Geriausia rąstų tvarkymo praktika ir sistemos

Tvarkyti žurnalus gali būti sudėtingas darbas. Tipiška organizacija ne tik sugeneruoja daugybę jų, bet ir gaunama iš įvairių šaltinių, kurių kiekvienas gali turėti skirtingą formatą ir turinčią skirtingą informaciją. Norint, kad tvarkos pavyzdys atrodytų tai, kas greitai gali tapti chaotiškas, buvo išrastas žurnalo valdymas. Šiandien apžvelgiame geriausią žurnalų tvarkymo praktiką ir sistemas. Tikimės, kad tai padės jums tai aiškiai pamatyti.

Pradėsime nuo trumpo žurnalo tvarkymo aprašymo. Tada mes pasinerkime į geriausią žurnalų tvarkymo praktiką. Mes ištirsime, ar turėtumėte naudoti paruoštą sistemą, ar tai padaryti patys. Taip pat pažiūrėsime, ką - ir ko ne - stebėti, po to seka žurnalo saugumas ir saugojimas bei saugojimo klausimai. Prieš peržiūrėdami geriausias žurnalų valdymo sistemas, apžvelgsime įvairius tvarkymo būdus užduotys, žurnalų peržiūra ir priežiūra, duomenų šaltinių koreliacija ir šiek tiek automatizavimas svarstymai.

Apie žurnalo valdymą

Paprasčiau apibrėžtas žurnalas yra automatiškai parengtas ir laiko pažymėtas įvykio, susijusio su konkrečia sistema, dokumentas. Kai įvykis įvyksta sistemoje, sugeneruojamas žurnalas arba žurnalo įrašas. Skirtingos sistemos sugeneruos skirtingų įvykių žurnalus. Žurnalų valdymas paprastai reiškia procesus ir strategijas, naudojamus administruoti ir palengvinti žurnalo duomenų generavimą, perdavimą, analizę ir saugojimą. Žurnalų valdymas paprastai reiškia centralizuotą sistemą, kurioje kaupiami žurnalai iš kelių šaltinių.

Vis dėlto žurnalo valdymas nėra vien tik žurnalo rinkimas. Kaip rodo pavadinimas, svarbi yra valdymo dalis. Kai žurnalus gauna žurnalų valdymo sistema, jie „išverčiami“ į bendrą formatą. Tai būtina, nes skirtingų sistemų formatų žurnalai skiriasi ir į jų žurnalus įtraukiami skirtingi duomenys. Norint palengvinti paiešką ir įvykių koreliaciją, vienas iš žurnalų valdymo sistemų tikslų yra užtikrinti, kad visi surinkti žurnalo įrašai būtų saugomi vienoda forma.

Kalbant apie paiešką ir net koreliaciją, tai yra dar viena pagrindinė daugelio žurnalų valdymo sistemų ypatybė. Geriausios žurnalų valdymo sistemos turi galingą paieškos variklį. Tai leidžia administratoriams visiškai atsisakyti reikalingų paslaugų. Be to, įvykių koreliacija automatiškai sugrupuos susijusius įvykius, net jei jie yra iš skirtingų šaltinių.

Geriausia rąstų tvarkymo praktika

Žurnalų tvarkymas yra sudėtingas procesas. Negalime daug ką padaryti. Dėl šio sudėtingumo rizikuojame tai padaryti neteisingai. Norėdami to išvengti, mes sudarėme geriausių žurnalų tvarkymo praktikų sąrašą. Mūsų tikslas yra suteikti jums kuo daugiau informacijos, kad galėtumėte pasirinkti geriausią jūsų poreikiams pritaikytą žurnalo tvarkymo sistemą, bet, kas dar svarbiau, išnaudoti visas jos galimybes.

Rąstų tvarkymo sistema ar pasidaryk pats?

Dėl tam tikrų priežasčių kai kurie žmonės mano, kad jie gali rankiniu būdu įdiegti „žurnalo valdymo sistemą“. Jei esate tarp šių žmonių, nedelskite juokauti. Nors tai įmanoma įgyvendinti kažkokia forma žurnalų tvarkymo rankiniu būdu, reikalingos pastangos žymiai viršija tai, ko reikia norint įdiegti tikrą žurnalo valdymo sistemą. Turint keletą nemokamų ir atvirojo kodo įrankių, išlaidų argumentas nėra pagrįstas.

