8 cele mai bune instrumente de monitorizare a jurnalului și software de analiză pentru 2020

Fișierele jurnal sunt prezente pe aproape toate sistemele de computer sau dispozitivele de rețea. Acestea conțin detalii despre evenimentele petrecute pe fiecare sistem. Se pot dovedi neprețuite atunci când depanați diverse probleme. De asemenea, pot dezvălui activități rău intenționate și, prin urmare, pot deveni un mijloc util de asigurare a securității. Dar cine are timp să se uite chiar la fișierele de jurnal? Cu administratorul obișnuit care administrează zeci de dispozitive, unele dintre ele înregistrând mai multe evenimente în fiecare secundă, nu există nicio modalitate de a urmări cineva. Acesta este motivul pentru care au fost inventate instrumente de monitorizare a jurnalului. Acestea consolidează toate jurnalele de evenimente într-o singură locație și oferă deseori instrumente și servicii de analiză care vor parcurge jurnalele și vor genera alerte ori de câte ori se observă ceva ieșit din comun. Multe instrumente diferite de monitorizare a jurnalului sunt disponibile și alegerea celui mai bun se poate dovedi a fi o provocare. Pentru a vă ajuta, am reunit această listă cu unele dintre cele mai bune instrumente de monitorizare a jurnalelor.

Vom începe discuția noastră explorând jurnalele de sistem, ce sunt și cum funcționează. În continuare, vom vorbi despre jurnalele de monitorizare. La fel ca înainte, vom analiza ce înseamnă și cum a fost făcut. Vă vom oferi apoi mai multe detalii despre analiza jurnalului, deoarece aceasta este caracteristica care face ca instrumentele de monitorizare a jurnalului să fie cele mai utile. Ca și înainte, vom descrie ce este acesta și diferitele forme de analiză disponibile. În cele din urmă, vom examina unele dintre cele mai bune instrumente de monitorizare a jurnalelor pe care le-am putea găsi și vă vom spune despre principalele caracteristici ale acestora.

Jurnalele de sistem într-o casă de nucă

Într-o propoziție, un fișier jurnal, sau jurnal de sistem, este un fișier care înregistrează evenimentele care apar într-un sistem de operare sau alt software. Jurnalul este actul de a păstra un jurnal de sistem. În cele mai simple cazuri, mesajele sunt pur și simplu scrise într-un singur fișier jurnal. În timp ce majoritatea sistemelor folosesc în principal fișiere text pentru evenimente de înregistrare, unele sisteme moderne folosesc o formă de bază de date pentru a le înregistra.

Indiferent cum și unde sunt înregistrate evenimentele, unele sisteme vă permit să definiți nivelul de înregistrare pe care îl solicitați. Acest lucru este valabil în special cu echipamentele de rețea în care fiecare eveniment are un nivel de severitate și parametrii de înregistrare pot fi setați doar pentru a înregistra evenimentul unui anumit nivel de severitate sau mai mare. Alte tipuri de sisteme oferă și o funcționalitate similară.

Despre monitorizarea jurnalelor

Monitorizarea jurnalelor este un proces în două părți. Prima parte - și cea mai importantă - este colectarea datelor de jurnal din diverse sisteme. Acest lucru se realizează în moduri diferite. Unele sisteme pot fi configurate pentru a trimite automat jurnalele către un server centralizat prin intermediul protocolului Syslog. Instrumentele de monitorizare a jurnalului au de obicei un server syslog încorporat pentru a primi direct evenimentele. Alte sisteme, cum ar fi Windows, de exemplu, funcționează diferit. Există diverse mijloace de achiziție a datelor de jurnal din aceste sisteme, cum ar fi utilizarea Windows Management Instrumentation sau utilizarea agenților locali care rulează pe gazdele Windows. Indiferent cum s-a făcut, fiecare sistem de monitorizare a jurnalului include funcționalitatea necesară pentru a primi și consolida datele de jurnal din mai multe surse.

