8 geriausios žurnalo stebėjimo priemonės ir analizės programinė įranga 2020 metams

Žurnalo failai yra beveik kiekvienoje kompiuterio sistemoje ar tinklo įrenginyje. Jose pateikiama išsami informacija apie įvykius, vykstančius kiekvienoje sistemoje. Jie gali būti neįkainojami šalinant įvairias problemas. Jie taip pat gali atskleisti kenkėjišką veiklą ir todėl gali tapti naudinga saugumo užtikrinimo priemone. Bet kas turi laiko net pažvelgti į žurnalo failus? Įprastas administratorius valdo dešimtis prietaisų, kai kurie iš jų kiekvieną sekundę registruoja kelis įvykius. Taigi niekas negali sekti. Štai kodėl buvo išrastos žurnalų stebėjimo priemonės. Jie sujungia visus įvykių žurnalus vienoje vietoje ir dažnai teikia analizės įrankius ir paslaugas, kurios bus naudojamos per žurnalus ir sukels įspėjimus, kai bus pastebėtas kažkas neįprasto. Yra daugybė skirtingų žurnalų stebėjimo įrankių, o pasirinkti geriausią gali būti sudėtinga. Norėdami padėti jums, mes surinkome šį sąrašą geriausių žurnalų stebėjimo įrankių.

Pradėsime diskusiją tyrinėdami sistemos žurnalus, kokie jie yra ir kaip jie veikia. Toliau kalbėsime apie žurnalų stebėjimą. Kaip ir anksčiau, pažiūrėsime, ką tai reiškia ir kaip tai daroma. Tada pateiksime daugiau informacijos apie žurnalo analizę, nes ši funkcija daro žurnalo stebėjimo įrankius naudingiausius. Kaip ir anksčiau, aprašysime, kas tai yra, ir įvairias galimas analizės formas. Galiausiai apžvelgsime keletą geriausių žurnalų stebėjimo įrankių, kuriuos galėjome rasti, ir papasakosime apie jų pagrindines savybes.

Sistema prisijungia trumpai

Vienu sakiniu žurnalo failas arba sistemos žurnalas yra failas, kuriame įrašomi įvykiai, įvykę operacinėje sistemoje ar kitoje programinėje įrangoje. Registravimas yra sistemos žurnalo tvarkymas. Paprasčiausiu atveju pranešimai tiesiog rašomi į vieną žurnalo failą. Nors dauguma sistemų įvykių registravimui naudoja tekstinius failus, kai kurios šiuolaikinės sistemos joms registruoti naudoja tam tikros formos duomenų bazę.

Nesvarbu, kaip ir kur įvykiai registruojami, kai kurios sistemos leidžia apibrėžti jums reikalingą registravimo lygį. Tai ypač pasakytina apie tinklo įrangą, kur kiekvienas įvykis turi sunkumo lygį, o registravimo parametrai gali būti nustatyti tik tam tikro ar aukštesnio laipsnio įvykiams registruoti. Panašias funkcijas teikia ir kitų tipų sistemos.

Apie stebėjimo žurnalus

Žurnalų stebėjimas yra dviejų dalių procesas. Pirmoji ir pati svarbiausia dalis yra žurnalo duomenų rinkimas iš įvairių sistemų. Tai atliekama skirtingais būdais. Kai kurias sistemas galima sukonfigūruoti automatiškai siųsti žurnalus į centralizuotą serverį per „Syslog“ protokolą. Žurnalų stebėjimo įrankiai paprastai turi įmontuotą „syslog“ serverį, kad tiesiogiai gautų įvykių duomenis. Kitos sistemos, pavyzdžiui, „Windows“, veikia skirtingai. Yra įvairių būdų, kaip iš šių sistemų gauti žurnalo duomenis, pavyzdžiui, naudojant „Windows Management Instrumentation“ arba naudojant vietinius agentus, veikiančius „Windows“ pagrindiniuose kompiuteriuose. Nepriklausomai nuo to, kaip tai daroma, kiekvienoje žurnalo stebėjimo sistemoje yra reikalingos funkcijos, kad būtų galima priimti ir sujungti žurnalo duomenis iš kelių šaltinių.

