6 cele mai bune instrumente de gestionare a jurnalelor pentru Linux în 2020

Cu sistemele de astăzi care generează o mulțime de date de înregistrare, nu este de mirare că administratorii caută întotdeauna soluții de gestionare a jurnalelor. În mod implicit, jurnalele sunt adesea stocate local. Acest lucru are sens, deoarece face ușor conectarea acestora la sursa lor. Dar când încercăm să rezolvăm problemele și să găsim cauza lor rădăcină, uneori trebuie să analizăm mai multe fișiere jurnal pe numeroase dispozitive. Nu ar fi frumos dacă toate jurnalele de pe toate dispozitivele ar fi stocate într-un singur loc centralizat? Acesta este scopul managementul jurnalului. Și dacă platforma pe care o alegeți este Linux, există o mulțime de opțiuni disponibile. Citiți mai departe pe măsură ce descoperim unele dintre cele mai bune gestionări de jurnal pentru Linux

Vom începe prin definirea gestionării jurnalului. Veți vedea că poate fi ceva mai mult decât centralizarea stocării jurnalului. În continuare, vom discuta diverse tehnologii de exploatare. Ele sunt piatra de temelie a gestionării jurnalului și nu ar exista fără ele. Continuând, vom diferenția serverele syslog de sistemele de gestionare a jurnalelor și vom da seama că nu există o delimitare clară între ele. În continuare, vom face o pauză scurtă și vom discuta

Informații de securitate și sisteme de gestionare a evenimentelor. Ele sunt un alt tip de sistem care este adesea confundat cu gestionarea jurnalului, datorită definiției oarecum neclare a fiecăruia. Și în final, vom examina cel mai bun management de jurnal pentru Linux.

Ce este managementul jurnalului?

Înainte de a putea vorbi despre managementul jurnalului, să definim ce este un jurnal. Simplu definit, un jurnal este documentația produsă automat și timbrată de timp a unui eveniment relevant pentru un anumit sistem. Cu alte cuvinte, ori de câte ori un eveniment are loc pe un sistem, este generat un jurnal. Sistemele și dispozitivele vor genera jurnalele pentru diferite tipuri de evenimente și multe sisteme oferă administratorilor un anumit grad de control asupra evenimentului care generează un jurnal și care nu.

În ceea ce privește gestionarea jurnalului, se referă pur și simplu la procesele și politicile utilizate pentru administrare și facilitare generarea, transmiterea, analiza, stocarea, arhivarea și eliminarea eventuală a volumelor mari de date de jurnal. Deși nu este specificat clar, gestionarea jurnalului implică un sistem centralizat în care sunt colectate jurnalele din mai multe surse. Totuși, gestionarea jurnalului nu este doar colectarea jurnalului. Este cea mai importantă parte a managementului. Și sistemele de gestionare a jurnalelor au adesea funcționalități multiple, colectarea jurnalelor fiind doar unul dintre ele.

Odată ce jurnalele sunt primite de sistemul de gestionare a jurnalelor, acestea trebuie să fie standardizate într-un format comun, deoarece diferite sisteme formează jurnalele diferit și includ date diferite. Unii încep un jurnal cu data și ora, alții îl încep cu un număr de eveniment. Unele includ doar un ID de eveniment, în timp ce altele includ o descriere a textului complet al evenimentului. Unul dintre scopurile sistemelor de gestionare a jurnalului este să se asigure că toate intrările de jurnal colectate sunt stocate într-un format uniform. Aceasta va face o corelație a evenimentelor și o căutare finală mult mai ușoară.

Chiar și corelația și căutarea sunt două funcții majore suplimentare ale mai multor sisteme de gestionare a jurnalelor. Cele mai bune dintre ele au un motor de căutare puternic care permite administratorilor să intre zero în exact ceea ce au nevoie. Funcțiile de corelare vor grupa automat evenimente conexe, chiar dacă provin din surse diferite. Cum realizează și cât de reușit se realizează diferite sisteme de gestionare a jurnalului, care este un factor de diferențiere major.