Următorul pas - Analiza jurnalului

A doua sarcină a oricărui instrument util de monitorizare a jurnalului este analiza jurnalului. Aici diferă cel mai mult instrumentele. Unii vor oferi doar o analiză de bază, cum ar fi declanșarea unei alerte atunci când numărul de evenimente pe unitatea de timp atinge un prag dat. Instrumente mai avansate vor examina fiecare eveniment și vor căuta indicații specifice ale problemelor. De exemplu, un număr mare de autentificări eșuate ar putea fi un semn al unei încercări de intruziune în curs. Am putea petrece pagini care descriu diferitele forme de analiză de jurnal disponibile. În schimb, vă invităm să aruncați o privire la diferitele recenzii ale produselor de mai jos pentru detalii despre ce oferă fiecare.

Cele mai bune instrumente de monitorizare a jurnalului

Așa cum am indicat anterior, există multe instrumente diferite disponibile cu diferite grade de funcționalitate. Nu toată lumea are nevoie de un instrument cu analize extinse și funcții de înaltă securitate, așa că am inclus un amestec de instrumente care oferă diverse seturi de caracteristici. Unele sunt instrumente mai simple, în timp ce altele sunt mai complexe. Depinde de tine să stabilești care unealtă oferă cea mai bună potrivire pentru nevoile tale. Din fericire, toate instrumentele de pe lista noastră au un proces gratuit, astfel încât nimic nu te împiedică să încerci câteva, lucru pe care ți-l recomandăm cu mare încredere.

SolarWinds este un nume comun în lumea monitorizării. Compania este în jur de peste 20 de ani, iar produsul său principal, numit Network Performance Monitor, este recunoscut de mulți drept unul dintre cele mai bune instrumente de monitorizare SNMP disponibile. Și de parcă asta nu ar fi fost suficient, SolarWinds este cunoscut și pentru numeroasele sale instrumente gratuite. Acestea sunt instrumente mai mici, fiecare adresându-se unei anumite necesități ale administratorilor de rețea. Calculatorul de subrețea avansat și serverul TFTP SolarWinds sunt două exemple excelente ale acestor instrumente gratuite.

cât despre SolarWinds Log & Event Manager (LEM), este exact ceea ce îi spune numele. Instrumentul este atât de bogat în caracteristici, încât mulți îl consideră un instrument complet de informații de securitate și de gestionare a evenimentelor. Când vine vorba de monitorizarea și gestionarea jurnalelor, este probabil unul dintre cele mai interesante instrumente de gestionare a jurnalelor. Are funcții de corelare și de corelare a jurnalului foarte utile, precum și un motor impresionant de raportare.

• ÎNCERCARE GRATUITĂ:SolarWinds Log & Event Manager
• Link de descărcare:https://www.solarwinds.com/log-event-manager-software/registration

SolarWinds Log & Event Manager poate ajuta la îmbunătățirea securității și conformității prin detectarea activității suspecte și identificarea mai rapidă a amenințărilor cu detectarea în timp a activității suspecte. Puteți utiliza, de asemenea, instrumentul pentru a efectua investigații în domeniul securității și criminalistică pentru atenuare și conformitate. Această caracteristică este motivul pentru care mulți consideră produsul ca un instrument SIEM. În plus, acest instrument ajută la pregătirea în conformitate cu reglementările. Puteți să-l utilizați pentru a demonstra conformitatea, datorită raportării sale dovedite de audit pentru HIPAA, PCI DSS, SOX, DISA STIG și multe altele.

SolarWinds Log & Event ManagerCaracteristicile de răspuns la eveniment nu lasă nimic de dorit. Sistemul de răspuns detaliat în timp real va reacționa activ la fiecare amenințare. A te baza pe comportament, mai degrabă decât pe o analiză a semnăturilor, înseamnă că ești chiar protejat împotriva amenințărilor necunoscute sau viitoare. Dar tabloul de bord al instrumentului este cel mai bun avantaj al său. Cu un design simplu, nu veți avea probleme în identificarea rapidă a anomaliilor.