Beveik visada prasminga naudoti valdomą registravimo sprendimą, kurį sukūrė, palaiko ir įvertino patikimas pardavėjas, o ne pats kuria sistemą. Su jais viskas, ką jums paprastai reikia padaryti, yra sujungti šaltinius ir paskirties vietas, o jūs pasiruošę lengvai analizuoti sistemos ir programų žurnalus. Galėsite daugiau laiko praleisti stebėdami ir registruodamiesi, užuot sukūrę savo registravimo infrastruktūrą.

Žinojimas, ką reikia stebėti (o ką ne)

Žinoti, ką registruoti, yra labai svarbu, tačiau dar svarbiau žinoti, ko neprisijungti. Tai, kad galite ką nors prisijungti, nebūtinai reiškia, kad turėtumėte. Per daug prisijungęs nereiškia, kad tampa sunkiau rasti duomenis, kurie yra svarbūs. Be to, papildomas žurnalų kiekis padidina jūsų žurnalų saugojimo ir tvarkymo procesų sudėtingumą ir kainą. Prieš pradėdami diegti žurnalo valdymo platformą, svarbu apgalvoti, kas bus ir nebus prisijungiama. Tai padės išvengti brangiai kainuojančių klaidų ir leis geriau išmatuoti įrankį.

Atidžiai apsvarstykite, ko jums iš tikrųjų reikia prisijungti. Gamybos aplinka, kuriai labai svarbu atitikti reikalavimus arba audito tikslais, greičiausiai turėtų būti registruojama. Taip pat turėtų būti duomenys, kurie padeda pašalinti veikimo problemas, išspręsti vartotojo patirties problemas ar stebėti su saugumu susijusius įvykius.

Ir atvirkščiai, yra dalykų, kurių nereikia registruoti, pavyzdžiui, bandymo aplinkos, kurios nėra svarbi jūsų verslo procesų dalis. Taip pat yra duomenų, kuriuos pasirinksite neprisijungti dėl atitikties ar saugumo priežasčių. Pvz., Jei vartotojas įgalino nustatymą „nedaryti takelio“, neturėtumėte registruoti su tuo vartotoju susijusių duomenų.

Įdiegti žurnalo saugos ir išsaugojimo politiką

Žurnaluose gali būti neskelbtinų duomenų. Dėl šios priežasties turite turėti žurnalo saugos politiką. Tai bus neįkainojama, pavyzdžiui, užtikrinant, kad neskelbtini duomenys būtų anonimiški arba užšifruoti. Be to, saugus žurnalo duomenų perkėlimas į žurnalų valdymo sistemas įpareigojamas naudoti užšifruotą transportą naudojant TLS arba HTTPS kliento ir serverio pusėje.

Kalbant apie saugojimo politiką, žurnalams iš skirtingų šaltinių ar sistemų gali prireikti skirtingo saugojimo laiko. Pavyzdžiui, žurnalai, kurie pirmiausia naudojami trikčių šalinimui, gali veikti su palyginti trumpu saugojimo laiku, pavyzdžiui, keliomis dienomis ar net keliomis valandomis. Kita vertus, su sauga ar verslo operacijų žurnalais reikalingas ilgesnis saugojimo laikas, dažnai siekiant atitikties normatyvams. Atsižvelgiant į tai, jūsų išsaugojimo politika turėtų būti lanksti ir pritaikoma, atsižvelgiant į žurnalo šaltinį ar žurnalo tipą.

Žurnalo saugojimo aspektai

Laikydami žurnalo duomenis, sunaudojama daug vietos saugyklai. Planuodami rąstų saugojimo talpą, turite atsižvelgti į dideles apkrovos viršūnes. Daugeliu atvejų duomenų žurnalas per dieną yra santykinai pastovus. Tai daugiausia priklauso nuo sistemos naudojimo ir (arba) operacijų skaičiaus per dieną. Tačiau kai kas nors nutinka ne taip, galite tikėtis spartesnio žurnalo tūrio augimo. Jei jūsų žurnalo saugykloje yra viršytos ribos, galite prarasti naujausius žurnalus. Norint sušvelninti šį efektą, geriausiose žurnalų valdymo sistemose naudojamas ciklinis buferis. Prieš pradedant taikyti saugojimo apribojimą, pirmiausia ištrinami seniausi duomenys.

