8 Beste verktøy for overvåking av logger og analyseprogramvare for 2020

Loggfiler er til stede på nesten alle datasystemer eller nettverksenheter. De inneholder detaljer om hendelser som skjer på hvert system. De kan være uvurderlige når du feilsøker forskjellige problemer. De kan også avsløre ondsinnede aktiviteter og kan derfor bli et nyttig middel for å sikre sikkerhet. Men hvem har tid til å se på loggfilene? Med den typiske administratoren som administrerer dusinvis av enheter, noen av dem logger flere hendelser hvert sekund, er det ingen måte noen kan holde oversikt over. Dette er grunnen til at loggovervåkingsverktøy ble oppfunnet. De konsoliderer alle hendelseslogger på ett sted og gir ofte analyseverktøy og tjenester som vil gå gjennom loggene og skaffe varsler når noe utenom det vanlige blir observert. Mange forskjellige verktøy for loggovervåkning er tilgjengelige og det å velge det beste kan vise seg å være en utfordring. For å hjelpe deg har vi satt sammen denne listen over noen av de beste verktøyene for overvåkning av logger.

Vi starter diskusjonen vår med å utforske systemlogger, hva de er og hvordan de fungerer. Deretter snakker vi om overvåking av logger. Akkurat som før, får vi se på hva det betyr og hvordan det gjøres. Vi vil deretter gi deg mer informasjon om logganalyse, da dette er funksjonen som gjør loggovervåkningsverktøyene til det mest nyttige. Som før vil vi beskrive hva det er og de forskjellige analyseformene som er tilgjengelige. Til slutt vil vi gjennomgå noen av de aller beste loggovervåkingsverktøyene vi kan finne og fortelle deg om hovedfunksjonene.

System logger inn et nøtteskall

I en setning er en loggfil, eller systemlogg, en fil som registrerer hendelser som oppstår i et operativsystem eller annen programvare. Logging er handlingen for å føre en systemlogg. I de enkleste tilfellene skrives meldinger ganske enkelt til en enkelt loggfil. Mens de fleste systemer først og fremst bruker tekstfiler for logging av hendelser, bruker noen moderne systemer en eller annen form for database for å logge dem.

Uansett hvordan og hvor hendelser logges, lar noen systemer deg definere hvilket loggnivå du trenger. Dette gjelder spesielt nettverksutstyr der hver hendelse har et alvorlighetsnivå og loggparametere kan settes til å registrere bare hendelser med et visst alvorlighetsnivå eller høyere. Andre typer systemer gir lignende funksjonalitet også.

Om overvåkingslogger

Overvåking av logger er en todelt prosess. Den første - og den viktigste - delen er innsamling av loggdata fra forskjellige systemer. Dette oppnås på forskjellige måter. Noen systemer kan konfigureres slik at de automatisk sender logger til en sentralisert server gjennom Syslog-protokollen. Loggovervåkningsverktøy har vanligvis en innebygd syslog-server for å motta hendelsesdata direkte. Andre systemer, som Windows, for eksempel, fungerer annerledes. Det finnes forskjellige måter å skaffe loggdata fra disse systemene på, for eksempel ved å bruke Windows Management Instrumentation eller bruke lokale agenter som kjører på Windows-verter. Uansett hvordan det gjøres, inkluderer hvert loggovervåkingssystem den nødvendige funksjonaliteten for å motta og konsolidere loggdata fra flere kilder.

Neste trinn - Loggeanalyse

Den andre oppgaven til et nyttig loggovervåkningsverktøy er logganalysen. Det er her verktøy skiller seg mest ut. Noen vil bare tilby helt grunnleggende analyser som å utløse et varsel når antall hendelser per tidsenhet når en gitt terskel. Mer avanserte verktøy vil undersøke hver hendelse og se etter spesifikke indikasjoner på problemer. For eksempel kan et stort antall mislykkede pålogginger være et tegn på et pågående inntrengningsforsøk. Vi kan bruke sider som beskriver de forskjellige former for logganalyse som er tilgjengelige. I stedet inviterer vi deg til å ta en titt på de forskjellige produktanmeldelsene nedenfor for å få informasjon om hva hver enkelt tilbyr.

