Logghåndtering beste praksis og systemer

Administrering av logger kan være et komplekst forsøk. Ikke bare genererer en typisk organisasjon massevis av dem, men de kommer fra en rekke kilder, hver med et potensielt forskjellig format og inneholder forskjellig informasjon. For å sette en skinn av orden i noe som raskt kan bli kaotisk, ble loggstyring oppfunnet. I dag ser vi på beste praksis og systemer for loggadministrasjon. Vi håper at det vil hjelpe deg å se tydelig gjennom dette.

Vi starter med en kort beskrivelse av logghåndtering. Deretter vil vi dykke rett inn i beste praksis for loggadministrasjon. Vi skal utforske om du skal bruke et ferdiglagd system eller gjøre det selv. Vi vil også se på hva - og hva ikke - som skal overvåkes, etterfulgt av loggsikkerhet og oppbevaring samt lagringshensyn. Og før vi gjennomgår noen av de beste loggstyringssystemene, vil vi se på de forskjellige ledelsene oppgaver, gjennomgang og vedlikehold av logger, sammenhengen mellom datakilder og litt automatisering betraktninger.

Om loghåndtering

Enkelt definert er en logg den automatisk produserte og tidsstemplete dokumentasjonen av en hendelse som er relevant for et bestemt system. Når en hendelse finner sted i et system, genereres en logg - eller loggoppføring -. Ulike systemer vil generere logger for forskjellige hendelser. Når det gjelder loggstyring, refererer det vanligvis til prosessene og policyene som brukes til å administrere og lette generering, overføring, analyse og lagring av loggdata. Loggstyring innebærer typisk et sentralisert system der logger fra flere kilder er samlet.

Loggbehandling er imidlertid ikke bare loggsamling. Som navnet tilsier, er ledelsesdelen viktig. Når loggene er mottatt av loggstyringssystemet, blir de "oversatt" til et vanlig format. Det er nødvendig ettersom forskjellige systemer formater logger på en annen måte og inkluderer forskjellige data i loggene. For å gjøre søk og sammenheng med hendelser lettere, er et av formålene med loggstyringssystemer å sikre at alle innsamlede loggoppføringer lagres i et enhetlig format.

Når vi snakker om å søke og til og med korrelasjon, er dette en annen viktig funksjon i de fleste loggstyringssystemer. De beste loggstyringssystemene har en kraftig søkemotor. Den lar administratorer sette inn nøyaktig hva som trengs. Videre vil hendelseskorrelasjon automatisk gruppere relaterte hendelser, selv om de er fra forskjellige kilder.

Beste praksis for logghåndtering

Loggbehandling er en kompleks prosess, det er ikke mye vi kan gjøre med det. Med denne kompleksiteten kommer risikoen for å gjøre det galt. For å unngå det, har vi samlet en liste over noen av de beste fremgangsmåtene for loggadministrasjon. Målet vårt er å gi deg så mye informasjon som mulig for å velge det beste loggstyringssystemet for dine behov, men, enda viktigere, for å få mest mulig ut av det.

Loggstyringssystem eller DIY?

Av en eller annen grunn tror noen at de manuelt kan implementere et “loggstyringssystem”. Hvis du er blant disse menneskene, slutter å tulle deg selv umiddelbart. Selv om det er mulig å implementere noen form av loggstyring manuelt, oppveier den nødvendige innsatsen langt det som kreves for å implementere et ekte loggstyringssystem. Og med flere tilgjengelige gratis og åpen kildekodeverktøy, er ikke kostnadsargumentet gyldig.

Det er nesten alltid fornuftig å bruke en administrert loggføringsløsning som er bygget, støttet og skalert av en anerkjent leverandør i stedet for å bygge ut et system på egen hånd. Med dem er alt du trenger å gjøre å koble kildene og destinasjonene dine, og du er klar til å analysere system- og applikasjonslogger på en enkel måte. Du kan bruke mer tid på å overvåke og logge i stedet for å bygge ut loggeinfrastrukturen.

