faktorius.

TAIP PAT SKAITYKITE:15 geriausių tinklo stebėjimo įrankių (mūsų pačių apžvalga)

Medienos ruošos technologijos

Žurnalų tvarkymas būtų daug sunkesnis, galbūt net neįmanomas, jei tai būtų ne protokolai. Keletas jų egzistuoja. Jie nusako, kokie duomenys turi būti įtraukti į žurnalus, kaip jie turėtų būti suformatuoti, o kartais - kaip juos perduoti iš vienos sistemos į kitą.

„Syslog“ yra tikriausiai labiausiai naudojamas registravimo protokolas, ypač „Linux“ pasaulyje. Ši technologija buvo išrasta aštuntojo dešimtmečio pradžioje ir tapo de facto visų „Unix“ tipo sistemų standartu. Vienas didžiausių „syslog“ technologijos privalumų yra tai, kaip ji palengvina sistemos atskyrimą arba programinė įranga, kurianti žurnalus, sistema, kurioje jie saugomi, ir programinė įranga, teikianti ataskaitas ir analizė juos. Naudojant „Syslog“ technologiją, žurnalo tvarkymas tampa daug lengvesnis. „Syslog“ nėra išskirtinis „Unix“. Daugelis ne Unix prietaisų, tokių kaip jungikliai, maršrutizatoriai ir visa daugelio pardavėjų įranga, naudoja „syslog“ protokolo variantą.

Yra ir kitos registravimo technologijos. Pvz., „Microsoft Windows“ naudoja kitą registravimo sistemą. Tai gali būti susiję su tuo, kad „Windows“ operacinės sistemos ir programos turi žurnalus, kuriuose paprastai yra išsamesnės informacijos, nei leidžia „Syslog“ technologija. Laimei, „Windows Event Collector“ funkcijos yra priemonė žurnalo valdymui, kurią įvairios sistemos gali naudoti įvykiams iš „Windows“ kompiuterių gauti. Šis įrašas yra apie „Linux“ žurnalo valdymą, todėl nešvaistykime per daug laiko „Windows“.

Nesvarbu, kokia registravimo technologija naudojama, svarbi žurnalo tvarkymo dalis yra įrenginių konfigūravimas siųsti savo žurnalus valdymo sistemai. Kiti įrankiai, tokie kaip tinklo stebėjimo sistemos gali gauti duomenis iš jų stebimų sistemų, tačiau naudojant žurnalų valdymą kiekvienam įrenginiui turi būti „pasakyta“, kur siųsti savo žurnalus. Tačiau tai gana paprasta užduotis, kuri dažnai atliekama išleidus paprastą komandą.

PAPILDOMA LITERATŪRA:Geriausia tinklo diagramų žemėlapių sudarymo ir topologijos programinė įranga

Prisijungti serveriai ar žurnalo valdymas?

Kadangi jis gana ilgai buvo prieinamas visose „Unix“ tipo sistemose, įskaitant „Linux“, „Syslog“ dažnai naudojamas kaip žurnalo serveris, kai vienas kompiuteris gauna „Syslog“ duomenis iš kelių kitų. Nors toks centralizuotas žurnalų saugojimas turi aiškių pranašumų, neužtenka vien vadinti žurnalų valdymą.

Norint nusipelnyti žurnalo valdymo sistemos pavadinimą, gaminyje turi būti bent keletas pažangių funkcijų. Anot Vikipedijos, „žurnalų valdymą sudaro šios funkcijos: žurnalų rinkimas, centralizuotas žurnalo kaupimas, ilgalaikis žurnalo saugojimas ir saugojimas, žurnalo kaitaliojimas, žurnalo analizė, žurnalo paieška ir ataskaitų teikimas “. Oho! Tai labai daug funkcijų. Žurnalų serveriai, atvirkščiai, dažnai siūlo tik žurnalų rinkimą ir saugojimą, o retai - daugiau.

Žodis (arba du) apie SIEM

Kita populiari technologija, susijusi su registravimo žurnalais ir dažnai painiojama su žurnalų valdymo sistemomis, yra saugos informacija ir įvykių valdymas arba SIEM. Tai skiriasi nuo žurnalo tvarkymo, tačiau yra glaudžiai susijusi. Tarp jų yra tokia plona linija, kad kai kurie produktai, reklamuojami kaip žurnalų valdymo sistemos, iš tikrųjų yra SIEM sistemos, o kai kurios pagrindinės SIEM sistemos yra ne kas kita, kaip pažangios žurnalų valdymo sistemos.