Kitas žingsnis - žurnalo analizė

Antroji naudingo žurnalo stebėjimo įrankio užduotis yra žurnalo analizė. Čia labiausiai skiriasi įrankiai. Kai kurie siūlys tik labai paprastą analizę, pavyzdžiui, įspėjimo suaktyvinimą, kai įvykių skaičius per laiko vienetą pasieks nurodytą ribą. Pažangesnės priemonės išnagrinės kiekvieną įvykį ir ieškos konkrečių problemų požymių. Pavyzdžiui, daugybė nepavykusių prisijungimų gali būti besitęsiančio bandymo įsilaužti ženklas. Galėtume praleisti puslapius, kuriuose aprašomos įvairios galimos žurnalų analizės formos. Vietoje to, kviečiame pasižvalgyti į žemiau pateiktą skirtingų produktų apžvalgą ir sužinoti, ką kiekvienas iš jų siūlo.

Geriausi žurnalo stebėjimo įrankiai

Kaip jau minėjome anksčiau, yra daugybė skirtingų įrankių, turinčių skirtingą funkcionalumą. Ne visiems reikia įrankio, turinčio išsamią analizę ir aukštos saugos ypatybes, todėl mes įtraukėme įrankių, kurie teikia įvairius funkcijų rinkinius, rinkinį. Kai kurios yra paprastesnės priemonės, o kitos - sudėtingesnės. Jūs turite nuspręsti, kuris įrankis geriausiai tinka jūsų poreikiams. Laimei, visi mūsų sąrašo įrankiai yra prieinami nemokamai, taigi niekas netrukdo išbandyti kelis dalykus - tai mes labai rekomenduojame.

„SolarWinds“ yra įprastas pavadinimas stebėjimo pasaulyje. Bendrovė veikia daugiau nei 20 metų, o jos pavyzdinis produktas, vadinamas tinklo našumo stebėjimo įrankiu, daugelio pripažintas geriausiu SNMP stebėjimo įrankiu. Ir tarsi to nepakaktų, „SolarWinds“ taip pat žinomas dėl daugybės nemokamų įrankių. Tai yra mažesni įrankiai, kurių kiekvienas patenkina specifinį tinklo administratorių poreikį. Išplėstinis potinklio skaičiuoklė ir „SolarWinds TFTP“ serveris yra du puikūs šių nemokamų įrankių pavyzdžiai.

Kalbant apie „SolarWinds“ žurnalų ir renginių tvarkyklė (LEM), būtent tai reiškia jo pavadinimas. Įrankis yra toks turtingas, kad daugelis jo laiko visaverčiu saugos informacijos ir įvykių valdymo įrankiu. Stebint ir tvarkant žurnalus, greičiausiai, tai yra vienas įdomiausių žurnalų valdymo įrankių, kurį galite rasti. Jis turi labai naudingas žurnalo valdymo ir koreliacijos funkcijas, taip pat įspūdingą ataskaitų teikimo variklį.

• NEMOKAMAS BANDYMAS:„SolarWinds“ žurnalų ir renginių tvarkyklė
• Atsisiuntimo nuoroda:https://www.solarwinds.com/log-event-manager-software/registration

„SolarWinds“ žurnalų ir renginių tvarkyklė gali padėti pagerinti saugumą ir atitiktį nustatant įtartiną veiklą ir greičiau nustatant grėsmes nustatant įtartiną veiklą įvykio metu. Priemonę taip pat galite naudoti vykdydami saugumo įvykių tyrimus ir kriminalistiką, kad sumažintumėte ir laikytumėtės. Dėl šios savybės daugelis mano, kad produktas yra SIEM įrankis. Be to, ši priemonė padeda pasirengti laikytis normų. Galite naudoti tai norėdami įrodyti atitiktį, naudodamiesi audito patikrintomis ataskaitomis apie HIPAA, PCI DSS, SOX, DISA STIG ir dar daugiau.

