8 Beste logbeheersoftware voor snellere probleemoplossing

De systemen van vandaag genereren veel loggegevens. Op veel platforms wordt elk afzonderlijk evenement, belangrijk of niet, ergens vastgelegd. Logboeken worden doorgaans lokaal opgeslagen. Dit is logisch omdat logboeken zijn gekoppeld aan hun bron. Maar wanneer we proberen problemen op te lossen en hun hoofdoorzaak te vinden, betekent dit vaak dat we naar meerdere logbestanden op verschillende apparaten moeten kijken. Zou het niet mooi zijn als alle logs van alle apparaten op één plek waren opgeslagen? Logboekbeheer is dat en nog veel meer, zoals u binnenkort zult ontdekken. En vandaag beoordelen we de beste logboekbeheersystemen.

We beginnen met uit te leggen wat logboekbeheer is. Zoals je zult zien, kan het veel meer zijn dan alleen het centraliseren van logopslag. Vervolgens gaan we het hebben over logprotocollen. Het is nogal belangrijk omdat logboekbeheer zonder hen niet zou bestaan. Vervolgens proberen we syslog-servers te onderscheiden van logbeheersystemen. Helaas is er geen duidelijke scheidslijn tussen hen. We volgen met een discussie over beveiligingsinformatie en systemen voor gebeurtenisbeheer, omdat dit een andere is type systeem dat vaak wordt verward met logbeheer, dankzij de ietwat onduidelijke definitie van elk. En tot slot bekijken we de acht beste logbeheersystemen die we konden vinden.

Logboekbeheer - wat het is

Laten we, voordat we het hebben over logboekbeheer, eens kijken wat een logboek is. Eenvoudig gedefinieerd, een logboek is de automatisch geproduceerde en tijdgestempelde documentatie van gebeurtenissen die relevant zijn voor een bepaald systeem. Telkens wanneer een gebeurtenis plaatsvindt op een systeem, wordt er een logboek gegenereerd. Verschillende systemen genereren logboeken voor verschillende gebeurtenissen en veel systemen geven beheerders enige controle over wat een logboek genereert en wat niet.

Wanneer we het hebben over logbeheer, verwijzen we naar de processen en het beleid die worden gebruikt om te beheren en het genereren, verzenden, analyseren, opslaan, archiveren en eventueel verwijderen van grote hoeveelheden logs vergemakkelijken gegevens. Logboekbeheer impliceert een gecentraliseerd systeem waarin logboeken van meerdere bronnen worden verzameld.

Maar logboekbeheer is niet alleen logboekverzameling. Het managementgedeelte is het belangrijkste. Logboekbeheersystemen hebben doorgaans meerdere functionaliteiten, waarbij het verzamelen van logboeken er slechts een van is.

Zodra logboeken zijn ontvangen door het logboekbeheersysteem, moeten ze worden "vertaald" naar een gemeenschappelijk formaat. Verschillende systemen maken logboeken anders op en nemen verschillende gegevens op in hun logboeken. Sommigen beginnen een logboek met de datum en tijd, anderen beginnen het met een gebeurtenisnummer. Sommige bevatten alleen een log-ID, terwijl andere een volledige tekstuele beschrijving van de gebeurtenis bevatten. Een van de doelen van logboekbeheersystemen is ervoor te zorgen dat alle verzamelde logboekvermeldingen in een uniform formaat worden opgeslagen. Dit zal het zoeken en de correlatie tussen gebeurtenissen veel gemakkelijker maken.

Over zoeken en zelfs correlatie gesproken, dit is een andere belangrijke functie van veel logboekbeheersystemen. Sommigen van hen hebben een krachtige zoekmachine waarmee beheerders precies kunnen instellen wat ze nodig hebben. Correlatiefuncties groeperen automatisch gerelateerde gebeurtenissen, zelfs als ze uit verschillende bronnen komen. Hoe en hoe succesvol verschillende logboekbeheersystemen dit bereiken, is een belangrijke onderscheidende factor.