Sumišimas kyla iš to, kad žurnalų valdymas arba bent jau žurnalo analizė yra svarbi SIEM sistemų sudedamoji dalis. SIEM sistemas išskiria tai, kad jos vykdo žurnalų analizę, siekdamos nustatyti saugumo problemas. Jie, pavyzdžiui, ieškos nesėkmingų prisijungimų požymių, kurie galėtų būti signalinis signalas neteisėtas įsibrovimo bandymas. Šios sistemos nuolatos tikrina žurnalų įrašus nieko neįprasto. Nors kai kurios SIEM sistemos turi plačias žurnalų tvarkymo funkcijas, kai kurios naudoja išorinę žurnalo tvarkymo sistemą, ir nėra neįprasta matyti abi sistemas veikiančias viena šalia kitos.

SUSIJUSIAS SVARSTYMAS:Geriausi IP skeneriai, skirti „Mac“

Geriausias „Linux“ žurnalo valdymas

Tikimės, kad dabar turime bendrą supratimą apie tai, kas yra žurnalo valdymas, o kas ne. Taigi, pažiūrėkime, ką galima rasti „Linux“. Bet pirmiausia paaiškinkime ką nors. Kai kalbame apie „Linux“ žurnalų valdymą, turime omenyje žurnalo valdymo sistemas, kurios talpina „Linux“ žurnalus ir kurios bus vykdomos „Linux“ platformoje arba „debesyje“. Kai kurie mūsų pasirinkimai, ypač debesies pagrindu veikiančios sistemos, taip pat veiks su kitų platformų žurnalais.

„Saulės vėjai“ tapo tinklo administratorių buitiniu vardu. Tai daro keletą geriausių įrankių beveik 20 metų, suteikdami mums puikius pralaidumo stebėjimo įrankius ir vieną geriausių „NetFlow“ analizatorių bei kolekcionierių. Bendrovė taip pat gerai žinoma, kad išleido keletą nemokamų įrankių, tenkinančių tam tikrus tinklo administratorių poreikius, tokius kaip potinklio skaičiuoklė ar „syslog“ serveris.

• NEMOKAMAS PLANAS: „SolarWinds Papertrail“
• Oficiali atsisiuntimo nuoroda: https://papertrailapp.com/plans

Ne taip seniai „Saulės vėjai“ įgytas Papertrail, populiari žurnalo valdymo sistema. Tai kaupia daugelio populiarių produktų, tokių kaip „Apache“ ar „MySQL“, taip pat „Ruby on Rails“ programų, skirtingų debesies prieglobos paslaugų ir kitų standartinių „syslog“ ir teksto pagrindu sukurtų žurnalų failų žurnalo failus. Papertrail vartotojai gali naudoti žiniatinklio paieškos sąsają arba komandų eilutės įrankius, norėdami ieškoti šių failų, kad padėtų diagnozuoti įvairias problemas. „Papertrail“ taip pat integruota su kitais „SolarWinds“ produktais, tokiais kaip „Librato“ ir „Geckoboard“, kad būtų galima grafikuoti rezultatus.

Papertrail yra „Debesis“ paremta programinė įranga kaip paslauga („SaaS“), kurią siūlo „SolarWinds“. Būti debesies pagrindu reiškia, kad jis puikiai veiks aplinkoje, kurioje viskas veikia „Linux“. Platformą lengva įdiegti, naudoti ir suprasti, todėl per kelias minutes ji bus akimirksniu matoma visose sistemose. Be to, produktas turi labai veiksmingą paieškos variklį, kuris gali ieškoti tiek saugomuose, tiek srautiniuose žurnaluose. Ir žaibiškai greitai.

Papertrail galima pagal kelis planus, įskaitant nemokamą planą. Tačiau jis yra šiek tiek ribotas ir leidžia tik 100 MB žurnalų kiekvieną mėnesį. Tačiau per pirmąjį mėnesį jis leis 16 GB žurnalų, o tai prilygsta suteikiant nemokamą 30 dienų bandomąją versiją. Mokami planai prasideda nuo 7 USD / mėn. Už 1 GB / mėn. Žurnalų, 1 metus archyvo ir 1 savaitę indekso. Triukšmo filtravimas leidžia įrankiui išsaugoti duomenis neišsaugant nenaudingų žurnalų.