Å vite hva du skal overvåke (og hva ikke)

Å vite hva du skal logge er viktig, men det er enda viktigere å vite hva du ikke skal logge. Bare fordi du kan logge noe, betyr ikke det nødvendigvis at du bør gjøre det. Logging for mye gjør ofte ikke annet enn å gjøre det vanskeligere å finne data som faktisk betyr noe. Videre tilfører det ekstra volumet av logger kompleksitet og kostnader for logglagrings- og administrasjonsprosessene. Det er viktig å tenke fremover på hva som vil og ikke vil bli logget før du begynner å implementere en loggstyringsplattform. Det vil forhindre kostbare feil og vil tillate deg å størrelse på verktøyet ditt bedre.

Vurder nøye hva du faktisk trenger å logge. Produksjonsmiljøer som er kritiske for samsvar eller for revisjonsformål, bør sannsynligvis logges. Så skal data som hjelper deg med å feilsøke ytelsesproblemer, løse problemer med brukeropplevelsen eller overvåke sikkerhetsrelaterte hendelser.

Motsatt er det ting du ikke trenger å logge ut, som for eksempel testmiljøer som ikke er en vesentlig del av forretningsprosessene dine. Det er også data du vil velge å ikke logge av for å oppfylle eller av sikkerhetsmessige årsaker. For eksempel, hvis en bruker har aktivert en ikke-spor-innstilling, bør du ikke logge data tilknyttet den brukeren.

Implementering av en sikkerhets- og oppbevaringspolicy for logger

Logger kan inneholde sensitive data. Av den grunn må du ha en sikkerhetspolicy for loggen. Det vil være uvurderlig for eksempel å sikre at sensitive data blir anonymisert eller kryptert. Sikker transport av loggdata til loggstyringssystemer krever også bruk av kryptert transport ved bruk av TLS eller HTTPS på klienten og på serversiden.

Når det gjelder en oppbevaringspolicy, kan logger fra forskjellige kilder eller systemer kreve forskjellige oppbevaringstider. For eksempel kan logger som hovedsakelig brukes til feilsøking, fungere med relativt korte oppbevaringstider, for eksempel noen få dager - eller til og med noen timer. På den annen side krever sikkerhetsrelaterte logger eller forretningstransaksjonslogger lengre oppbevaringstid, ofte for å overholde forskrifter. Tatt i betraktning dette, bør oppbevaringspolitikken din være fleksibel og tilpasningsdyktig, avhengig av loggkilden eller type logg.

Hensyn til logglagring

Å holde loggdata bruker verdifull lagringsplass. Når du planlegger lagringskapasiteten for tømmerstokker, må du ta høyde med høye belastninger. I de fleste tilfeller er mengden logg med data per dag relativt konstant. Det avhenger hovedsakelig av systembruk og / eller antall transaksjoner per dag. Når noe går galt, kan du imidlertid forvente akselerert vekst i loggvolumet. Hvis logglageret ditt har grenser som du overskrider, kan du miste de siste loggene. For å dempe denne effekten bruker de beste loggstyringssystemene en syklisk buffer. Den sletter de eldste dataene før noen lagringsgrense blir brukt.

Logglagring bør også ha sin egen sikkerhetspolicy. De fleste angripere vil prøve å unngå eller slette sporene deres i loggfiler. For å unngå det, bør du sende logger i sanntid til det sentrale logglageret - helst utenfor stedet - og sikre det. Således, hvis en angriper har tilgang til infrastrukturen din utenfor nettstedet logger vil holde bevisene ubehandlet.

Gjennomgang og vedlikehold av logger

Vedlikehold av logger er en viktig del av loggstyringen, om ikke den viktigste delen. Uvedlikeholdte logger kan føre til lengre feilsøking, risiko for dataeksponering og høyere lagringskostnader for logg. Gjennomgå loggene generert av systemene dine og juster justeringsnivået til dine behov. Du bør vurdere brukervennlighet, operasjonelle og sikkerhetsaspekter.