Logprotocollen

Logboekbeheer zou veel moeilijker zijn, als het al mogelijk was, als het niet om logboekprotocollen was. Er zijn er een paar die bepalen welke gegevens in logboeken moeten worden opgenomen, hoe die moeten worden opgemaakt en hoe ze tussen systemen moeten worden overgedragen.

Syslog is misschien wel het meest gebruikte logboekprotocol. Het werd begin jaren tachtig uitgevonden en is de de-facto standaard geworden voor Unix-achtige systemen. Een van de grootste troeven van het syslog-protocol is hoe het de software scheidt die logs genereert, het systeem dat ze opslaat en de software die ze rapporteert en analyseert. Het gebruik van het Syslog-protocol maakt logboekbeheer veel eenvoudiger. Veel niet-Unix-apparaten, zoals switch-routers en andere netwerkapparatuur van veel leveranciers, gebruiken een variant van het syslog-protocol.

Microsoft Windows gebruikt, zoals je misschien al geraden had, een ander logsysteem. Het kan te maken hebben met het feit dat Windows-besturingssystemen en -applicaties logs hebben die doorgaans veel meer informatie bevatten dan syslog toelaat. Gelukkig bieden de Windows Event Collector-functies een middel waarmee logboekbeheersystemen gebeurtenissen van Windows-hosts kunnen ontvangen.

Ongeacht welk logboekprotocol wordt gebruikt, een belangrijk onderdeel van logboekbeheer is het configureren van apparaten om hun logboeken naar het beheersysteem te sturen. Dit verschilt van andere tools zoals netwerkbewakingssystemen, waarbij de tool gegevens van de hosts ophaalt.

Logservers versus logboekbeheer

Omdat het al geruime tijd beschikbaar is op elk Unix-achtig systeem, wordt Syslog vaak gebruikt als een logserver met één computer die syslog-gegevens van verschillende andere ontvangt. Hoewel deze gecentraliseerde opslag van logboeken duidelijke voordelen heeft, is het geen logbeheer.

Om de naam van het Log Management System te verdienen, moet een product ten minste enkele van de meer geavanceerde functies bevatten. Volgens Wikipedia bestaat logbeheer uit de volgende functies: logverzameling, gecentraliseerd logaggregatie, langdurige opslag en retentie van logboeken, logboekrotatie, loganalyse, zoeken in logboeken en rapportage. Logservers bieden vaak alleen de logverzameling en -opslag aan en zelden meer dan dat. Elk van de logbeheersystemen op onze toplijst biedt op zijn minst enkele van de meer geavanceerde functies.

Hoe zit het met SIEM-systemen?

Een andere populaire technologie die vaak wordt geassocieerd met logboeken en wordt verward met logboekbeheersystemen is Beveiligingsinformatie en gebeurtenisbeheer of SIEM. Dit verschilt nogal van logboekbeheer, hoewel het nauw verwant is. In feite zijn sommige producten die worden geadverteerd als logboekbeheersystemen eigenlijk SIEM-systemen, terwijl sommige standaard SIEM-systemen niets meer zijn dan logboekbeheersystemen.

De belangrijkste reden voor die verwarring is dat logbeheer - of in ieder geval loganalyse - een belangrijk onderdeel is van SIEM-systemen. In feite brengen SIEM-systemen logboekbeheer doorgaans naar een hoger niveau door wat intelligentie aan het proces toe te voegen. Deze systemen voeren loganalyse uit met als uiteindelijk doel het identificeren van beveiligingsproblemen. Ze zullen bijvoorbeeld zoeken naar tekenen van mislukte aanmeldingen die zouden duiden op een ongeoorloofde poging tot inbraak. Deze systemen scannen automatisch logboekvermeldingen op zoek naar iets ongewoons.

SIEM-systemen hebben meer te maken met IT-beveiliging dan IT-beheer en sommige bevatten uitgebreid logbeheer functies, veel kunnen ook externe logboekbeheersystemen gebruiken en het is niet ongebruikelijk om beide systemen naast elkaar te zien werken kant.

