8 geriausia žurnalų tvarkymo programinė įranga greitesniam trikčių šalinimui

Šiandieninės sistemos generuoja daug registravimo duomenų. Daugelyje platformų kiekvienas įvykis, svarbus ar nesvarbus, yra kažkur užregistruojamas. Paprastai žurnalai saugomi vietoje. Tai prasminga, nes žurnalai yra susieti su jų šaltiniu. Tačiau bandant šalinti problemas ir rasti jų pagrindinę priežastį, tai dažnai reiškia, kad turime ieškoti kelių žurnalo failų daugelyje įrenginių. Ar nebūtų puiku, jei visi visų įrenginių žurnalai būtų saugomi vienoje vietoje? Žurnalo tvarkymas yra tas ir dar daugiau, kaip jūs ketinate sužinoti. Ir šiandien mes apžvelgiame populiariausių žurnalų valdymo sistemas.

Pradėsime bandydami paaiškinti, kas yra žurnalo valdymas. Kaip matysite, tai gali būti daug daugiau, nei tik centralizuoti žurnalų saugojimą. Toliau kalbėsime apie protokolų registravimą. Tai gana svarbu, nes žurnalų tvarkymas be jų veikiausiai neįvyktų. Tada pabandysime atskirti „syslog“ serverius nuo žurnalų valdymo sistemų. Deja, nėra aiškios jų ribos. Mes stebėsime diskusiją apie saugos informaciją ir įvykių valdymo sistemas, nes tai yra kita sistemos tipas, kuris dažnai painiojamas su žurnalo valdymu dėl šiek tiek neaiškaus apibrėžimo kiekviena. Galiausiai apžvelgsime aštuonias pagrindines žurnalų valdymo sistemas, kurias galėjome rasti.

Rąstų tvarkymas - kas tai yra

Prieš pradėdami kalbėti apie žurnalo valdymą, pažiūrėkime, kas yra žurnalas. Paprasčiau apibrėžtas žurnalas yra automatiškai sukuriamas ir laiko žymimas įvykių, susijusių su tam tikra sistema, dokumentais. Kai tik įvykis įvyksta sistemoje, sugeneruojamas žurnalas. Skirtingos sistemos sugeneruoja skirtingų įvykių žurnalus, o daugelis sistemų administratoriams suteikia tam tikrą laipsnį kontrolės, kas generuoja žurnalą, o kas ne.

Kai mes kalbame apie žurnalo valdymą, turime omenyje procesus ir strategijas, naudojamus administruoti ir palengvinti didelių žurnalų kiekių generavimą, perdavimą, analizę, saugojimą, archyvavimą ir galimą sunaikinimą duomenys. Žurnalų valdymas reiškia centralizuotą sistemą, kurioje renkami žurnalai iš kelių šaltinių.

Bet žurnalo valdymas nėra vien tik žurnalo rinkimas. Valdymo dalis yra pati svarbiausia. Žurnalų tvarkymo sistemos paprastai turi keletą funkcijų, rinkdamos žurnalus yra tik viena iš jų.

Kai žurnalus gauna žurnalų valdymo sistema, juos reikia „išversti“ į bendrą formatą. Skirtingos sistemos formatuoja žurnalus skirtingai ir į žurnalus įtraukia skirtingus duomenis. Kai kurie pradeda žurnalą su data ir laiku, kiti pradeda nuo įvykio numerio. Kai kurie turi tik žurnalo ID, kiti - visą įvykio tekstinį aprašą. Vienas iš žurnalų valdymo sistemų tikslų yra užtikrinti, kad visi surinkti žurnalo įrašai būtų saugomi vienoda forma. Tai žymiai palengvins paiešką ir įvykių koreliaciją.

Kalbant apie paiešką ir net koreliaciją, tai yra dar viena svarbi daugelio žurnalų valdymo sistemų funkcija. Kai kurie iš jų turi galingą paieškos variklį, leidžiantį administratoriams tiksliai nustatyti, ko jiems reikia. Koreliacijos funkcijos automatiškai sugrupuos susijusius įvykius, net jei jie yra iš skirtingų šaltinių. Kaip ir kaip sėkmingai įgyvendinama skirtinga žurnalo valdymo sistema, tai yra pagrindinis skiriamasis faktorius.

Registravimo protokolai

Žurnalų tvarkymas būtų daug sunkesnis, jei iš viso būtų įmanoma, jei tai nebūtų protokolų registravimas. Keletas iš jų apibrėžia, kokie duomenys turi būti įtraukti į žurnalus, kaip jie turėtų būti suformatuoti ir kaip jie turėtų būti perduodami iš vienos sistemos į kitą.