CITEȘTE ȘI:15 cele mai bune instrumente de monitorizare a rețelei (propria noastră recenzie)

Tehnologii de exploatare

Gestionarea jurnalului ar fi mult mai dificilă, poate nici măcar posibil, dacă nu ar fi pentru protocoalele de logare. Câteva dintre ele există. Aceștia definesc ce date trebuie incluse în jurnalele, cum ar trebui să fie formatate și, uneori, cum trebuie transmise între sisteme.

Syslog este probabil cel mai utilizat protocol de logare, mai ales în lumea Linux. Tehnologia a fost inventată la începutul anilor optzeci și a devenit standardul de facto pentru toate sistemele similare Unix. Unul dintre cele mai mari atuuri ale tehnologiei syslog este modul în care facilitează separarea între sistem sau software care generează jurnalele, sistemul care le stochează și software-ul care raportează și analizează lor. Utilizarea tehnologiei Syslog face gestionarea jurnalului mult mai ușoară. Și Syslog nu este unix exclusiv. Multe dispozitive non-Unix, cum ar fi switch-uri, routere și tot felul de echipamente de la mulți furnizori folosesc o variantă a protocolului syslog.

Există și alte tehnologii de jurnal. Microsoft Windows, de exemplu, folosește un sistem de înregistrare diferit. S-ar putea să aibă legătură cu faptul că sistemele de operare și aplicațiile Windows au jurnalele care conțin de obicei informații mai detaliate decât permite tehnologia Syslog. Din fericire, funcțiile de colecție de evenimente Windows oferă un mijloc pentru gestionarea jurnalului pe care diverse sisteme le pot utiliza pentru a primi evenimente de la gazdele Windows. Această postare este despre managementul jurnalului Linux, deci nu pierdem prea mult timp pe Windows.

Indiferent de tehnologia de logare folosită, o parte importantă a managementului jurnalului este configurarea dispozitivelor pentru a trimite jurnalele lor în sistemul de management. Alte tipuri de instrumente cum ar fi sisteme de monitorizare a rețelei poate prelua date din sistemele pe care le monitorizează, dar cu gestionarea jurnalului, fiecare dispozitiv trebuie să i se spună „unde să-și trimită jurnalele. Cu toate acestea, este o sarcină relativ simplă, care este adesea îndeplinită prin emiterea unei simple comenzi.

CITIREA ULTERIOR:Cel mai bun software de mapare și topologie a rețelei de rețea

Servere de jurnal sau de gestionare a jurnalului?

Întrucât a fost disponibil pe fiecare sistem asemănător Unix - inclusiv Linux - de ceva vreme, Syslog este adesea folosit ca server de jurnal cu un computer care primește date Syslog de la alte câteva. Deși acest stocare centralizată a jurnalelor are avantaje definite, nu este suficient să fie numit management jurnal.

Pentru a merita numele de sistem de gestionare a jurnalului, un produs trebuie să includă cel puțin unele dintre funcțiile mai avansate. Conform Wikipedia, „gestionarea jurnalului cuprinde următoarele funcții: colectarea jurnalelor, centralizată agregarea jurnalelor, păstrarea și păstrarea jurnalului pe termen lung, rotirea jurnalului, analiza jurnalului, căutarea jurnalului și raportarea ”. Wow! Aceasta este multă funcționalitate. Serverele de jurnal, pe de altă parte, oferă adesea doar colectarea și stocarea jurnalului și mai rar mai mult decât atât.

Un cuvânt (sau două) despre SIEM

O altă tehnologie populară care este asociată cu jurnalele și deseori confundată cu sistemele de gestionare a jurnalelor este informațiile de securitate și gestionarea evenimentelor sau SIEM. Acest lucru diferă de gestionarea jurnalului, dar este strâns legat. Linia este atât de subțire între ele, încât unele produse publicitate ca sisteme de gestionare a jurnalului sunt de fapt sisteme SIEM, în timp ce unele sisteme SIEM de bază nu sunt altceva decât sisteme avansate de gestionare a jurnalului.