De beste logbeheersoftware

Nu we een algemeen begrip hebben van wat logbeheer is en wat niet, gaan we eens kijken wat er beschikbaar is. We hebben de markt afgezocht naar enkele van de beste logbeheersystemen. Onze eerste bevinding is dat er veel zijn en veel erg goed. Maar we hebben maar zoveel ruimte, dus we staan ​​op het punt de acht meest interessante te bekijken die we konden vinden.

SolarWinds is een veel voorkomende naam op het gebied van tools voor netwerkbeheer. Het bestaat al bijna 20 jaar en heeft ons een van de beste gebracht bandbreedtebewaking tools en een van de beste NetFlow-analysers en -verzamelaars. Het bedrijf staat ook bekend om het publiceren van verschillende gratis tools die voorzien in een aantal specifieke behoeften van netwerkbeheerders zoals subnet rekenmachine of een syslog-server.

Enkele jaren geleden nam SolarWinds het over Papertrail, een populair logboekbeheersysteem. Het verzamelt logbestanden van een grote verscheidenheid aan populaire producten zoals Apache of MySQL, evenals Ruby on Rails-apps, verschillende cloudhostingservices en andere standaard tekstlogbestanden. Papertrail gebruikers kunnen vervolgens de webgebaseerde zoekinterface of de opdrachtregelprogramma's gebruiken om door deze bestanden te zoeken om bugs en prestatieproblemen te diagnosticeren. Papertrail kan ook worden geïntegreerd met andere SolarWinds-producten zoals Librato en Geckoboard voor grafische resultaten.

Papertrail is een cloudgebaseerd, software as a service (SaaS) -aanbod van SolarWinds. Het is gemakkelijk te implementeren, gebruiken en begrijpen. En het geeft u binnen enkele minuten direct inzicht in alle systemen. De tool heeft een zeer effectieve zoekmachine die zowel opgeslagen als streaming logs kan doorzoeken. En het is razendsnel.

Papertrail is beschikbaar onder verschillende abonnementen, waaronder een gratis abonnement. Het is echter enigszins beperkt en staat slechts 100 MB logs per maand toe. Het staat echter 16 GB aan logboeken toe in de eerste maand, wat overeenkomt met een gratis proefperiode van 30 dagen. Betaalde abonnementen beginnen bij $ 7 / maand voor 1 GB / maand aan logboeken, 1 jaar archief en 1 week index. Met ruisfiltering kan de tool gegevens bewaren door geen nutteloze logboeken op te slaan.

Ons volgende item is een ander product van SolarWinds genaamd de SolarWinds Log & Event Manager. In tegenstelling tot ons eerdere bericht, is dit een lokaal geïnstalleerd product. En het is ook veel meer dan alleen een logboekbeheersysteem. Veel van de geavanceerde functies van dit product maken het onderdeel van het SIEM-assortiment. Het heeft bijvoorbeeld real-time ontluchtingscorrelatie en real-time sanering.

Hier is een overzicht van de SolarWinds Log & Event Manager’S belangrijkste kenmerken. Het elimineert snel bedreigingen door onmiddellijke detectie van verdachte activiteiten en geautomatiseerde reacties. Het kan ook onderzoek naar beveiligingsgebeurtenissen en forensisch onderzoek uitvoeren voor beperking en naleving. En als we het over compliance hebben, kunt u het product aantonen dankzij de audit-beproefde rapportage voor onder meer HIPAA, PCI DSS en SOX. Deze tool heeft ook monitoring van bestandsintegriteit en monitoring van USB-apparaten, twee functies die ver boven wat we gewoonlijk zien in logboekbeheersystemen.

Prijzen voor de SolarWinds Log & Event Manager begin bij $ 4.585 voor maximaal 30 bewaakte knooppunten. Er kunnen licenties worden aangeschaft voor maximaal 2500 knooppunten, waardoor het product zeer schaalbaar is. En als u zelf wilt controleren of het product geschikt voor u is, is er een gratis, volledig uitgeruste proefversie van 30 dagen beschikbaar.