„Syslog“ yra tikriausiai labiausiai naudojamas registravimo protokolas. Išrastas aštuntojo dešimtmečio pradžioje, jis tapo de facto standartu „Unix“ tipo sistemoms. Vienas didžiausių „syslog“ protokolo pranašumų yra tai, kaip jis atskiria žurnalus generuojančią programinę įrangą, juos saugančią sistemą ir programinę įrangą, kuri juos praneša ir analizuoja. Naudojant „Syslog“ protokolą, žurnalo tvarkymas tampa daug lengvesnis. Daugelis ne Unix prietaisų, tokių kaip jungikliai, maršrutizatoriai ir kita daugelio pardavėjų tinklo įranga, naudoja „syslog“ protokolo variantą.

„Microsoft Windows“, kaip jau spėjote atspėti, naudoja kitą registravimo sistemą. Tai gali būti susiję su tuo, kad „Windows“ operacinės sistemos ir programos turi žurnalus, kuriuose paprastai yra daug daugiau informacijos, nei leidžia „syslog“. Laimei, „Windows Event Collector“ funkcijos suteikia galimybę žurnalų valdymo sistemoms naudoti įvykius iš „Windows“ kompiuterių gauti.

Nesvarbu, koks registravimo protokolas yra naudojamas, svarbi žurnalo tvarkymo dalis yra įrenginių konfigūravimas siųsti savo žurnalus valdymo sistemai. Tai skiriasi nuo kitų įrankių, tokių kaip tinklo stebėjimo sistemos, kai įrankis gauna duomenis iš pagrindinio kompiuterio.

Prisijungti serveriai vs žurnalo valdymas

Kadangi jis gana ilgai buvo prieinamas visose „Unix“ tipo sistemose, „Syslog“ dažnai buvo naudojamas kaip žurnalo serveris, kai vienas kompiuteris gauna „syslog“ duomenis iš kelių kitų. Nors toks centralizuotas žurnalų saugojimas turi aiškių pranašumų, tai nėra žurnalų valdymas.

Norint nusipelnyti žurnalo valdymo sistemos pavadinimą, gaminyje turi būti bent keletas pažangių funkcijų. Pagal Vikipediją, žurnalų valdymą sudaro šios funkcijos: žurnalų rinkimas, centralizuotas žurnalo kaupimas, ilgalaikis žurnalo saugojimas ir išsaugojimas, žurnalo kaitaliojimas, žurnalo analizė, žurnalo paieška ir ataskaitų teikimas. Žurnalų serveriai dažnai siūlo tik žurnalų rinkimą ir saugojimą, o retai - daugiau. Kiekvienoje žurnalo valdymo sistemoje, esančioje aukščiausiame sąraše, yra bent keletas pažangių funkcijų.

Kaip su SIEM sistemomis?

Kita populiari technologija, dažnai susijusi su rąstais ir painiojama su rąstų valdymo sistemomis Saugumo informacija ir įvykių valdymas arba SIEM. Tai labai skiriasi nuo žurnalo tvarkymo, nors yra glaudžiai susijusi. Tiesą sakant, kai kurie produktai, reklamuojami kaip žurnalų valdymo sistemos, iš tikrųjų yra SIEM sistemos, o kai kurios pagrindinės SIEM sistemos yra ne kas kita, kaip žurnalų valdymo sistemos.

Pagrindinė tokio painiavos priežastis yra ta, kad žurnalo valdymas arba bent jau žurnalo analizė yra svarbi SIEM sistemų sudedamoji dalis. Tiesą sakant, SIEM sistemos paprastai perkelia žurnalo valdymą į kitą lygį, į procesą įtraukdamos šiek tiek intelekto. Šios sistemos vykdo žurnalų analizę, siekdamos nustatyti saugos problemas. Jie, pavyzdžiui, ieškos nesėkmingų prisijungimų požymių, kurie rodytų neteisėtą bandymą įsibrauti. Šios sistemos automatiškai nuskaitys žurnalo įrašus ieškodamos nieko neįprasto.

SIEM sistemos labiau susijusios su IT saugumu nei su IT valdymu, o kai kurios apima platų žurnalų valdymą funkcijų, daugelis taip pat gali naudoti išorines žurnalų tvarkymo sistemas, ir nėra retas atvejis, kai abi sistemos veikia viena šalia kitos pusėje.

Geriausia žurnalų tvarkymo programinė įranga

Dabar, kai turime bendrą supratimą apie tai, kas yra žurnalo valdymas, o kas ne, pažvelkime, kas yra prieinama. Mes ieškojome geriausių žurnalų valdymo sistemų rinkoje. Mūsų pradinė išvada yra, kad jų yra daug ir daugelis jų yra labai geri. Tačiau turime tik tiek vietos, kad netrukus apžvelgtume aštuonis įdomiausius, kuriuos galėtume rasti.