„SolarWinds“ žurnalų ir renginių tvarkyklėReagavimo į įvykius funkcijos nepalieka nieko norimo. Išsami realaus laiko reagavimo sistema aktyviai reaguos į kiekvieną grėsmę. Remimasis elgesiu, o ne parašo analize reiškia, kad jūs netgi esate apsaugoti nuo nežinomų ar būsimų grėsmių. Bet turbūt geriausias jo įrankis yra prietaisų skydelis. Naudodami paprastą dizainą neturėsite problemų greitai nustatyti anomalijas.

Kainos už „SolarWinds“ žurnalų ir renginių tvarkyklė remiasi stebimų mazgų skaičiumi. Galima įsigyti įvairaus lygio licencijų nuo 30 iki 2500 mazgų, pradedant nuo 4 665 USD. Ir jei norite išbandyti produktą prieš pirkdami, galima atsisiųsti nemokamą visiškai funkcinę 30 dienų bandomąją versiją.

Kitas mūsų sąraše yra dar vienas „SolarWinds“ produktas, vadinamas „Orion“ žurnalų tvarkytojas. „Orion“, jei dar nesate susipažinę su „SolarWinds“ produktais, prieš keletą metų buvo aukščiausia bendrovės platforma. Tai vis dar yra architektūra, ant kurios yra pastatyta daugelis geriausių „SolarWinds“ gaminių. Jei naudojate kurį nors iš tinklo našumo monitorių, „NetFlow“ srauto analizatorių, tinklo konfigūraciją Tvarkyklė, virtualizacijos tvarkyklė, serverio ir programų stebėjimo priemonė arba jūsų naudojamų saugyklų išteklių stebėjimo priemonė Orionas.

• NEMOKAMAS BANDYMAS:„Orlar“ „SolarWinds“ žurnalų tvarkyklė
• Atsisiuntimo nuoroda:https://www.solarwinds.com/log-manager-for-orion-software/registration

„Orlar“ „SolarWinds“ žurnalų tvarkyklė prideda žurnalo valdymo galimybes bet kuriai iš „Orion“ pagrįstų stebėjimo ir valdymo priemonių. Apibendrinant galima pasakyti, kad produktas pasižymi galingu ir intuityviu žurnalo kaupimu, žymėjimu, filtravimu ir perspėjimu. Jos integracija su „Orion“ platformos produktais suteikia vieningą vaizdą apie IT infrastruktūros stebėjimą ir susijusius žurnalus. Produktas buvo sukurtas bendradarbiaujant su tinklų ir sistemų inžinieriais, siekiant įsitikinti, kad jų problemos ir kaip jas išspręsti yra suprantamos.

Nepaisant integracijos su „Orion“ platforma, Žurnalų tvarkyklė gali būti įdiegtas pats ir nereikalauja jokio kito „Orion“ įrankio įdiegimo. Kainos prasideda nuo 1 495 USD ir jei norite išbandyti produktą, galima naudoti nemokamą 30 dienų bandomąją versiją ir pažiūrėkite, kaip tai atitinka jūsų poreikius.

Kitas yra dar vienas SolarWinds produktas, vadinamas Papertrail. Tai labai skiriasi nuo ankstesnių dviejų, nes tai yra debesies pagrindu sukurta programinė įranga kaip paslauga („SaaS“). Galingas įrankis jau turėjo tam tikrą populiarumą, kai „SolarWinds“ jį įsigijo po kelerių metų. Tai kaupia daugybės produktų, tokių kaip „Apache“ ar „MySQL“, taip pat „Ruby on Rails“ programų, kelių debesies prieglobos paslaugų ir kitų standartinių teksto žurnalų failus, žurnalų failus.

• Registruotis čia: https://papertrailapp.com/plans

Norėdami padėti diagnozuoti klaidas ir našumo problemas, galite naudoti Papertrail labai efektyvi ir žaibiška paieškos sistema, galinti ieškoti tiek saugomuose, tiek srautiniuose žurnaluose. Produktas integruojamas su keliais kitais „SolarWinds“ produktais, tokiais kaip „Librato“ ir „Geckoboard“, kad būtų galima grafikuoti rezultatus. Papertrail taip pat lengvai įgyvendinamas, naudojamas ir suprantamas. Tai suteiks jums greitą visų sistemų matomumą per kelias minutes.