Prețuri pentru SolarWinds Log & Event Manager se bazează pe numărul de noduri monitorizate. Sunt disponibile diferite niveluri de licențe de la 30 la 2500 de noduri începând de la 4 665 USD. Și dacă doriți să încercați produsul înainte de cumpărare, o versiune gratuită completă funcțională de încercare de 30 de zile este disponibilă pentru descărcare.

Următorul pe lista noastră este un alt produs de la SolarWinds numit Manager de jurnal pentru Orion. Orion, în cazul în care nu cunoașteți produsele SolarWinds, a fost cea mai bună platformă a companiei câțiva ani în urmă. Este încă arhitectura care stă la baza căreia sunt construite multe dintre cele mai bune produse ale SolarWinds. Dacă utilizați oricare din Monitorul de performanță al rețelei, Analizatorul de trafic NetFlow, Configurarea rețelei Manager, Virtualization Manager, Server and Application Monitor sau Storage Resource Monitor, pe care îl utilizați Orion.

• ÎNCERCARE GRATUITĂ:SolarWinds Log Manager pentru Orion
• Link de descărcare:https://www.solarwinds.com/log-manager-for-orion-software/registration

SolarWinds Log Manager pentru Orion adaugă funcții de gestionare a jurnalului la oricare dintre instrumentele de monitorizare și gestionare bazate pe Orion. În rezumat, produsul are o agregare puternică și intuitivă a jurnalului, etichetarea, filtrarea și alertarea. Integrarea sa cu produsele platformei Orion oferă o vedere unificată a monitorizării infrastructurii IT și a jurnalelor asociate. Produsul a fost creat în colaborare cu inginerii de rețele și sisteme pentru a le asigura problemele - și cum să le rezolve - au fost înțelese.

În ciuda integrării sale cu platforma Orion, Manager de jurnal poate fi instalat de la sine și nu necesită niciun alt instrument Orion să fie instalat. Prețul începe de la 1 495 USD și o versiune de încercare gratuită de 30 de zile este disponibilă dacă doriți să oferiți produsului o testare și vezi cum se potrivește nevoilor tale.

Următorul este încă un alt produs de la SolarWinds Urma de hartie. Acesta este foarte diferit de cele două anterioare, întrucât este oferit un software SaaS, bazat pe cloud. Instrumentul puternic se bucura deja de o oarecare popularitate atunci când SolarWinds l-a achiziționat, cu câțiva ani în urmă. Agregă fișiere de jurnal dintr-o multitudine de produse precum Apache sau MySQL, precum și aplicații Ruby on Rails, mai multe servicii de hosting de cloud și alte fișiere de jurnal text.

• Înscrieți-vă aici: https://papertrailapp.com/plans

Pentru a ajuta la diagnosticarea erorilor și a problemelor de performanță, puteți utiliza Urma de hartie un motor de căutare foarte eficient și fulger rapid, care poate căuta atât jurnalele stocate cât și fluxurile. Produsul se integrează cu câteva alte produse SolarWinds, precum Librato și Geckoboard, pentru rezultate grafice. Urma de hartie este, de asemenea, ușor de implementat, utilizat și înțeles. Acesta vă va oferi vizibilitate instantanee pe toate sistemele în câteva minute.

Urma de hartie este disponibil în mai multe planuri, inclusiv un plan gratuit. Este oarecum limitată și permite doar 50 MB de jurnale în fiecare lună. Cu toate acestea, va permite 16 GB de jurnale în prima lună, ceea ce echivalează cu oferirea unui proces gratuit și nelimitat de 30 de zile. Planurile plătite încep de la 7 USD / lună pentru 1 GB / lună de jurnal, 1 an de arhivă și 1 săptămână de index. Planul de 75 USD / lună cu 8 GB jurnaluri este cel mai popular. Filtrarea zgomotului permite instrumentului să păstreze datele fără a salva jurnalele inutile.