Taip pat žurnalo saugykla turėtų turėti savo saugumo politiką. Dauguma užpuolikų stengsis išvengti arba ištrinti savo pėdsakus žurnalų failuose. Norėdami to išvengti, turėtumėte realiu laiku išsiųsti žurnalus į centrinę žurnalų saugyklą (geriausia ne vietoje) ir ją apsaugoti. Taigi, jei užpuolikas turi prieigą prie jūsų infrastruktūros žurnalų, esančių už objekto vietos ribų, įrodymai nebus saugomi.

Žurnalų peržiūra ir priežiūra

Rąstų priežiūra yra svarbi žurnalo tvarkymo dalis, jei ne pati svarbiausia. Neišlaikyti žurnalai gali sukelti ilgesnį trikčių šalinimą, duomenų ekspozicijos riziką ir didesnes žurnalų saugojimo išlaidas. Peržiūrėkite savo sistemos sugeneruotus žurnalus ir pritaikykite registravimo lygį pagal savo poreikius. Turėtumėte atsižvelgti į tinkamumo, eksploatavimo ir saugumo aspektus.

Žurnalo lygį galima konfigūruoti

Kai kurie sistemos žurnalai yra per daug aiškūs, o kiti nepateikia pakankamai informacijos. Deja, ne visada tai galite padaryti. Dauguma sistemų teikia reguliuojamus žurnalo lygius. Jie yra svarbiausias veiksnys konfigūruojant žurnalų aiškumą ir užtikrinant, kad nėra to, kas turi būti registruojama, o kas nėra svarbu.

Dažnai tikrinkite audito žurnalus

Svarbu imtis veiksmų saugumo klausimais. Štai kodėl žurnalai visada turėtų būti stebimi. Jei jūsų žurnalų tvarkymo sistemoje nėra šios funkcijos - daugelis jų naudoja, naudokite išorinius saugos įrankius, tokius kaip auditd arba OSSEC. Jie įgyvendina realiojo laiko žurnalų analizę ir sukuria perspėjimo žurnalus, nurodančius galimas saugumo problemas. Be to, turėtumėte apibrėžti perspėjimus apie kritinius įvykius, kad greitai praneštumėte apie bet kokią įtartiną veiklą.

Koreliuokite duomenų šaltinius

Miško ruoša yra tik vienas visuotinės stebėjimo strategijos elementas. Norėdami atlikti išties veiksmingą stebėjimą, turite papildyti žurnalų valdymą kitomis stebėjimo rūšimis, tokiomis kaip stebėjimas, pagrįstas įvykiais, perspėjimais ir sekimu. Tai yra geriausias būdas susidaryti visą vaizdą apie tai, kas vyksta bet kuriuo metu. Žurnalai yra naudingi norint pateikti aukštos raiškos informaciją apie problemas, tačiau tai yra naudingiausia, kai prieš pradedant didinti medžius reikia šiek tiek nubėgti į mišką.

Žurnalų tvarkymas siloso srityje neveikia gerai. Nieko nedaro. Jūs tikrai turėtumėte papildyti jį kitomis stebėjimo rūšimis, tokiomis kaip tinklo stebėjimas, infrastruktūros stebėjimas ir kita. Idealiame pasaulyje jūsų stebėjimo sprendimas turėtų būti pakankamai išsamus, kad visa jūsų stebėjimo informacija būtų teikiama vienoje vietoje. Arba jis gali būti integruotas su kitomis priemonėmis, teikiančiomis šią informaciją. Tikslas yra, kiek įmanoma, turėti visos aplinkos vaizdą vienoje srityje.