Papertrail galima pagal kelis planus, įskaitant nemokamą planą. Tai šiek tiek ribota ir leidžiama tik 50 MB žurnalų kiekvieną mėnesį. Tačiau tai leis per pirmąjį mėnesį gauti 16 GB žurnalų, o tai prilygsta nemokamo ir neriboto 30 dienų bandomojo laikotarpio suteikimui. Mokami planai prasideda nuo 7 USD / mėn. Už 1 GB / mėn. Žurnalų, 1 metus archyvo ir 1 savaitę indekso. 75 USD / mėn. Planas su 8 GB žurnalų yra pats populiariausias. Triukšmo filtravimas leidžia įrankiui išsaugoti duomenis neišsaugant nenaudingų žurnalų.

4. PRTG tinklo monitorius

PRTG tinklo monitorius iš „Paessler AG“ yra integruota „viskas viename“ stebėjimo sistema, kurią galima naudoti beveik bet ko stebėjimui, dėl savo sumanios jutikliais pagrįstos architektūros. Viena geriausių šio produkto savybių yra jo nustatymo greitis. Anot Paessler, PRTG tinklo monitorius gali būti nustatytas per kelias minutes. Nors tai gali būti ne taip greitai visiems, vis dėlto tai yra vienas iš lengviausių ir greičiausių stebėjimo įrankių, iš dalies dėka jo automatinio aptikimo proceso.

PRTG tinklo monitorius yra daug funkcijų turintis produktas. Iš esmės tai yra tinklo stebėjimo įrankis, kuris naudoja SNMP apklausai atlikti ir jų sąsajų panaudojimui chronologinėse diagramose parodyti. Tačiau naudojant papildomus jutiklius PRTG gali stebėti beveik viską. Jutikliai yra šiek tiek panašūs į priedus, išskyrus tai, kad jie yra kartu su produktu. Taip pat yra įvairių serverių, paslaugų ir programų jutiklių. Iš viso gaminyje yra daugiau nei 200 jutiklių.

Stebėti ir valdyti žurnalą yra du skirtingi jutikliai. Įvykių žurnalo „Windows“ API jutiklis fiksuoja visus žurnalo pranešimus, kuriuos sukuria „Windows“. Šis jutiklis stebi žurnalų, o ne jų turinį, greitį ir sugeneruoja aliarmą, jei įvykių žurnalo pranešimų dažnis pasiekia kritinę ribą.

Kitas įdomus jutiklis „Syslog“ imtuvas jutiklis, priima, stebi ir išsaugo „syslog“ pranešimus iš bet kurio įrenginio. Vis dėlto tai nebus vien tik žurnalų iš įvairių šaltinių kaupimas. Jo stebėjimo funkcija suaktyvins pavojaus signalus, kai tik atsiranda nerimą keliančių sąlygų, pavyzdžiui, padidėja žurnalų priėmimo greitis.

PRTG tinklo monitorius yra dviejų versijų. Nemokama versija yra visavertė, tačiau ji apribos jūsų stebėjimo galimybes iki 100 jutiklių. Kai naudojamas SNMP, kiekvienas stebimas parametras laikomas vienu jutikliu. Pvz., Jei stebėsite dvi maršrutizatoriaus sąsajas, tai bus laikoma dviem jutikliais. Kiekvienas konkretaus stebėjimo jutiklio egzempliorius taip pat laikomas vienu. Jei jums reikia daugiau nei 100 jutiklių, turėsite įsigyti licenciją, kuri prasideda nuo 1 600 USD už 500 jutiklių. Galima įsigyti nemokamą, neribotą jutiklių ir pilną 30 dienų bandomąją versiją.