3. ipswitch Log Management Suite

De Log Management Suite is een tool van Ipswitch, hetzelfde bedrijf dat ons WhatsUp Gold bracht, een immens populaire tool voor netwerkbewaking. Dit is een geautomatiseerde tool die systeemlogboeken, Windows-gebeurtenissen en W3C / IIC-logboeken verzamelt, opslaat, archiveert en opslaat. Bovendien zal de voortdurende logboekbewaking u waarschuwen voor verdachte activiteiten.

Regelmatig gecontroleerde gebeurtenissen zoals toegangsrechten en bestands-, map- en objectrechten kunnen worden gevolgd, het genereren van waarschuwingen indien nodig en gebruikt om nalevingsrapporten te maken voor HIPAA, SOX, FISMA, PCI, MiFID of Basel II nakoming. De tool kan u ook helpen uw onbewerkte loggegevens om te zetten in zinvolle gegevens voor managers of IT-beveiligingsteams, dankzij de geautomatiseerde filter-, correlatie-, rapportage- en conversiefuncties.

Prijsinformatie voor de Log Management Suite is niet direct verkrijgbaar bij Ipswitch. Het product kan rechtstreeks bij de uitgever of via het resellersnetwerk van Ipswitch worden gekocht. Er is ook een gratis proefversie beschikbaar.

4. ManageEngine EventLog Analyzer

ManageEngine, een andere veel voorkomende naam bij netwerkbeheerder, is een uitstekend logboekbeheersysteem genaamd de ManageEngine EventLog Analyzer. Het product verzamelt, beheert, analyseert, correleert en doorzoekt de loggegevens van meer dan 700 bronnen met een combinatie van agentloze en agentgebaseerde logverzameling en import van logboeken.

Snelheid is een van de ManageEngine EventLog Analyzer’Kracht. Het kan loggegevens verwerken met een indrukwekkende 25.000 logs / seconde en aanvallen in realtime detecteren. Het kan ook snelle forensische analyses uitvoeren om de impact van een inbreuk te verminderen. De controlemogelijkheden van het systeem strekken zich uit tot de logboeken van de netwerkrandapparatuur, gebruikersactiviteiten, serveraccountwijzigingen, gebruikerstoegang en meer, zodat u kunt voldoen aan de behoeften van beveiligingsaudits.

De ManageEngine EventLog Analyzer is beschikbaar in een gratis versie met beperkte functionaliteit die slechts 5 logboekbronnen ondersteunt of in een premium-editie die begint bij $ 595 en varieert afhankelijk van het aantal apparaten en applicaties. Er is ook een gratis, volledig uitgeruste proefversie van 30 dagen beschikbaar.

5. Nagios Log Server

Nagios staat vooral bekend om zijn uitstekende netwerkbewakingssoftware maar de Log Server is mogelijk net zo interessant. Terecht genoemd de Nagios Log Server, het biedt gecentraliseerd logbeheer, monitoring en analyse. De Nagios Log Server vereenvoudigt het proces van het doorzoeken van uw loggegevens. U kunt ook waarschuwingen instellen om op de hoogte te worden gehouden van potentiële bedreigingen. Bovendien heeft de software een hoge beschikbaarheid en ingebouwde fail-over. De eenvoudige wizards voor bronconfiguratie helpen u snel servers te configureren om alle loggegevens te verzenden en binnen enkele minuten uw logs te bewaken.

De Nagios Log Server laat u eenvoudig loggebeurtenissen over alle servers correleren met slechts een paar klikken. En u kunt loggegevens in realtime bekijken, zodat u problemen kunt analyseren en oplossen wanneer ze zich voordoen. Het product is indrukwekkend schaalbaar en zal blijven voldoen aan uw behoeften naarmate uw organisatie groeit. Extra Nagios Log Server instances kunnen worden toegevoegd aan een monitoringcluster, zodat u snel meer kracht, snelheid, opslag en betrouwbaarheid kunt toevoegen.

De prijs voor één exemplaar voor de Nagios Log Server is $ 3, 995 en hoewel een gratis proefversie niet beschikbaar lijkt te zijn, is een gratis online demo een must als u liever het product uit de eerste hand bekijkt.