Rąstų tvarkymas ir automatizavimas

Žurnalų tvarkymas gali padėti jums anksti išspręsti problemas ir taip sutaupyti jums ir jūsų komandai brangaus laiko ir energijos. Tai taip pat gali padėti surasti automatikos galimybes. Daugelis žurnalų tvarkymo įrankių leis nustatyti pasirinktinius įspėjimus, kurie suveikia, kai kas nors nutinka. Kai kurie netgi leis jums nustatyti automatinius veiksmus, kurie turi būti pradėti, kai suaktyvinami šie įspėjimai. Turėtumėte naudoti tiek automatizavimo, kiek leis jūsų valdymo įrankis. Nepaisant laiko, kurį praleisite nustatydami šią automatiką, pamatysite, kad jis buvo to vertas pirmą kartą susidūrus su incidentu.

6 populiariausi žurnalų tvarkymo įrankiai

Mes apžiūrėjome rinką bandydami rasti geriausią žurnalų tvarkymo įrankį. Mes bandėme sudaryti sąrašą, kuriame yra įvairių tipų įrankiai. Galų gale, kiekvieno poreikiai yra skirtingi, o geriausias įrankis vienam nebūtinai yra geriausias kažkam.

„Saulės vėjai“ yra bendras pavadinimas tinklo administravimo įrankių srityje. Tai vyko maždaug du dešimtmečius ir atnešė mums keletą geriausių pralaidumo stebėjimo įrankių bei „NetFlow“ analizatorių ir kolekcionierių. Bendrovė taip pat gerai žinoma, kad išleido keletą nemokamų įrankių, tenkinančių tam tikrus tinklo administratorių poreikius, tokius kaip potinklio skaičiuoklė ar „syslog“ serveris.

Kai kalbame apie žurnalų valdymą, bendrovės pasiūlymas dabar vadinamas „SolarWinds“ saugos įvykių tvarkyklė. Neseniai jis buvo pervadintas iš Prisijungti ir renginių tvarkyklė, tikriausiai norėdami geriau atspindėti tai, kad tai iš tikrųjų yra daug daugiau nei tik žurnalo valdymo sistema. Daugelis pažangių funkcijų įtraukė jį į saugos informacijos ir įvykių valdymo (SIEM) asortimentą. Pavyzdžiui, ji turi dviejų įvykių koreliaciją realiuoju laiku ir taisymą realiuoju laiku, dvi panašias į SIEM savybes.

• NEMOKAMAS BANDYMAS: „SolarWinds“ saugos įvykių tvarkyklė
• Oficiali atsisiuntimo nuoroda: https://www.solarwinds.com/security-event-manager/registration

Pažvelkime į kai kuriuos iš jų „SolarWinds“ saugos įvykių tvarkyklėPagrindinės savybės. Įrankis gali greitai pašalinti grėsmes, naudodamas momentinį įtartinos veiklos aptikimą ir automatizuotus atsakymus. Jis taip pat gali atlikti saugumo įvykių tyrimą ir kriminalistiką, kad būtų sušvelnintas ir laikomasi reikalavimų. Kalbėdamas apie atitiktį, produktas leis jums tai pademonstruoti, be kita ko, dėl patikrintų ataskaitų, skirtų HIPAA, PCI DSS ir SOX. Šis įrankis taip pat turi failų vientisumo stebėjimą ir USB įrenginių stebėjimą - dvi savybes, kurios yra daug aukščiau to, ką paprastai matome žurnalų valdymo sistemose.

Kainos už „SolarWinds“ saugos įvykių tvarkyklė prasideda nuo 4585 USD iki 30 stebimų mazgų. Galima įsigyti licencijas iki 2500 mazgų, todėl produktas yra labai keičiamas. Ir jei norite patikrinti, ar produktas tinka jums, nemokamas 30 dienų bandomasis laikotarpis yra.