Confuzia provine din faptul că managementul jurnalului - sau, cel puțin, analiza jurnalului - este o componentă importantă a sistemelor SIEM. Ceea ce diferențiază sistemele SIEM este faptul că realizează analize de jurnal cu scopul final de identificare a problemelor de securitate. Aceștia vor căuta, de exemplu, semne de autentificare nereușită, care ar putea fi un semn de poveste al unui încercare de intruziune neautorizată. Aceste sisteme scanează continuu intrările de jurnal căutând ceva ieșit din comun. În timp ce unele sisteme SIEM includ funcții extinse de gestionare a jurnalelor, unele utilizează un sistem extern de gestionare a jurnalului și nu este neobișnuit să vedem ambele sisteme care rulează cot la cot.

CITIREA RELATĂ:Cele mai bune scanere IP pentru Mac

Cel mai bun management de jurnal pentru Linux

Sperăm că acum avem o înțelegere comună despre ce este gestionarea jurnalului și ce nu este. Deci, să aruncăm o privire la ce este disponibil pentru Linux. Dar mai întâi, să lămurim ceva. Când ne referim la gestionarea jurnalelor Linux, ceea ce ne referim la sistemele de gestionare a jurnalelor care pot găzdui jurnalele Linux și care vor fi rulate fie pe platforma Linux, fie în cloud. Unele dintre selecțiile noastre - în special sistemele bazate pe cloud - vor funcționa, de asemenea, cu jurnalele de pe alte platforme.

SolarWinds a devenit un nume de uz casnic în rândul administratorilor de rețea. Realizează unele dintre cele mai bune instrumente de aproape 20 de ani, aducându-ne instrumente excelente de monitorizare a lățimii de bandă și unul dintre cei mai buni analizatori și colecționari NetFlow. De asemenea, compania este binecunoscută pentru publicarea mai multor instrumente gratuite care răspund unor nevoi specifice ale administratorilor de rețea, cum ar fi calculatorul de subrețea sau un server syslog.

• PLAN GRATUIT: SolarWinds Papertrail
• Link oficial de descărcare: https://papertrailapp.com/plans

Nu cu mult timp în urmă, SolarWinds dobândite Urma de hartie, un sistem popular de gestionare a jurnalelor. Agregează fișierele de jurnal dintr-o mare varietate de produse populare, cum ar fi Apache sau MySQL, precum și aplicațiile Ruby on Rails, diferite servicii de hosting de cloud și alte fișiere de jurnal standard și bazate pe text. Urma de hartie utilizatorii pot apoi să folosească interfața de căutare bazată pe web sau instrumentele din linia de comandă pentru a căuta în aceste fișiere pentru a ajuta la diagnosticarea diferitelor probleme. Papertrail se integrează și cu alte produse SolarWinds, precum Librato și Geckoboard, pentru rezultate grafice.

Urma de hartie este un software de serviciu (SaaS) bazat pe cloud, oferit de la SolarWinds. A fi bazat pe cloud înseamnă că va funcționa bine într-un mediu all-Linux. Platforma este ușor de implementat, utilizat și înțeles și vă va oferi vizibilitate instantanee pe toate sistemele în câteva minute. Mai mult, produsul are un motor de căutare foarte eficient, care poate căuta atât jurnalele stocate cât și fluxurile. Și fulgeră repede.

Urma de hartie este disponibil în mai multe planuri, inclusiv un plan gratuit. Cu toate acestea, este oarecum limitat și permite doar 100 MB de jurnaluri în fiecare lună. Cu toate acestea, va permite 16 GB de jurnale în prima lună, care este echivalent cu oferindu-vă un proces gratuit de 30 de zile. Planurile plătite încep de la 7 USD / lună pentru 1 GB / lună de jurnal, 1 an de arhivă și 1 săptămână de index. Filtrarea zgomotului permite instrumentului să păstreze datele fără a salva jurnalele inutile.