5. „ManageEngine EventLog“ analizatorius

„ManageEngine“ yra dar vienas žinomas tinklo administravimo įrankių kūrėjas tarp IT specialistų. Bendrovė siūlo žurnalų valdymo sistemą, vadinamą „ManageEngine EventLog“ analizatorius. Produktas renka, tvarko, analizuoja, koreliuoja ir ieško daugiau nei 700 šaltinių žurnalų duomenų, naudodamas kombinuotą arba agentų neturintį ir agentais pagrįstą žurnalų rinkinį, taip pat žurnalų importą.

„ManageEngine EventLog“ analizatoriusTalpa yra įspūdinga. Tai gali apdoroti žurnalo duomenis iki 25 000 žurnalų per sekundę greičiu ir realiu laiku aptikti išpuolius. Įrankis taip pat gali greitai atlikti kriminalistinę analizę ir taip sumažinti galimą pažeidimo poveikį. Sistemos audito galimybės apima tinklo perimetro įrenginių žurnalus, vartotojo veiklą, serverio paskyros pakeitimus, vartotojo prieigas ir dar daugiau - tai padeda patenkinti saugumo audito poreikius.

Įrankių realaus laiko įvykių žurnalo koreliacija akimirksniu nustato atakos bandymus ir atsekia galimas saugumo grėsmes koreliuodama registruokite duomenis naudodami daugiau nei 30 iš anksto nustatytų taisyklių, kad aptiktumėte žiaurios jėgos išpuolius, paskyros blokavimus, duomenų vagystes, žiniatinklio serverio išpuolius ir daugelį kitų. daugiau. Jame taip pat yra pasirinktinis žurnalo analizatorius, galintis išgauti laukus iš bet kokio žmonėms suprantamo žurnalo formato. Gaminyje tikrai yra viena konsolė, leidžianti peržiūrėti visus jūsų saugos žurnalo duomenis.

„ManageEngine EventLog“ analizatorius yra nemokamame leidime, kuriam pritaikyta mažiau funkcijų, kuris palaiko tik 5 žurnalų šaltinius, arba premium versijoje, kurio kaina prasideda nuo 595 USD ir kuris priklauso nuo įrenginių ir programų skaičiaus. Taip pat galima įsigyti nemokamą, pilną 30 dienų bandomąją versiją.

6. „Greylog“

„Greylog“ yra nemokama atvirojo kodo žurnalo valdymo platforma, turinti daugybę įdomių funkcijų. Įrankis gali analizuoti ir praturtinti žurnalus ir įvykių duomenis iš beveik bet kurio duomenų šaltinio. Jo apdorojimo vamzdynai suteikia tam tikro lankstumo maršrutizuojant, įtraukiant juodąjį sąrašą, keičiant ir praturtinant pranešimus realiuoju laiku. Įrankis ieškos terabaitų žurnalo duomenų, kad surastų ir išanalizuotų svarbią informaciją. Galinga ir gana unikali paieškos sintaksė leidžia rasti būtent tai, ko ieškote.

Su „Greylog“, turite galimybę kurti tinkintus prietaisų skydelius, kurie leidžia vizualizuoti konkrečią metriką ir stebėti tendencijas iš vienos centrinės vietos. Norėdami naudoti gilesnę duomenų analizę, galite naudoti lauko statistiką, greitas reikšmes ir diagramas iš paieškos rezultatų puslapio. Be to, produktas siūlo parinktį suaktyvinti veiksmus arba pranešti apie įvykius, pvz., Nesėkmingus prisijungimo bandymus, išimtis ar našumo pablogėjimą.

„Greylog“ galima kaip nemokama ir atvirojo kodo ribota versija, kuri taip pat turi ribotą palaikymą. Taip pat yra įmonės versija su išplėstinėmis funkcijomis ir neribotu palaikymu. Tai taip pat nemokama iki 5 GB žurnalų per dieną. Priklauso nuo to, koks didelis ir užimtas jūsų tinklas. To gali pakakti jūsų poreikiui. Licencijos ir palaikymo kainas galite sužinoti susisiekę „Greylog“ pardavimai.