4. Monitor de rețea PRTG

Monitor de rețea PRTG de la Paessler AG este un sistem integrat, integrat, care poate fi utilizat pentru a monitoriza aproape orice, datorită arhitecturii sale inteligente bazate pe senzori. Una dintre cele mai bune caracteristici ale acestui lucru este produsul de calitate întreprinderii este cu siguranță viteza de configurare a acestuia. Potrivit lui Paessler, Monitor de rețea PRTG poate fi configurat în doar câteva minute. Deși s-ar putea să nu fie atât de rapid pentru toată lumea, este totuși unul dintre cele mai ușoare și rapide instrumente de monitorizare de instalat, datorită în parte procesului său de auto-descoperire.

Monitor de rețea PRTG este un produs bogat în caracteristici. La bază, este în principal un instrument de monitorizare a rețelei care folosește SNMP pentru a sonda dispozitivele și pentru a afișa utilizarea interfețelor lor pe graficele cronologice. Cu toate acestea, prin utilizarea unor senzori suplimentari, PRTG poate monitoriza aproape orice. Senzorii sunt oarecum similari cu suplimentele, cu excepția faptului că sunt incluse în produs. Și există senzori disponibili pentru diverse servere, servicii și aplicații. În total, produsul include peste 200 de senzori.

Pentru monitorizarea și gestionarea jurnalului, sunt disponibili doi senzori diferiți. API-ul Windows Jurnal de evenimente senzorul surprinde toate mesajele de jurnal pe care le generează Windows. Acest senzor monitorizează rata mesajelor de jurnal și nu conținutul acestora și va genera o alarmă dacă rata mesajelor de jurnal de evenimente atinge un prag critic.

Celălalt senzor interesant, Syslog Receiver senzor, primește, monitorizează și salvează mesaje syslog de pe orice dispozitiv. Cu toate acestea, nu va adăuga doar jurnalele din diverse surse. Funcționalitatea sa de monitorizare va declanșa alarme ori de câte ori apar condiții îngrijorătoare, precum creșterea ratei de primire a jurnalului.

Monitor de rețea PRTG este disponibil în două versiuni. Versiunea gratuită este completă, dar vă va limita capacitatea de monitorizare la 100 de senzori. Când utilizați SNMP, fiecare parametru monitorizat contează ca un singur senzor. De exemplu, dacă monitorizați două interfețe pe un router, acesta va conta ca doi senzori. Fiecare instanță a unui senzor de monitorizare specific contează de asemenea ca unul. Dacă aveți nevoie de mai mult de 100 de senzori, va trebui să achiziționați o licență care începe de la 1 600 USD pentru 500 de senzori. Este disponibilă o versiune de încercare gratuită, nelimitată de senzori și completă, de 30 de zile.

5. Analizați Analizatorul de gestionare a evenimentelor

ManageEngine este un alt cunoscut producător de instrumente de administrare a rețelei printre profesioniștii IT. Compania oferă un sistem de management al jurnalului numit Analizați Analizatorul de gestionare a evenimentelor. Produsul colectează, gestionează, analizează, corelează și caută prin datele de jurnal din peste 700 de surse folosind o combinație sau o colecție de jurnale fără agent sau agent, precum și import de jurnal.

Analizați Analizatorul de gestionare a evenimentelorCapacitatea este impresionantă. Poate prelucra datele de jurnal cu o viteză de până la 25 000 de jurnale / secundă și poate detecta atacuri în timp real. Instrumentul poate efectua rapid și analize criminalistice, reducând astfel impactul potențial al unei încălcări. Capacitățile de audit ale sistemului se extind la jurnalele dispozitivelor perimetrului rețelei, activitățile utilizatorului, modificările contului serverului, accesele utilizatorilor și multe altele, ajutându-vă să îndepliniți nevoile de audit de securitate.