Loggai yra dar viena debesijos pagrindu sukurta internetinė paslauga. Visų pirma, žurnalų konsolidavimas, jis taip pat siūlo žurnalų analizės funkcijas. Kadangi tai yra debesų pagrindu sukurta sistema, jai nereikia diegti ir ji yra pasirengusi naudoti jūsų užsisakytą minutę. Žinoma, jūsų sistemos ir įrenginiai turės būti sukonfigūruoti taip, kad periodiškai įkeltų įprastus žurnalo failus į internetinį serverį.

• NEMOKAMAS BANDYMAS: Loginių planų
• Oficiali nuoroda: https://www.loggly.com

Loggai tada konvertuoja gautus žurnalo duomenis į standartinį formatą ir tokiu būdu leidžia analizatoriui apdoroti įrašus iš įvairių šaltinius ir įgalinančius įvykių stebėjimą ir koreliaciją visose sistemose, nepriklausomai nuo jų operacinės sistemos ar registravimo technologija. Žurnalo duomenų šaltiniai yra ne tik jūsų vietiniai serveriai. Sistema, be abejo, gali apdoroti žurnalus, kuriuos generuoja internetiniai serveriai, tokie kaip „Amazon“ AWS ir ji gali apimti pranešimus, sukurtus konkrečiose programose, tokiose kaip „Docker“ ir „Logstash“, tiesiog norint pavadinti a nedaug.

Loggai paslauga teikiama pagal tris skirtingus planus, didinant duomenų tvarkymo apribojimus ir saugojimo laiką. Turite pasirinkti tinkamą, kad suteiktumėte pakankamai vietos savo žurnalo duomenims. Pradinio lygio planas vadinamas Loggai Lite. Tai nemokama naudoti. Pagal šį planą galite įkelti 200 MB žurnalo duomenų per dieną, o sistema kiekvieną įrašą saugos septynias dienas. Kitas yra standartinis planas, kuris suteikia jums 1 GB įkėlimo pašalpą per dieną ir įrašus saugo 30 dienų. Apmokėti planai taip pat leidžia naudoti kelias vartotojo paskyras. Naudodami standartinį paketą, galite turėti tris vartotojo abonementus. Aukščiausia pakopa vadinama Loggai Įmonės. Naudotojų paskyrų, kurias galite nustatyti, skaičius neribojamas, o kainos skiriasi priklausomai nuo įkeliamos talpos dydžio ir reikalingo saugojimo laikotarpio. Už visus mokamus planus galima mokėti kas mėnesį arba per metus ir Standartiniame plane galima įsigyti nemokamą 14 dienų bandomąją versiją.

3. Splunk

Splunk yra gerai žinoma sistemos administravimo bendruomenėje, išsami žurnalo valdymo sistema, skirta „Linux“, „Mac OS“ ir „Windows“. Ne tik pagrindinę žurnalo valdymo sistemą, kai kurie mano, kad tai yra visavertė įsilaužimo prevencijos sistema. Gaminys yra trijų versijų. Viršuje yra „Splunk“ įmonė o tai daugiau tinklo valdymo sistema, o ne tik žurnalo valdymo įrankis. Kainos prasideda nuo 173 USD per mėnesį ir jūs gaunate daug funkcijų.

Taip pat yra nemokama Splunk kuris iš esmės yra tas pats įrankis be tam tikrų jo pažangiausių funkcijų. Iš esmės tai apsiriboja žurnalo failų analize. Galite įpilti bet kurį iš savo standartinių žurnalo failų arba siųsti tiesioginius duomenis per failą į analizatorių. Nemokama versija turi keletą apribojimų. Pavyzdžiui, ji gali turėti tik vieną vartotojo abonementą, o jos duomenų pralaidumas ribojamas iki 500 MB žurnalų per dieną. Duomenų rūšiavimo ir filtravimo funkcijos yra integruotos į „Splunk“ - tai palengvina trikčių šalinimą. Šias funkcijas galite naudoti norėdami padalinti žurnalo įrašus pagal datą ir rašyti kiekvieną grupę į naujus failus. Tiesą sakant, ši funkcija yra labai lanksti.

4. „Nagios Log Server“

Nagios yra geriausiai žinomas dėl savo puikios tinklo stebėjimo programinės įrangos, tačiau jos prisijungimo serveris yra toks pat įdomus. Produktas yra tiesiog vadinamas „Nagios Log Server“ ir siūlo centralizuotą žurnalų valdymą, stebėjimą ir analizę. Šis įrankis gali labai palengvinti jūsų žurnalo duomenų paiešką. Tai taip pat leidžia nustatyti perspėjimus, kad būtų pranešama apie galimas grėsmes. Be to, programinė įranga yra lengvai prieinama ir joje įdiegta nesėkmė. Be to, nesudėtingi šaltinio sąrankos vedliai padės greitai sukonfigūruoti serverius, kad jie galėtų siųsti visus žurnalo duomenis ir per kelias minutes pradėti stebėti žurnalus.