Gjør loggenivået konfigurerbart

Noen systemlogger er for ordrike, mens andre ikke gir nok informasjon. Dessverre er det ikke alltid noe du kan gjøre med det. De fleste systemer gir justerbare loggenivåer. De er nøkkelen til å konfigurere logos 'verbositet og sikre at det som må logges er og det som ikke er viktig, ikke er det.

Inspiser tilsynslogger ofte

Å handle i sikkerhetsspørsmål er avgjørende. Dette er grunnen til at man alltid skal ha øye med logger. Hvis loggstyringssystemet ditt ikke har den funksjonen - mange av dem gjør det, bruk eksterne sikkerhetsverktøy som auditd eller OSSEC. De implementerer sanntids logganalyse og genererer varslingslogger som peker mot potensielle sikkerhetsproblemer. Og i tillegg til det, bør du definere varsler om kritiske hendelser for raskt å bli varslet om mistenkelig aktivitet.

Korrelere datakilder

Logging er bare ett element i en global overvåkingsstrategi. For virkelig effektiv overvåking, må du komplettere loggstyring med andre typer overvåking, som overvåking basert på hendelser, varsler og sporing. Å gjøre det er den beste måten å få et helhetlig bilde av hva som foregår når som helst. Selv om logger er bra for å gi detaljer i detaljer om problemer, er dette mest nyttig når du tar litt avstand for å se på skogen før du zoomer inn i trærne.

Loggbehandling fungerer ikke bra i en silo. Ingenting gjør det. Du bør absolutt utfylle det med andre typer overvåking som nettverksovervåking, infrastrukturovervåking og mer. Og i en ideell verden skal overvåkningsløsningen din være omfattende nok til å gi all din overvåkningsinformasjon ett sted. Alternativt kan det integreres med andre verktøy som gir denne informasjonen. Målet her er å ha så mye som mulig en ruteutsikt over hele miljøet.

Loggstyring og automatisering

Loggbehandling kan hjelpe deg med å fange problemer tidlig og dermed spare deg og teamet verdifull tid og energi. Det kan også hjelpe deg med å finne muligheter for automatisering. De fleste loggstyringsverktøyene lar deg sette opp tilpassede varsler som utløses når noe skjer. Noen vil til og med la deg konfigurere automatiserte handlinger som skal igangsettes når disse varslene utløses. Du bør bruke så mye automatisering som ditt administrasjonsverktøy tillater. Til tross for tiden du vil bruke på å konfigurere denne automatiseringen, vil du finne at det var vel verdt det første gang du støter på en hendelse.

De 6 øverste verktøyene for logthåndtering

Vi har skuret markedet og prøvd å finne det beste verktøyet for loggadministrasjon. Vi har prøvd å sette sammen en liste som inneholder forskjellige typer verktøy. Tross alt er alles behov forskjellige, og det beste verktøyet for en er ikke nødvendigvis det beste for noen andre.

Solarwinds er et vanlig navn innen nettverksadministrasjonsverktøy. Det har eksistert i omtrent to tiår, og det har gitt oss noen av de beste overvåkingsverktøyene for båndbredde og NetFlow-analysatorer og samlere. Selskapet er også kjent for å publisere flere gratis verktøy som imøtekommer spesifikke behov fra nettverksadministratorer som subnettkalkulator eller en syslog-server.

Når det gjelder loggstyring, kalles nå selskapets tilbud SolarWinds Security Event Manager. Den ble nylig omdøpt fra Logg & Event Manager, sannsynligvis for å reflektere bedre at dette faktisk er mye mer enn bare et loggstyringssystem. Mange av dens avanserte funksjoner legger den inn i SIEM-serien (Security Information and Event Management). Det har for eksempel korrelasjon i sanntid hendelser og sanering i sanntid, to SIEM-lignende funksjoner.