Loggly este un alt serviciu online bazat pe cloud. În primul rând un consolidator de jurnal, oferă, de asemenea, funcționalitate de analiză jurnal. Ca urmare a faptului că este bazat pe cloud, acest sistem nu necesită nicio instalare și este gata să utilizeze minutul pentru care vă abonați. Desigur, sistemele și dispozitivele dvs. vor trebui configurate pentru a încărca periodic fișierele lor de jurnal pe serverul online.

• ÎNCERCARE GRATUITĂ: Planuri loggly
• Link oficial: https://www.loggly.com

Loggly apoi convertește datele de jurnal primite într-un format standard, permițând astfel analizorului să proceseze înregistrări din diverse surse și care permite urmărirea și corelarea evenimentelor pe toate sistemele, indiferent de sistemul lor de operare sau de înregistrare tehnologie. Sursele de date de jurnal nu sunt limitate la serverele dvs. locale. Desigur, sistemul este capabil să proceseze jurnalele generate de serverele online, cum ar fi AWS și Amazon poate include mesaje create de aplicații specifice, cum ar fi Docker și Logstash, pentru a numi doar un puțini.

Loggly serviciul este disponibil în cadrul a trei planuri diferite, cu limite de prelucrare a datelor și timpi de păstrare a datelor. Trebuie să alegeți cea potrivită pentru a vă oferi suficient spațiu pentru datele dvs. de jurnal. Se numește planul de intrare la nivel Loggly Lite. Este gratuit de utilizat. Conform acestui plan, puteți încărca 200 MB de date de jurnal pe zi, iar sistemul va păstra fiecare înregistrare timp de șapte zile. Următorul este planul Standard care vă oferă o indemnizație de încărcare de 1 GB pe zi și păstrează înregistrări timp de 30 de zile. Planurile plătite vă permit, de asemenea, să utilizați mai multe conturi de utilizatori. Cu pachetul Standard, puteți avea trei conturi de utilizator. Se numește nivelul superior Loggly Afacere. Nu are nicio limită la numărul de conturi de utilizator pe care îl puteți configura, iar prețurile variază în funcție de cantitatea de capacitate de încărcare și de perioada de păstrare necesară. Plata pentru toate planurile plătite poate fi lunară sau anuală și un proces gratuit de 14 zile este disponibil în planul standard.

3. Splunk

Splunk este un cunoscut - în cadrul comunității de administrare a sistemului - un sistem complet de gestionare a jurnalelor pentru Linux, Mac OS și Windows. Mai mult decât doar un sistem de bază de gestionare a jurnalului, unii consideră că este un sistem cu drepturi depline de prevenire a intruziunilor. Produsul este disponibil în trei versiuni. În partea de sus este Splunk Enterprise care este mai mult un sistem de gestionare a rețelei, mai degrabă decât un instrument de gestionare a jurnalelor. Prețurile încep de la 173 USD pe lună și obțineți o mulțime de funcționalități.

Există, de asemenea, o versiune gratuită a Splunk care este practic același instrument fără unele dintre cele mai avansate funcționalități. În esență, este restricționat la analiza fișierului jurnal. Puteți introduce în oricare dintre fișierele dvs. de jurnal standard sau le puteți trimite date în direct printr-un fișier în analizor. Versiunea gratuită are câteva limitări. De exemplu, poate avea un singur cont de utilizator, iar volumul de date al acestuia este limitat la 500 MB de jurnale pe zi. Funcționalitatea de sortare și filtrare a datelor este încorporată în Splunk, facilitând eforturile de rezolvare a problemelor. Puteți utiliza aceste caracteristici pentru împărțirea înregistrărilor de jurnal la dată și pentru a scrie fiecare grup în fișiere noi. De fapt, această funcționalitate este foarte flexibilă.

4. Server de jurnal Nagios

Nagios este cunoscut mai ales pentru software-ul său excelent de monitorizare a rețelei, dar serverul său de jurnal este la fel de interesant. Produsul se numește pur și simplu Server de jurnal Nagios și oferă gestionare centralizată, monitorizare și analiză a jurnalului. Acest instrument poate simplifica foarte mult procesul de căutare a datelor de jurnal. Vă permite, de asemenea, să setați alertele pentru a fi notificate cu privire la potențialele amenințări. De asemenea, software-ul are o mare disponibilitate și eșecuri încorporate chiar în el. Mai mult, asistenții săi de configurare a sursei vă vor ajuta să configurați rapid serverele pentru a trimite toate datele de jurnal și să începeți să vă monitorizați jurnalele în câteva minute.