Antra, turime dar vieną puikų produktą pavadinimu Papertrail, neseniai įsigijęs „Saulės vėjai“. Papertrail yra populiari debesimis paremta žurnalų valdymo sistema. Tai kaupia daugybės populiarių produktų, tokių kaip „Apache“ ar „MySQL“, taip pat „Ruby on Rails“ programų, skirtingų debesies prieglobos paslaugų ir kitų standartinių teksto žurnalų failus, žurnalų failus. Papertrail vartotojai gali naudoti žiniatinklio paieškos sąsają arba komandų eilutės įrankius, norėdami ieškoti šių failų, kad padėtų diagnozuoti klaidas ir našumo problemas. Įrankis taip pat integruojamas su kitais „Saulės vėjai“ tokie produktai kaip Librato ir Geckoboard rezultatų grafikui.

• NEMOKAMAS PLANAS: „SolarWinds Papertrail“
• Oficiali atsisiuntimo nuoroda: https://papertrailapp.com/plans

Papertrail yra debesyje naudojama programinė įranga kaip paslauga („SaaS“), kurią siūlo „Saulės vėjai“. Tai lengva įgyvendinti, naudoti ir suprasti. Ir tai suteiks akimirksniu visų sistemų matomumą per kelias minutes. Įrankis turi labai efektyvų paieškos variklį, kuris gali ieškoti tiek saugomuose, tiek srautiniuose žurnaluose. Ir žaibiškai greitai.

Papertrail galima pagal kelis planus, įskaitant nemokamą planą. Tačiau jis yra šiek tiek ribotas ir leidžia tik 100 MB žurnalų kiekvieną mėnesį. Tačiau tai leiskite 16 GB žurnalų per pirmąjį mėnesį, tai prilygsta nemokamo 30 dienų bandymo laikotarpio suteikimui. Mokami planai prasideda nuo 7 USD / mėn. Už 1 GB / mėn. Žurnalų, 1 metus archyvo ir 1 savaitę indekso. Triukšmo filtravimas leidžia įrankiui išsaugoti duomenis neišsaugant nenaudingų žurnalų.

3. „ManageEngine EventLog“ analizatorius

„ManageEngine“, dar vienas bendras vardas su tinklo administratoriais, sukuria puikią žurnalo valdymo sistemą, vadinamą „ManageEngine EventLog“ analizatorius. Produktas rinks, valdys, analizuos, koreliuos ir ieškos daugiau nei 700 šaltinių žurnalų duomenų, naudodamas agentų neturinčių ir agentais pagrįstų žurnalų rinkinių derinį, taip pat žurnalų importą.

Greitis yra vienas iš „ManageEngine EventLog“ analizatoriusStiprybė. Tai gali apdoroti žurnalo duomenis įspūdingu 25 000 žurnalų per sekundę greičiu ir aptikti išpuolius realiuoju laiku. Jis taip pat gali greitai atlikti kriminalistinę analizę, kad sumažintų pažeidimo poveikį. Sistemos audito galimybės apima tinklo perimetro įrenginių žurnalus, vartotojo veiklą, serverio paskyros pakeitimus, vartotojo prieigas ir dar daugiau - tai padeda patenkinti saugumo audito poreikius.

„ManageEngine EventLog“ analizatorius yra nemokamame leidime, kuriam pritaikyta mažiau funkcijų, kuris palaiko tik 5 žurnalų šaltinius, arba premium versijoje, kurio kaina prasideda nuo 595 USD ir kuris priklauso nuo įrenginių ir programų skaičiaus. Taip pat galima įsigyti nemokamą, pilną 30 dienų bandomąją versiją.

4. „Ipswitch Log Management Suite“

Žurnalų tvarkymo rinkinys yra produktas iš Ipswitch, ta pati įmonė, kuri mus atvežė „WhatsUp Gold“, be galo populiari tinklo stebėjimo priemonė. Tai automatinis įrankis, kuris kaupia, saugo, archyvuoja ir išsaugo sistemos žurnalus, „Windows“ įvykius ir W3C / IIC žurnalus. Be to, nuolatinis žurnalo stebėjimas įspės apie bet kokią įtartiną veiklą.

Galima sekti dažnai audituojamus įvykius, tokius kaip prieigos teisės ir failų, aplankų ir objektų privilegijos, generuoja perspėjimus pagal poreikį ir naudojami kuriant atitikties ataskaitas HIPAA, SOX, FISMA, PCI, MiFID ar „Basel II“ laikymasis. Priemonė taip pat gali padėti jums pakeisti neapdorotus žurnalo duomenis į reikšmingus duomenis valdytojams ar IT saugos komandoms dėl automatinio filtravimo, koreliacijos, ataskaitų teikimo ir konvertavimo funkcijų.