• GRATIS PRØVE: SolarWinds Security Event Manager
• Offisiell nedlastingslink: https://www.solarwinds.com/security-event-manager/registration

La oss ta en titt på noen av SolarWinds Security Event ManagerHovedfunksjonene. Verktøyet kan eliminere trusler raskt ved å øyeblikkelig oppdage mistenkelig aktivitet og automatiserte svar. Den kan også utføre undersøkelser av sikkerhetshendelser og rettsmedisiner for å dempe og overholde kravene. Og når vi snakker om samsvar, vil produktet tillate deg å demonstrere det, takket være revisjonsprøvd rapportering for blant annet HIPAA, PCI DSS og SOX. Dette verktøyet har også overvåking av filintegritet og overvåkning av USB-enheter, to funksjoner som ligger over det vi ofte ser i loggstyringssystemer.

Prisene for SolarWinds Security Event Manager start på $ 4585 for opptil 30 overvåkte noder. Lisenser for opptil 2500 noder kan kjøpes, noe som gjør produktet svært skalerbart. Og hvis du vil bekrefte at produktet passer riktig for deg, en gratis, full funksjonalitet 30-dagers prøveversjon er tilgjengelig.

På andreplass har vi et annet flott produkt som heter Papirspor, en nylig erverv av Solarwinds. Papirspor er et populært skybasert loggstyringssystem. Den samler loggfiler fra et bredt utvalg av populære produkter som Apache eller MySQL, så vel som Ruby on Rails-apper, forskjellige nettskyvertjenester og andre standard tekstloggfiler. Papirspor brukere kan deretter bruke det nettbaserte søkegrensesnittet eller kommandolinjeverktøyene til å søke gjennom disse filene for å diagnostisere feil og ytelsesproblemer. Verktøyet integreres også med andre Solarwinds produkter som Librato og Geckoboard for graferingsresultater.

• GRATIS PLAN TILGJENGELIG: SolarWinds Papertrail
• Offisiell nedlastingslink: https://papertrailapp.com/plans

Papirspor er en skybasert programvare som en tjeneste (SaaS) som tilbyr fra Solarwinds. Det er enkelt å implementere, bruke og forstå. Og det vil gi deg øyeblikkelig synlighet på alle systemer på få minutter. Verktøyet har en veldig effektiv søkemotor som kan søke både i lagrede og streaminglogger. Og det er lynrask.

Papirspor er tilgjengelig under flere planer, inkludert en gratis plan. Det er imidlertid noe begrenset, og tillater bare 100 MB logger hver måned. Det vil imidlertid tillat 16 GB logger i løpet av den første måneden, noe som tilsvarer å gi deg en gratis prøveperiode på 30 dager. Betalte planer starter på $ 7 / måned for 1 GB / måned med logger, 1 års arkiv og 1 uke med indeks. Støyfiltrering lar verktøyet bevare data ved ikke å lagre unyttige logger.

3. ManageEngine EventLog Analyzer

ManageEngine, et annet vanlig navn med nettverksadministratorer, gjør et utmerket loggstyringssystem kalt ManageEngine EventLog Analyzer. Produktet vil samle inn, administrere, analysere, korrelere og søke gjennom loggdata fra over 700 kilder ved å bruke en kombinasjon av agentløs og agentbasert loggsamling samt loggimport.

Hastighet er en av ManageEngine EventLog AnalyzerStyrke. Den kan behandle loggdata med imponerende 25 000 logger / sekund og oppdage angrep i sanntid. Den kan også utføre hurtig rettsmedisinske analyser for å redusere virkningen av et brudd. Systemets revisjonsfunksjoner utvides til å omfatte nettverkets omkretsenheters logger, brukeraktiviteter, endring av serverkonto, brukertilganger og mer, noe som hjelper deg å oppfylle behov for sikkerhetsrevisjon.

De ManageEngine EventLog Analyzer er tilgjengelig i en funksjonsredusert gratis utgave som bare støtter 5 loggkilder eller i en premiumutgave som starter på $ 595 og varierer avhengig av antall enheter og applikasjoner. En gratis, full funksjonalitet 30-dagers prøveversjon er også tilgjengelig.

4. Ipswitch Log Management Suite

De Log Management Suite er et produkt fra Ipswitch, det samme selskapet som brakte oss WhatsUp Gold, et ekstremt populært verktøy for nettverksovervåking. Dette er et automatisert verktøy som samler, lagrer, arkiverer og lagrer systemlogger, Windows-hendelser og W3C / IIC-logger. Videre vil dens kontinuerlige loggovervåking varsle deg om mistenkelig aktivitet.