De beste loggovervåkingsverktøyene

Som vi antydet tidligere, er det mange forskjellige verktøy tilgjengelig med ulik grad av funksjonalitet. Ikke alle trenger et verktøy med omfattende analyse- og sikkerhetsfunksjoner, så vi inkluderte en blanding av verktøy som gir forskjellige funksjoner. Noen er enklere verktøy mens andre er mer sammensatte. Det er opp til deg å bestemme hvilket verktøy som gir best passform for dine behov. Heldigvis har alle verktøyene på listen vår en gratis prøveversjon tilgjengelig, så ingenting hindrer deg i å prøve noen få ting, noe vi vil anbefale på det sterkeste.

SolarWinds er et vanlig navn i overvåkingsverdenen. Selskapet har eksistert i over 20 år og dets flaggskipprodukt, kalt Network Performance Monitor, er av mange anerkjent som et av de beste SNMP-overvåkingsverktøyene som er tilgjengelige. Og som om det ikke var nok, er SolarWinds også kjent for sine mange gratis verktøy. Dette er mindre verktøy som hver for seg adresserer et spesifikt behov hos nettverksadministratorer. Den avanserte subnettkalkulatoren og SolarWinds TFTP-server er to gode eksempler på disse gratis verktøyene.

Når det gjelder SolarWinds Log & Event Manager (LEM), det er nøyaktig hva navnet tilsier. Verktøyet er så funksjonsrikt at mange anser det som et fullverdig sikkerhetsinformasjon og hendelsesstyringsverktøy. Når det gjelder overvåking og styring av logger, er det sannsynligvis et av de mest interessante loggstyringsverktøyene du kan finne. Den har veldig nyttige loggstyrings- og korrelasjonsfunksjoner, så vel som en imponerende rapporteringsmotor.

• GRATIS PRØVEPERIODE:SolarWinds Log & Event Manager
• Last ned lenke:https://www.solarwinds.com/log-event-manager-software/registration

De SolarWinds Log & Event Manager kan bidra til å forbedre sikkerheten og etterlevelsen ved å oppdage mistenkelig aktivitet og identifisere trusler raskere med gjenkjenning av mistenkelig aktivitet på tidspunktet. Du kan også bruke verktøyet til å utføre undersøkelser av sikkerhetshendelser og kriminalteknikker for å dempe og overholde kravene. Denne funksjonen er grunnen til at mange anser produktet som et SIEM-verktøy. I tillegg hjelper dette verktøyet med beredskapen for forskriftsoverholdelse. Du kan bruke den til å demonstrere samsvar, takket være revisjonsprøvd rapportering for HIPAA, PCI DSS, SOX, DISA STIG og mer.

De SolarWinds Log & Event ManagerFunksjonene for respons på hendelser lar ingenting å være ønsket. Det detaljerte reaksjonssystemet i sanntid vil aktivt reagere på enhver trussel. Å være basert på atferd snarere enn signaturanalyse betyr at du til og med er beskyttet mot ukjente eller fremtidige trusler. Men verktøyets instrumentbord er muligens det beste aktivumet. Med en enkel design har du ingen problemer med å raskt identifisere avvik.

Priser for SolarWinds Log & Event Manager er basert på antall overvåkte noder. Ulike lisensnivåer fra 30 til 2500 noder er tilgjengelige fra 4 665 dollar. Og hvis du vil prøve produktet før kjøpet, en gratis, fullt funksjonell 30-dagers prøveversjon er tilgjengelig for nedlasting.

Neste på vår liste er et annet produkt fra SolarWinds kalt the Loggbehandling for Orion. Orion, i tilfelle du ikke er kjent med SolarWinds 'produkter, var selskapets toppplattform for noen år tilbake. Det er fortsatt den underliggende arkitekturen på toppen av hvilken mange av SolarWinds beste produkter er bygget. Hvis du bruker en av Network Performance Monitor, NetFlow Traffic Analyzer, Network Configuration Manager, Virtualization Manager, Server and Application Monitor eller Storage Resource Monitor, bruker du Orion.