7. „WhatsUp Log Management Suite“

„WhatsUp Log Management Suite“ yra puikus „Ipswitch“ įrankis. „Ipswitch“, ar reikia jums tai priminti, yra bendrovė, už kurios populiariausias tinklo stebėjimo įrankis yra „WhatsUp Gold“. Tai yra automatinis įrankis, kuris kaupia, saugo, archyvuoja ir išsaugo sistemos žurnalus, „Windows“ įvykius ir W3C / IIC žurnalus. Tai nėra vien tik žurnalų ir įvykių kaupimas, tačiau nuolatinis žurnalo stebėjimas ir analizė įspės apie bet kokią nenormalią veiklą.

„WhatsUp Log Management Suite“ stebės dažnai tikrinamus įvykius, tokius kaip prieigos teisės ir failų, aplankų ir objektų privilegijos, ir prireikus sukurs įspėjimus. Jis taip pat naudoja surinktus renginius HIPAA, SOX, FISMA, PCI, MiFID ar „Basel II“ atitikties ataskaitoms kurti. Ši programinė įranga taip pat gali padėti jūsų neapdorotus žurnalo duomenis paversti reikšminga informacija valdytojams ar IT saugos komandos, naudodamos galingą automatinį filtravimą, koreliaciją, ataskaitų teikimą ir konvertavimą funkcijos.

„WhatsUp Log Management Suite“ iš tikrųjų yra programų rinkinys, kurį sudaro šios priemonės:

• Renginių archyvas: Šis įrankis automatizuoja žurnalų rinkimą, išvalymą ir konsolidavimą.
• Įvykio aliarmas: Įrankis, skirtas stebėti žurnalų failus ir realiu laiku gauti pranešimus apie svarbiausius įvykius.
• Renginių analitikas: Analizuoja ir teikia ataskaitas apie žurnalų duomenis ir tendencijas; automatiškai paskirsto ataskaitas vadovybei, saugumo pareigūnams, auditoriams ir kitoms suinteresuotosioms šalims.
• Renginių „Rover“: Vieninga konsolė, skirta nuodugniai kriminalistikai visuose serveriuose ir darbo vietose, siekiant padidinti efektyvumą ir taupyti laiką.

Informacija apie kainodarą Žurnalų tvarkymo rinkinys nėra lengvai prieinamas iš „Ipswitch“. Produktą galima įsigyti tiesiogiai iš leidėjo arba per „Ipswitch“ perpardavėjų tinklą. Žinoma, taip pat yra nemokama bandomoji versija.

8. LogDNA

Sakoma, kad „LogDNA“ yra „greičiausia, intuityviausia ir ekonomiškiausia žurnalų valdymo sistema”. Tai paprastai būna tiesa. Nuo pat pradžių produkto diegimas užtrunka tik keletą minučių, kad galėtumėte pradėti rinkti ir stebėti žurnalus. Nesvarbu, kaip sugeneruojami ir perduodami žurnalai, produkte yra šimtai pasirinktinių integravimo schemų, kurios padės centralizuoti žurnalus vienoje vietoje.

Priklausomai nuo jūsų pasirinkimo, „LogDNA“ galima naudoti debesies arba savarankiško tinklo versijose. Tai labai keičiamas produktas, galintis valdyti šimtus tūkstančių žurnalų per sekundę ir keliasdešimt terabaitų per dieną, kartu užtikrindamas maksimalų saugumą ir realiojo laiko žurnalų analizę. Bendrovė ir jos produktai yra suderinami su SOC2, PCI ir HIPAA, taip pat yra sertifikuoti „Privacy Shield“.

„LogDNA“ paprastas „mokėti už GB“ kainų nustatymo modelis pašalina sutartis ir fiksuotų duomenų paskirstymą, o tai yra viena mažiausių visų mokamų žurnalų stebėjimo ir valdymo sprendimų nuosavybės išlaidų. Yra keletas prenumeratos planų, turinčių vis daugiau funkcijų. Žemiausios pakopos planas yra nemokamas, o mokamų planų kainos svyruoja nuo 1,50 USD / GB / mėn. Iki 3 USD / GB / mėn., Priklausomai nuo išlaikymo trukmės ir vartotojų skaičiaus. Taip pat galima įsigyti nemokamą, pilną ir neribotą 14 dienų bandomąją versiją.