Server de jurnal Nagios permite o corelație ușoară a evenimentelor de jurnal pe toate serverele în doar câteva clicuri. Sistemul vă va permite să vizualizați datele de jurnal în timp real, oferindu-vă posibilitatea de a analiza și rezolva problemele pe măsură ce apar. Produsul are o scalabilitate impresionantă și va continua să răspundă nevoilor dvs. pe măsură ce organizația dvs. crește. Adiţional Server de jurnal Nagios instanțele pot fi adăugate într-un cluster de monitorizare, permițându-vă să adăugați rapid mai multă putere, viteză, stocare și fiabilitate.

Prețul pentru o singură instanță pentru Server de jurnal Nagios este de 3 995 USD și, deși nu se pare că o probă gratuită nu este disponibilă, o demonstrație online gratuită este, dacă preferați să aruncați o privire de primă mână asupra produsului.

5. Graylog

Următorul pe lista noastră este un produs numit Graylog. Produsul oferă multe caracteristici interesante. Instrumentul va analiza și îmbogăți jurnalele și datele de evenimente de la orice sursă de date. Conductele sale de procesare permit o anumită flexibilitate în rutarea, listarea neagră, modificarea și îmbogățirea mesajelor în timp real. Graylog va căuta prin terabyte de date de jurnal pentru a descoperi și analiza informații importante. Sintaxa puternică de căutare vă permite să găsiți exact ceea ce căutați.

Cu Graylog, puteți crea tablouri de bord pentru a vizualiza valorile și pentru a observa tendințele într-o locație centrală. Puteți utiliza statistici de câmp, valori rapide și diagrame din pagina cu rezultatele căutării pentru a vă scufunda pentru o analiză mai profundă a datelor dvs. De asemenea, sistemul are opțiunea de a declanșa acțiuni sau de a emite notificări cu privire la evenimente cum ar fi încercări de autentificare eșuate, excepții sau degradare a performanței.

Graylog este un sistem gratuit, bazat pe fișiere cu jurnal, care vă poate oferi mult mai multe funcționalități decât o utilitate de arhivare a jurnalului. Acest analizor de jurnal are o interfață grafică de utilizator și poate rula pe Ubuntu, Debian, CentOS și SUSE Linux. Puteți rula, de asemenea, pe o mașină virtuală pe Microsoft Windows și puteți instala sistemul Graylog pe Amazon AWS.

6. Analizați Analizatorul de gestionare a evenimentelor

ManageEngine, un alt nume comun în rândul administratorului de rețea, face un excelent sistem de gestionare a jurnalului numit Analizați Analizatorul de gestionare a evenimentelor. Produsul va colecta, gestiona, analiza, corela și căuta prin datele de jurnal din peste 700 de surse folosind o combinație de colecție de jurnale fără agent și bazată pe agent, precum și import de jurnal.

Viteza este una dintre Analizați Analizatorul de gestionare a evenimentelorPuterea. Poate prelucra datele jurnalului la un impresionant 25.000 de jurnale / secundă și detecta atacuri în timp real. De asemenea, poate efectua o analiză criminalistică rapidă pentru a reduce impactul unei încălcări. Capacitățile de audit ale sistemului se extind la jurnalele dispozitivelor perimetrului rețelei, activitățile utilizatorului, modificările contului serverului, accesele utilizatorilor și multe altele, ajutându-vă să îndepliniți nevoile de audit de securitate.

Analizați Analizatorul de gestionare a evenimentelor este disponibil într-o ediție gratuită cu caracteristici reduse, care acceptă doar 5 surse de jurnal sau într-o ediție premium, care începe de la 595 USD și variază în funcție de numărul de dispozitive și aplicații. O versiune gratuită, completă, de 30 de zile, este de asemenea disponibilă.