• GRATIS PRØVEPERIODE:SolarWinds Log Manager for Orion
• Last ned lenke:https://www.solarwinds.com/log-manager-for-orion-software/registration

De SolarWinds Log Manager for Orion legger til loggstyringsfunksjoner til alle de Orion-baserte overvåknings- og styringsverktøyene. Oppsummert inneholder produktet kraftig og intuitiv loggsamling, tagging, filtrering og varsling. Integrasjonen med Orion-plattformproduktene gir et enhetlig syn på overvåking av IT-infrastruktur og tilhørende logger. Produktet ble opprettet i samarbeid med nettverks- og systemingeniører for å sikre at problemene deres - og hvordan de kunne løses - ble forstått.

Til tross for sin integrasjon med Orion-plattformen, Loggleder kan installeres av seg selv og krever ikke noe annet Orion-verktøy. Prisingen starter på $ 1 495 og en gratis 30-dagers prøveversjon er tilgjengelig hvis du vil gi produktet en testkjøring og se hvordan det passer dine behov.

Neste heter enda et produkt fra SolarWinds Papirspor. Denne er veldig forskjellig fra de to foregående, ettersom det er et skybasert, SaaS-programvare (Software as a Service). Det kraftige verktøyet likte allerede en viss popularitet da SolarWinds anskaffet det, for noen år tilbake. Den samler loggfiler fra en rekke produkter som Apache eller MySQL samt Ruby on Rails-apper, flere nettskyvertjenester og andre standard tekstloggfiler.

• Meld deg på her: https://papertrailapp.com/plans

For å hjelpe med å diagnostisere feil og ytelsesproblemer, kan du bruke Papirspor veldig effektiv og lynrask søkemotor som kan søke både i lagrede og streaming logger. Produktet integreres med noen få andre SolarWinds-produkter som Librato og Geckoboard for å få resultater. Papirspor er også enkel å implementere, bruke og forstå. Det vil gi deg øyeblikkelig synlighet på alle systemer på få minutter.

Papirspor er tilgjengelig under flere planer, inkludert en gratis plan. Det er noe begrenset og tillater bare 50 MB logger hver måned. Det vil imidlertid tillate 16 GB logger i løpet av den første måneden, noe som tilsvarer å gi deg en gratis og ubegrenset 30-dagers prøveperiode. Betalte planer starter på $ 7 / måned for 1 GB / måned med logger, 1 års arkiv og 1 uke med indeks. Planen på $ 75 / måned med 8 GB logger er den mest populære. Støyfiltrering lar verktøyet bevare data ved ikke å lagre unyttige logger.

4. PRTG Network Monitor

De PRTG Network Monitor fra Paessler AG er et integrert alt-i-ett overvåkningssystem som kan brukes til å overvåke nesten hva som helst, takket være sin smarte sensorbaserte arkitektur. En av de beste funksjonene ved dette er enterprise-grade produkt er absolutt oppsetthastigheten. Ifølge Paessler er PRTG Network Monitor kan settes opp på bare et par minutter. Selv om det kanskje ikke er så raskt for alle, er det fremdeles et av de enkleste og raskeste overvåkingsverktøyene å sette opp, delvis takket være den autooppdagelsesprosessen.

De PRTG Network Monitor er et funksjonsrikt produkt. I basen er det først og fremst et nettverksovervåkningsverktøy som bruker SNMP til å pollere enheter og vise grensesnittets bruk på kronologiske grafer. Imidlertid, gjennom bruk av ekstra sensorer, kan PRTG overvåke omtrent hva som helst. Sensorer ligner noe på tillegg, bortsett fra at de er inkludert i produktet. Og det er tilgjengelige sensorer for forskjellige servere, tjenester og applikasjoner. I alt inkluderer produktet over 200 sensorer.

For overvåking og styring av logger er to forskjellige sensorer tilgjengelige. De Hendelseslogg Windows API sensor fanger opp alle loggmeldingene som Windows genererer. Denne sensoren overvåker frekvensen av loggmeldinger i stedet for innholdet, og den vil generere en alarm hvis frekvensen av hendelsesloggmeldinger når en kritisk terskel.