„SolarWinds“ yra įprastas vardas tinklo administravimo įrankių srityje. Tai buvo beveik 20 metų ir atnešė mums vieną geriausių pralaidumo stebėjimas įrankiai ir vieni geriausių „NetFlow“ analizatoriai ir kolekcininkai. Bendrovė taip pat yra gerai žinoma, kad išleido keletą nemokamų įrankių, tenkinančių tam tikrus tinklo administratorių poreikius, tokius kaip potinklio skaičiuoklė arba a syslog serveris.

Prieš keletą metų „SolarWinds“ įsigijo Papertrail, populiari žurnalo valdymo sistema. Tai kaupia daugybės populiarių produktų, tokių kaip „Apache“ ar „MySQL“, taip pat „Ruby on Rails“ programų, skirtingų debesies prieglobos paslaugų ir kitų standartinių teksto žurnalų failus, žurnalų failus. Papertrail vartotojai gali naudoti žiniatinklio paieškos sąsają arba komandų eilutės įrankius, norėdami ieškoti šių failų, kad padėtų diagnozuoti klaidas ir našumo problemas. Papertrail taip pat integruojamas su kitais „SolarWinds“ produktais, tokiais kaip „Librato“ ir „Geckoboard“, kad būtų galima grafikuoti rezultatus.

Papertrail yra „Debesis“ paremta programinė įranga kaip paslauga („SaaS“), kurią siūlo „SolarWinds“. Tai lengva įgyvendinti, naudoti ir suprasti. Ir tai suteiks akimirksniu visų sistemų matomumą per kelias minutes. Įrankis turi labai efektyvų paieškos variklį, kuris gali ieškoti tiek saugomuose, tiek srautiniuose žurnaluose. Ir žaibiškai greitai.

Papertrail galima pagal kelis planus, įskaitant nemokamą planą. Tačiau jis yra šiek tiek ribotas ir leidžia tik 100 MB žurnalų kiekvieną mėnesį. Tačiau tai leis per pirmąjį mėnesį gauti 16 GB žurnalų, o tai reiškia, kad jums bus suteiktas nemokamas 30 dienų bandomasis laikotarpis. Mokami planai prasideda nuo 7 USD / mėn. Už 1 GB / mėn. Žurnalų, 1 metus archyvo ir 1 savaitę indekso. Triukšmo filtravimas leidžia įrankiui išsaugoti duomenis neišsaugant nenaudingų žurnalų.

Kitas mūsų įrašas yra dar vienas „SolarWinds“ produktas, vadinamas „Saulės vėjai“ Prisijungti ir renginių tvarkyklė. Priešingai nei ankstesniame įraše, tai yra vietoje įdiegtas produktas. Tai taip pat yra daug daugiau nei tik žurnalo valdymo sistema. Daugelis pažangių šio produkto savybių jį įtraukė į SIEM asortimentą. Pavyzdžiui, joje yra koreliacija realiu laiku ventiliacija ir taisymas realiuoju laiku.

Čia yra „SolarWinds“ žurnalų ir renginių tvarkyklėPagrindinės savybės. Tai greitai pašalina grėsmes, naudojant momentinį įtariamosios veiklos aptikimą ir automatizuotus atsakymus. Jis taip pat gali atlikti saugumo įvykių tyrimą ir kriminalistiką, kad būtų sušvelnintas ir laikomasi reikalavimų. Kalbėdamas apie atitiktį, produktas leis jums tai pademonstruoti, be kita ko, dėl patikrintų ataskaitų, skirtų HIPAA, PCI DSS ir SOX. Šis įrankis taip pat turi failų vientisumo stebėjimą ir USB įrenginių stebėjimą - dvi savybes, kurios yra daug aukščiau to, ką paprastai matome žurnalų valdymo sistemose.

Kainos už „SolarWinds“ žurnalų ir renginių tvarkyklė prasideda nuo 4585 USD iki 30 stebimų mazgų. Galima įsigyti licencijas iki 2500 mazgų, todėl produktas yra labai keičiamas. Ir jei norite patikrinti, ar produktas tinka jums, yra nemokamas 30 dienų bandomasis laikotarpis.