„Nagios Log Server“ vos keliais paspaudimais leidžia lengvai koreguoti žurnalo įvykius visuose serveriuose. Sistema leis jums peržiūrėti žurnalo duomenis realiuoju laiku, suteikiant galimybę analizuoti ir spręsti iškilusias problemas. Produktas pasižymi įspūdingu mastelio keitimas ir toliau patenkins jūsų poreikius, augant jūsų organizacijai. Papildomas „Nagios Log Server“ egzempliorius galima pridėti prie stebėjimo grupių, leidžiančių greitai pridėti daugiau energijos, greičio, saugyklos ir patikimumo.

Vienos instancijos kaina „Nagios Log Server“ yra 3 995 USD ir, nors nemokama bandomoji versija nėra prieinama, nemokama demonstracinė versija internete yra, jei norėtumėte iš pirmo žvilgsnio pamatyti produktą.

5. „Greylog“

Kitas mūsų sąraše yra produktas, vadinamas „Greylog“. Produktas siūlo daug įdomių funkcijų. Įrankis išanalizuos ir praturtins žurnalus ir įvykių duomenis iš bet kurio duomenų šaltinio. Jo apdorojimo vamzdynai suteikia tam tikro lankstumo maršrutizuojant, įtraukiant juodąjį sąrašą, keičiant ir praturtinant pranešimus realiuoju laiku. „Greylog“ ieškos terabaitų žurnalo duomenų, kad surastų ir išanalizuotų svarbią informaciją. Galinga paieškos sintaksė leidžia rasti būtent tai, ko ieškote.

Su „Greylog“, galite sukurti informacijos suvestines, kad vizualizuotumėte metriką ir stebėtumėte tendencijas vienoje centrinėje vietoje. Norėdami naudoti gilesnę duomenų analizę, galite naudoti lauko statistiką, greitas vertes ir diagramas iš paieškos rezultatų puslapio. Sistema taip pat turi galimybę suaktyvinti veiksmus arba pranešti apie įvykius, tokius kaip nesėkmingi prisijungimo bandymai, išimtys ar veiklos pablogėjimas.

„Greylog“ yra nemokama, atvirojo kodo žurnalo failų sistema, galinti suteikti daug daugiau funkcijų nei tik žurnalų archyvavimo programa. Šis žurnalų analizatorius turi grafinę vartotojo sąsają ir gali veikti Ubuntu, Debian, CentOS ir SUSE Linux. Taip pat galite paleisti jį virtualioje mašinoje naudodami „Microsoft Windows“ ir „Graylog“ sistemą galite įdiegti „Amazon AWS“.

6. „ManageEngine EventLog“ analizatorius

„ManageEngine“, dar vienas bendras tinklo administratoriaus vardas, sukuria puikią žurnalo valdymo sistemą, vadinamą „ManageEngine EventLog“ analizatorius. Produktas rinks, valdys, analizuos, koreliuos ir ieškos daugiau nei 700 šaltinių žurnalų duomenų, naudodamas agentų neturinčių ir agentais pagrįstų žurnalų rinkinių derinį, taip pat žurnalų importą.

Greitis yra vienas iš „ManageEngine EventLog“ analizatoriusStiprybė. Tai gali apdoroti žurnalo duomenis įspūdingu 25 000 žurnalų per sekundę greičiu ir aptikti išpuolius realiuoju laiku. Jis taip pat gali greitai atlikti kriminalistinę analizę, kad sumažintų pažeidimo poveikį. Sistemos audito galimybės apima tinklo perimetro įrenginių žurnalus, vartotojo veiklą, serverio paskyros pakeitimus, vartotojo prieigas ir dar daugiau - tai padeda patenkinti saugumo audito poreikius.

„ManageEngine EventLog“ analizatorius yra nemokamame leidime, kuriam pritaikyta mažiau funkcijų, kuris palaiko tik 5 žurnalų šaltinius, arba premium versijoje, kurio kaina prasideda nuo 595 USD ir kuris priklauso nuo įrenginių ir programų skaičiaus. Taip pat galima įsigyti nemokamą, pilną 30 dienų bandomąją versiją.