Den andre interessante sensoren, Syslog mottaker sensor, mottar, overvåker og lagrer syslog-meldinger fra hvilken som helst enhet. Det vil imidlertid ikke bare samle logger fra forskjellige kilder. Overvåkingens funksjonalitet vil utløse alarmer når det oppstår bekymringsfulle forhold, for eksempel en økning i frekvensen av mottak av logger.

De PRTG Network Monitor er tilgjengelig i to versjoner. Gratisversjonen er fullverdig, men den vil begrense overvåkningsevnen din til 100 sensorer. Når du bruker SNMP, teller hver overvåket parameter som en sensor. Hvis du for eksempel overvåker to grensesnitt på en ruter, vil den telle som to sensorer. Hver forekomst av en spesifikk overvåkningssensor teller også som en. Hvis du trenger mer enn 100 sensorer, må du kjøpe en lisens som starter på $ 1 600 for 500 sensorer. En gratis, sensor-ubegrenset og fullverdig 30-dagers prøveversjon er tilgjengelig.

5. ManageEngine EventLog Analyzer

ManageEngine er en annen kjent produsent av nettverksadministrasjonsverktøy blant IT-fagfolk. Selskapet tilbyr et loggstyringssystem kalt ManageEngine EventLog Analyzer. Produktet samler inn, administrerer, analyserer, korrelerer og søker gjennom loggdata fra over 700 kilder ved bruk av en kombinasjon eller agentløs og agentbasert loggsamling samt loggimport.

De ManageEngine EventLog AnalyzerKapasiteten er imponerende. Den kan behandle loggdata med en hastighet på opptil 25 000 logger / sekund og oppdage angrep i sanntid. Verktøyet kan også raskt utføre rettsmedisinske analyser og dermed redusere den potensielle effekten av et brudd. Systemets revisjonsfunksjoner utvides til å omfatte nettverkets omkretsenheters logger, brukeraktiviteter, endring av serverkonto, brukertilganger og mer, noe som hjelper deg å oppfylle behov for sikkerhetsrevisjon.

Verktøyets sanntidshendelseslogkorrelasjon oppdager øyeblikkelig angrepsforsøk og sporer potensielle sikkerhetstrusler ved å korrelere loggføre data med over 30 forhåndsdefinerte regler for å oppdage brute force-angrep, kontoutlåsninger, datatyveri, webserverangrep og mange mer. Den har også en tilpasset logg-parser som kan trekke ut felt fra ethvert menneskelig lesbart loggformat. Produktet gir virkelig en enkelt konsoll for å se alle sikkerhetsloggdataene dine.

De ManageEngine EventLog Analyzer er tilgjengelig i en funksjonsredusert gratis utgave som bare støtter 5 loggkilder eller i en premiumutgave som starter på $ 595 og varierer avhengig av antall enheter og applikasjoner. En gratis, full funksjonalitet 30-dagers prøveversjon er også tilgjengelig.

6. Graylog

Graylog er en gratis open source-logghåndteringsplattform med mange interessante funksjoner. Verktøyet kan analysere og berike logger og hendelsesdata fra nesten hvilken som helst datakilde. Prosesseringsrørledningene gir mulighet for litt fleksibilitet i ruting, svartelisting, endring og berikelse av meldinger i sanntid. Verktøyet vil søke gjennom terabyte med loggdata for å oppdage og analysere viktig informasjon. Den kraftige og ganske unike søkesyntaxen lar deg finne nøyaktig hva du leter etter.

Med Graylog, har du muligheten til å lage tilpassede dashboards som lar deg visualisere bestemte beregninger og observere trender fra ett sentralt sted. Du kan bruke feltstatistikk, raske verdier og diagrammer fra søkeresultatsiden for å se nærmere på dataene dine. I tillegg tilbyr produktet muligheten til å utløse handlinger eller gi ut varsler om hendelser som for eksempel mislykkede påloggingsforsøk, unntak eller ytelsesforringelse.