3. „ipswitch Log Management Suite“

Žurnalų tvarkymo rinkinys yra įrankis iš „Ipswitch“, tos pačios įmonės, kuri mums atnešė nepaprastai populiarų tinklo stebėjimo įrankį „WhatsUp Gold“. Tai automatinis įrankis, kuris kaupia, saugo, archyvuoja ir išsaugo sistemos žurnalus, „Windows“ įvykius ir W3C / IIC žurnalus. Be to, nuolatinis žurnalo stebėjimas įspės apie bet kokią įtartiną veiklą.

Galima sekti dažnai audituojamus įvykius, tokius kaip prieigos teisės ir failų, aplankų ir objektų privilegijos, generuoja perspėjimus pagal poreikį ir naudojami kuriant atitikties ataskaitas HIPAA, SOX, FISMA, PCI, MiFID ar „Basel II“ laikymasis. Priemonė taip pat gali padėti jums pakeisti neapdorotus žurnalo duomenis į reikšmingus duomenis valdytojams ar IT saugos komandoms dėl automatinio filtravimo, koreliacijos, ataskaitų teikimo ir konvertavimo funkcijų.

Informacija apie kainodarą Žurnalų tvarkymo rinkinys nėra lengvai prieinamas iš „Ipswitch“. Produktą galima įsigyti tiesiogiai iš leidėjo arba per „Ipswitch“ perpardavėjų tinklą. Taip pat galima įsigyti nemokamą bandomąją versiją.

4. „ManageEngine EventLog“ analizatorius

„ManageEngine“, dar vienas įprastas vardas su tinklo administratoriumi, sukuria puikią žurnalo valdymo sistemą, vadinamą „ManageEngine EventLog“ analizatorius. Produktas rinks, valdys, analizuos, koreliuos ir ieškos daugiau nei 700 šaltinių žurnalų duomenų, naudodamas kombinuotą arba agentų neturintį ir agentais pagrįstą žurnalų rinkinį, taip pat žurnalų importą.

Greitis yra vienas iš „ManageEngine EventLog“ analizatoriusStiprybė. Tai gali apdoroti žurnalo duomenis įspūdingu 25 000 žurnalų per sekundę greičiu ir aptikti išpuolius realiu laiku. Jis taip pat gali greitai atlikti kriminalistinę analizę, kad sumažintų pažeidimo poveikį. Sistemos audito galimybės apima tinklo perimetro įrenginių žurnalus, vartotojo veiklą, serverio paskyros pakeitimus, vartotojo prieigas ir dar daugiau - tai padeda patenkinti saugumo audito poreikius.

„ManageEngine EventLog“ analizatorius yra nemokamame leidime, kuriam pritaikyta mažiau funkcijų, kuris palaiko tik 5 žurnalų šaltinius, arba premium versijoje, kurio kaina prasideda nuo 595 USD ir kuris priklauso nuo įrenginių ir programų skaičiaus. Taip pat galima įsigyti nemokamą, pilną 30 dienų bandomąją versiją.

5. „Nagios Log Server“

Nagios yra geriausiai žinomas dėl savo puikaus tinklo stebėjimo programinė įranga bet jo prisijungimo serveris galbūt yra toks pat įdomus. Tinkamai vadinama „Nagios Log Server“, jis siūlo centralizuotą žurnalų valdymą, stebėjimą ir analizę. „Nagios Log Server“ supaprastina jūsų žurnalo duomenų paiešką. Tai taip pat leidžia nustatyti įspėjamuosius įspėjimus apie galimas grėsmes. Be to, programinė įranga yra lengvai prieinama ir tinkamai įdiegta be trikdžių. Nesudėtingi šaltinio sąrankos vedliai padės greitai sukonfigūruoti serverius, kad jie galėtų siųsti visus žurnalo duomenis ir per kelias minutes pradėti stebėti žurnalus.

„Nagios Log Server“ leidžia vos keliais paspaudimais koreguoti žurnalo įvykius visuose serveriuose. Ir tai leidžia peržiūrėti žurnalo duomenis realiuoju laiku, suteikiant galimybę analizuoti ir spręsti iškilusias problemas. Produktas pasižymi įspūdingu mastelio keitimas ir toliau patenkins jūsų poreikius, augant jūsų organizacijai. Papildomas „Nagios Log Server“ egzempliorius galima pridėti prie stebėjimo grupių, leidžiančių greitai pridėti daugiau energijos, greičio, saugyklos ir patikimumo.

Vienos instancijos kaina „Nagios Log Server“ yra 3 995 USD ir, nors nemokama bandomoji versija nėra prieinama, turėtumėte naudotis nemokama demonstracine versija internete, jei norėtumėte iš pirmo žvilgsnio pamatyti produktą.