Informacija apie kainodarą Žurnalų tvarkymo rinkinys nėra lengvai prieinamas iš Ipswitch. Produktą galima įsigyti tiesiogiai iš leidėjo arba per IpswitchPerpardavinėtojų tinklas. Taip pat galima įsigyti nemokamą bandomąją versiją.

5. Alert Logic Log Manager

Įspėjimo logikaPagrindinis dėmesys skiriamas saugumui ir atitikčiai. Kadangi žurnalo valdymas yra glaudžiai susijęs su abiem, nenuostabu, kad įmonė siūlo Alert Logic Log Manager. Šis debesimis paremtas įrankis siūlo automatizuotą ir vieningą žurnalų valdymą visose jūsų aplinkose. Tai rinks, kaups ir ieškos žurnalo duomenų iš debesies, serverio, programos, saugos ir tinklo išteklių.

Alert Logic Log Manager apima žurnalų stebėjimą ir analizę, taip pat žurnalų apžvalgą, kurią tiesiogiai atlieka žmonių analizatoriai. Įspėjimo logikaEkspertai jus įspės apie galimą grėsmę 365 dienas per metus. Ši paslauga taip pat padės įvykdyti SOC 2, HIPAA ir SOX žurnalų peržiūros reikalavimus ir panaikins naštą peržiūrėti žurnalus ir sekti įvykius, kad būtų laikomasi PCI / DSS 10.6, 10.6.1, 10.6.3

Informacija apie kainodarą Alert Logic Log Manager nėra lengvai prieinamas žiniatinklyje ir turėsite susisiekti Įspėjimo logika pardavimai, norint gauti oficialią kainą. Nemokamas bandymas taip pat negalimas, tačiau nemokamą demonstracinę versiją galima susitarti susisiekus Įspėjimo logika.

6. „Nagios Log Server“

Gal jau žinote Nagios kaip puikus tinklo stebėjimo paketas. Siūlomas nemokamas ir atvirasis šaltinis, taip pat komercinė versija, produktas turi gerą reputaciją. Žurnalui tvarkyti, Nagios'Aukos vadinamos „Nagios Log Server“. Tai yra visas paketas su centralizuotu žurnalo valdymu, stebėjimu ir analize. Šis įrankis gali supaprastinti jūsų žurnalo duomenų paiešką. Tai taip pat leidžia nustatyti perspėjimus, kad būtų pranešama apie galimas grėsmes. Be to, programinė įranga yra lengvai prieinama ir joje įdiegta nesėkmė. Nesudėtingi šaltinio sąrankos vedliai gali padėti sukonfigūruoti serverius ir kitus įrenginius siųsti jų žurnalų duomenis į platformą, leisdami jums per kelias minutes pradėti stebėti žurnalus.

„Nagios Log Server“ vos keliais paspaudimais suteikia galimybę lengvai koreguoti žurnalo įvykius visuose registravimo šaltiniuose. Sistema leis peržiūrėti žurnalo duomenis realiuoju laiku, leis analizuoti ir spręsti problemas realiuoju laiku, kai tik jos atsiranda. Kitas produkto privalumas yra įspūdingas mastelio keitimas. Šis įrankis tenkina jūsų poreikius augant organizacijai. Jei reikia, papildomai „Nagios Log Server“ egzempliorius galima pridėti prie stebėjimo grupių, leidžiančių greitai pridėti daugiau energijos, greičio, saugyklos ir patikimumo.

Turint visas šias savybes, galima būtų tikėtis nemenkos kainų etiketės. Tai nėra tas atvejis ir vienos instancijos kaina „Nagios Log Server“ yra labai pagrįsta 3 995 USD. Nepaisant to, kad nesiūlote nemokamos bandomosios versijos, galima įsigyti nemokamą demonstracinę versiją internete, jei prieš priimdami sprendimą pirkti norėtumėte iš anksto pasižiūrėti produktą.