Graylog er tilgjengelig enten som en gratis og åpen kildekode-begrenset versjon som også har begrenset støtte. Det er også en bedriftsversjon med utvidede funksjoner og ubegrenset støtte. Det er også gratis for opptil 5 GB logger per dag. Avhengig av hvor stort og opptatt nettverket ditt er. Det kan være nok for ditt behov. Lisens- og supportpriser kan fås ved å kontakte Graylog salg.

7. WhatsUp Log Management Suite

De WhatsUp Log Management Suite er et utmerket verktøy fra Ipswitch. Ipswitch, er det behov for å minne deg på, er selskapet bak WhatsUp Gold, det super populære nettverksovervåkningsverktøyet. Dette er et automatisert verktøy som samler, lagrer, arkiverer og lagrer systemlogger, Windows-hendelser og W3C / IIC-logger. Dette samler ikke bare logger og hendelser, men kontinuerlig loggovervåkning og analyse vil varsle deg om enhver unormal aktivitet.

De WhatsUp Log Management Suite vil følge ofte reviderte hendelser som tilgangsrettigheter, fil-, mappe- og objektrettigheter og generere varsler etter behov. Den bruker også innsamlede hendelser for å lage samsvarsrapporter for HIPAA, SOX, FISMA, PCI, MiFID eller Basel II samsvar. Denne programvaren kan også bidra til å transformere dine rå loggdata til meningsfull informasjon for ledere eller IT sikkerhetsteam, bruker sin kraftige automatiserte filtrering, korrelering, rapportering og konvertering funksjoner.

De WhatsUp Log Management Suite er faktisk et sett med applikasjoner som inkluderer følgende verktøy:

• Arrangementsarkiver: Dette verktøyet automatiserer loggsamling, rydding og konsolidering.
• Hendelsesalarm: Et verktøy for å overvåke loggfiler og motta sanntidsvarsling om viktige hendelser.
• Arrangementsanalytiker: Analyser og rapporterer loggdata og trender; distribuere rapporter automatisk til ledelse, sikkerhetsansvarlige, revisorer og andre interessenter.
• Event Rover: En enhetlig konsoll for fordypning av rettsmedisiner på tvers av alle servere og arbeidsstasjoner for å øke effektiviteten og spare tid.

Prisinformasjon for Log Management Suite er ikke lett tilgjengelig fra Ipswitch. Produktet kan kjøpes enten direkte fra utgiveren eller gjennom Ipswitchs forhandlernettverk. En gratis prøveversjon er selvfølgelig også tilgjengelig.

8. LogDNA

LogDNA sies å være “det raskeste, mest intuitive og kostnadseffektive loggstyringssystemet”. Dette har en tendens til å være sant. Helt fra starten tar produktets installasjon bare et par minutter før du kan begynne å samle og overvåke logger. Uansett hvordan logger blir generert og overført, er hundrevis av tilpassede integrasjonsordninger tilgjengelige i produktet for å hjelpe deg med å sentralisere logger på et enkelt sted.

LogDNA er tilgjengelig i en skybasert eller en egenvert versjon, avhengig av din preferanse. Det er et høyst skalerbart produkt som kan håndtere hundretusener av tømmerstokker i sekundet og dusinvis av terabyte per dag, samtidig som det tilbyr den største sikkerhet samt sanntids logganalyse. Både selskapet og dets produkter er SOC2, PCI og HIPAA-kompatible, i tillegg til at de er Privacy Shield-sertifisert.

LogDNAs enkle prismodell for betaling per GB eliminerer kontrakter og faste datatildelinger, noe som gir en av de laveste totale eierkostnadene til en betalt loggovervåking og styringsløsning. Flere abonnementsplaner er tilgjengelige med økende funksjoner. Den nederste nivå planen er gratis, og prisene for de betalte planene varierer fra $ 1,50 / GB / måned til $ 3 / GB / måned, avhengig av oppbevaringsvarighet og antall brukere. En gratis, full funksjonalitet og ubegrenset 14-dagers prøveversjon er også tilgjengelig.