6. Alert Logic Log Manager

Pagrindinis „Alert Logic“ akcentas yra saugumas ir atitikimas. Ir kadangi žurnalo valdymas yra glaudžiai susijęs su abiem, nenuostabu, kad įmonė siūlo Alert Logic Log Manager. Šis debesimis paremtas įrankis siūlo automatizuotą ir vieningą žurnalų valdymą visose jūsų aplinkose. Tai rinks, kaups ir ieškos žurnalo duomenų iš debesies, serverio, programos, saugos ir tinklo išteklių.

Alert Logic Log Manager apima žurnalų stebėjimą ir analizę, taip pat žurnalų apžvalgą, kurią tiesiogiai atlieka žmonių analizatoriai. „Alert Logic“ ekspertai įspės jus apie galimą grėsmę 365 dienas per metus. Ši paslauga taip pat padės įvykdyti SOC 2, HIPAA ir SOX žurnalų peržiūros reikalavimus ir panaikins naštą peržiūrėti žurnalus ir sekti įvykius, kad būtų laikomasi PCI / DSS 10.6, 10.6.1, 10.6.3

Informacija apie kainodarą Alert Logic Log Manager nėra lengvai prieinamas internete ir turėsite susisiekti su „Alert Logic“ pardavėjais, kad gautumėte oficialią citatą. Nemokamos bandomosios versijos taip pat nėra, tačiau nemokamą demonstracinę versiją galima susitarti susisiekus su „Alert Logic“.

7. LogDNA

Įkurta 2015 m. LogDNAyra naujas vaikas bloke. Bendrovė teigia, kad „LogDNA yra greičiausia, intuityviausia ir ekonomiškiausia žurnalo valdymo sistema “. Viskas prasideda nuo diegimo, kuris užtrunka tik keletą minučių, kol galėsite pradėti stebėti savo žurnalus. Nesvarbu, kaip sugeneruojami ir perduodami žurnalai, šimtai pasirinktinių integracijos schemų yra prieinamos, kad žurnalai būtų centralizuoti vienoje srityje.

LogDNA priklausomai nuo jūsų pasirinkimo, gali būti pagrįstas debesiu arba priglobtas namuose. Jis yra labai keičiamas ir gali būti saugus šimtus tūkstančių žurnalų per sekundę ir keliasdešimt terabaitų vienam klientui per dieną, naudodamas realiojo laiko žurnalų analizę. Bendrovė ir jos produktai yra suderinti su SOC2, PCI ir HIPAA, taip pat sertifikuoti „Privacy Shield“.

Taikydamas paprastą, mokamą už GB kainodaros modelį, kuris pašalina sutartis ir fiksuotus duomenų kaupiklius, bendrovė turi vieną iš mažiausių visų nuosavybės išlaidų. Yra keletas prenumeratos planų, turinčių vis daugiau funkcijų. Žemiausios pakopos planas yra nemokamas, o apmokami planai skiriasi nuo 1,50 USD / GB / mėn. Iki 3 USD / GB / mėn., Priklausomai nuo išlaikymo trukmės ir vartotojų skaičiaus. Taip pat galimas nemokamas visas 14 dienų bandomasis laikotarpis.

8. „Greylog“

Paskutinis mūsų sąraše yra produktas, vadinamas „Greylog“. Produktas siūlo daug įdomių funkcijų. Įrankis išanalizuos ir praturtins žurnalus ir įvykių duomenis iš bet kurio duomenų šaltinio. Jo apdorojimo vamzdynai suteikia tam tikro lankstumo maršrutizuojant, įtraukiant juodąjį sąrašą, keičiant ir praturtinant pranešimus realiuoju laiku. „Greylog“ ieškos terabaitų žurnalo duomenų, kad surastų ir išanalizuotų svarbią informaciją. Galinga paieškos sintaksė leidžia rasti būtent tai, ko ieškote.

Su „Greylog“, galite sukurti informacijos suvestines, kad vizualizuotumėte metriką ir stebėtumėte tendencijas vienoje centrinėje vietoje. Norėdami naudoti gilesnę duomenų analizę, galite naudoti lauko statistiką, greitas vertes ir diagramas iš paieškos rezultatų puslapio. Sistema taip pat turi galimybę suaktyvinti veiksmus arba pranešti apie įvykius, tokius kaip nepavykusys prisijungimo bandymai, išimtys ar veiklos pablogėjimas.

„Greylog“ galima kaip nemokama ir atviro kodo, su funkcijomis apribota versija, kuri taip pat turi ribotą palaikymą, arba kaip įmonės versija su išplėstinėmis funkcijomis ir neribotu palaikymu. Bandomąją licenciją taip pat galite gauti susisiekę „Greylog“ pardavimai.