Ofte kan reviderte hendelser som tilgangsrettigheter og fil-, mappe- og objektrettigheter følges, generere varsler etter behov og brukes til å lage samsvarsrapporter for HIPAA, SOX, FISMA, PCI, MiFID eller Basel II samsvar. Verktøyet kan også hjelpe deg med å omdanne råloggdataene dine til betydningsfulle data for ledere eller IT-sikkerhetsteam, takket være automatisert filtrering, korrelering, rapportering og konvertering.

Prisinformasjon for Log Management Suite er ikke lett tilgjengelig fra Ipswitch. Produktet kan kjøpes enten direkte fra utgiveren eller gjennom IpswitchForhandlernettverket. En gratis prøveversjon er også tilgjengelig.

5. Alert Logic Log Manager

VarsellogikkHovedfokuset er sikkerhet og etterlevelse. Og siden loggstyring er nært knyttet til begge deler, er det ingen overraskelse at selskapet tilbyr Alert Logic Log Manager. Dette skybaserte verktøyet tilbyr automatisert og enhetlig loggadministrasjon i alle miljøene dine. Den vil samle inn, samle og søke i loggdata fra nettene sky, server, applikasjon, sikkerhet og nettverk.

De Alert Logic Log Manager inkluderer loggovervåkning og analyse samt logggjennomgang som gjøres live av menneskelige analysatorer. VarsellogikkEksperter vil varsle deg om mulig trusselaktivitet 365 dager i året. Tjenesten vil også hjelpe deg med å oppfylle kravene til logggjennomgang i SOC 2, HIPAA og SOX og avlaste byrden ved å gjennomgå logger og følge opp hendelser, for å overholde PCI / DSS 10.6, 10.6.1, 10.6.3

Prisinformasjon for Alert Logic Log Manager er ikke lett tilgjengelig fra nettet, og du må kontakte Varsellogikk salg for å få et formelt tilbud. En gratis prøveversjon er heller ikke tilgjengelig, men en gratis demo kan ordnes ved å kontakte Varsellogikk.

6. Nagios Log Server

Du vet det kanskje allerede Nagios som en utmerket nettverksovervåkningspakke. Tilbyr det en gratis og åpen kildekode så vel som i en kommersiell versjon, og har et solid omdømme. For loggstyring, Nagios‘Tilbudet kalles Nagios Log Server. Det er en komplett pakke med sentralisert loggstyring, overvåking og analyse. Dette verktøyet kan forenkle prosessen med å søke i loggdataene dine. Den lar deg også stille varsler for å bli varslet om potensielle trusler. Programvaren har dessuten høy tilgjengelighet og fail-over innebygd rett i den. Dine enkle kildekonfigurasjonsveivisere kan hjelpe deg med å konfigurere serverne og andre enheter for å sende loggdataene deres til plattformen, slik at du kan begynne å overvåke loggene dine i løpet av få minutter.

De Nagios Log Server gir enkel korrelasjon av logghendelser på tvers av alle loggkilder med bare noen få klikk. Systemet lar deg se loggdata i sanntid, la deg analysere og løse problemer i sanntid, slik de oppstår. En annen styrke ved produktet er dets imponerende skalerbarhet. Dette verktøyet fortsetter å møte dine behov etter hvert som organisasjonen din vokser. Hvis nødvendig, tillegg Nagios Log Server forekomster kan legges til en overvåkningsklynge, slik at du raskt kan legge til mer kraft, hastighet, lagring og pålitelighet.

Med alle disse funksjonene, kan man forvente en heftig prislapp. Det er ikke tilfelle og enkeltforekomstsprisen for Nagios Log Server er en veldig rimelig $ 3 995. Til tross for at du ikke tilbyr en gratis prøveperiode, er en gratis online demo tilgjengelig, hvis du foretrekker å ta en førstehånds titt på produktet før du tar en kjøpsbeslutning.