6. Alert Logic Log Manager

De belangrijkste focus van Alert Logic is beveiliging en compliance. En aangezien logboekbeheer nauw verband houdt met beide, is het geen verrassing dat het bedrijf de Alert Logic Log Manager. Deze cloudgebaseerde tool biedt geautomatiseerd en verenigd logboekbeheer in al uw omgevingen. Het verzamelt, verzamelt en doorzoekt loggegevens van de cloud, server, applicatie, beveiliging en netwerkmiddelen.

De Alert Logic Log Manager omvat logboekcontrole en -analyse, evenals logboekrecensie die live wordt uitgevoerd door menselijke analysatoren. De experts van Alert Logic waarschuwen u 365 dagen per jaar over mogelijke bedreigingsactiviteiten. De service helpt ook om te voldoen aan de vereisten voor logboekcontrole van SOC 2, HIPAA en SOX en ontlast de logboeken en het opvolgen van gebeurtenissen, om te voldoen aan PCI / DSS 10.6, 10.6.1, 10.6.3

Prijsinformatie voor de Alert Logic Log Manager is niet direct beschikbaar op internet en u moet contact opnemen met de verkoopafdeling van Alert Logic voor een formele offerte. Een gratis proefversie is ook niet beschikbaar, maar een gratis demo kan worden geregeld door contact op te nemen met Alert Logic.

7. LogDNA

Opgericht in 2015, LogDNAis de nieuwe jongen in de buurt. Het bedrijf beweert dat "LogDNA is het snelste, meest intuïtieve en kosteneffectieve logbeheersysteem ”. Het begint allemaal met de installatie die slechts een paar minuten duurt voordat u uw logboeken kunt gaan bewaken. Ongeacht hoe logs worden gegenereerd en verzonden, er zijn honderden aangepaste integratieschema's beschikbaar om logboeken in één enkel paneel te centraliseren.

LogDNA kan cloudgebaseerd of zelfgehost zijn, afhankelijk van uw voorkeur. Het is zeer schaalbaar en kan honderdduizenden logs per seconde en tientallen terabytes per klant, per dag in totale veiligheid verwerken met realtime loganalyse. Het bedrijf en zijn producten voldoen aan SOC2, PCI en HIPAA en zijn gecertificeerd door Privacy Shield.

Met zijn eenvoudige prijsmodel voor betalen per GB, waarmee contracten en vaste gegevensbakken worden geëlimineerd, heeft het bedrijf een van de laagste totale eigendomskosten. Er zijn verschillende abonnementen beschikbaar met toenemende functies. Het onderste niveau is gratis en betaalde abonnementen variëren van $ 1,50 / GB / maand tot $ 3 / GB / maand, afhankelijk van de bewaarperiode en het aantal gebruikers. Er is ook een gratis, volledig uitgeruste proefversie van 14 dagen beschikbaar.

8. Graylog

Als laatste op onze lijst heet een product Graylog. Het product biedt veel interessante functies. De tool ontleedt en verrijkt logboeken en gebeurtenisgegevens van elke gegevensbron. De verwerkingspijplijnen zorgen voor enige flexibiliteit bij het in realtime routeren, blacklisten, wijzigen en verrijken van berichten. Graylog doorzoekt terabytes aan loggegevens om belangrijke informatie te ontdekken en te analyseren. Dankzij de krachtige zoeksyntaxis vindt u precies wat u zoekt.

Met Graylogkunt u dashboards maken om statistieken te visualiseren en trends op één centrale locatie te observeren. U kunt veldstatistieken, snelle waarden en grafieken van de pagina met zoekresultaten gebruiken om in te duiken voor een diepere analyse van uw gegevens. Het systeem heeft ook de mogelijkheid om acties te activeren of meldingen te geven over gebeurtenissen zoals mislukte inlogpogingen, uitzonderingen of verminderde prestaties.

Graylog is beschikbaar als een gratis en open-source feature-beperkte versie die ook beperkte ondersteuning heeft of als een enterprise-versie met uitgebreide functies en onbeperkte ondersteuning. U kunt ook een proeflicentie verkrijgen door contact op te nemen met Graylog verkoop.