Corelația jurnalului de evenimente în timp real detectează instant încercările de atac și urmărește amenințările potențiale de securitate corelând jurnal de date cu peste 30 de reguli predefinite pentru a detecta atacuri de forță brută, blocări de cont, furt de date, atacuri de server web și multe Mai Mult. De asemenea, dispune de un parser de jurnal personalizat care poate extrage câmpuri din orice format de jurnal care poate fi citit de om. Produsul oferă cu adevărat o singură consolă pentru vizualizarea tuturor datelor dvs. de jurnal de securitate.

Analizați Analizatorul de gestionare a evenimentelor este disponibil într-o ediție gratuită cu caracteristici reduse, care acceptă doar 5 surse de jurnal sau într-o ediție premium, care începe de la 595 USD și variază în funcție de numărul de dispozitive și aplicații. O versiune gratuită, completă, de 30 de zile, este de asemenea disponibilă.

6. Graylog

Graylog este o platformă gratuită de gestionare a jurnalului open-source, cu o mulțime de funcții interesante. Instrumentul poate analiza și îmbogăți jurnalele și datele de evenimente din aproape orice sursă de date. Conductele sale de procesare permit o anumită flexibilitate în rutarea, listarea neagră, modificarea și îmbogățirea mesajelor în timp real. Instrumentul va căuta prin terabyte de date de jurnal pentru a descoperi și analiza informații importante. Sintaxa sa de căutare puternică și destul de unică vă permite să găsiți exact ceea ce căutați.

Cu Graylog, aveți capacitatea de a crea tablouri de bord personalizate care vă permit să vizualizați valori specifice și să observați tendințele dintr-o locație centrală. Puteți utiliza statistici de câmp, valori rapide și diagrame din pagina cu rezultatele căutării pentru a analiza mai profund datele dvs. În plus, produsul oferă opțiunea de a declanșa acțiuni sau de a emite notificări la evenimente, cum ar fi încercări de autentificare eșuate, excepții sau degradarea performanței.

Graylog este disponibil fie ca o versiune limitată liberă și open-source, care are și suport limitat. Există, de asemenea, o versiune de întreprindere cu caracteristici extinse și suport nelimitat. De asemenea, este gratuit și până la 5 GB de jurnale pe zi. În funcție de cât de mare și ocupat este rețeaua ta. Ar putea fi suficient pentru nevoia ta. Prețurile de licență și asistență pot fi obținute contactând Graylog vânzări.

7. WhatsUp Log Management Suite

WhatsUp Log Management Suite este un instrument excelent de la Ipswitch. Ipswitch, este nevoie să vă reamintesc, este compania din spatele WhatsUp Gold, super popular instrument de monitorizare a rețelei. Acesta este un instrument automat care colectează, stochează, arhivează și salvează jurnalele de sistem, evenimentele Windows și jurnalele W3C / IIC. Cu toate acestea, nu înseamnă doar agregarea jurnalelor și evenimentelor, supravegherea și analiza sa continuă a jurnalului vă vor avertiza cu privire la orice activitate anormală.

WhatsUp Log Management Suite va urma evenimente auditate frecvent, cum ar fi drepturile de acces și privilegiile de fișier, folder și obiect și va genera alerte în funcție de necesități. De asemenea, folosește evenimente colectate pentru a crea rapoarte de conformitate pentru conformitatea HIPAA, SOX, FISMA, PCI, MiFID sau Basel II. Acest software vă poate ajuta, de asemenea, să transformați datele dvs. de jurnal brut în informații semnificative pentru manageri sau IT echipele de securitate, folosind filtrarea automată puternică, corelarea, raportarea și conversia caracteristici.

WhatsUp Log Management Suite este de fapt un set de aplicații care includ următoarele instrumente:

• Arhivator de evenimente: Acest instrument automatizează colectarea, ștergerea și consolidarea jurnalului.
• Alarma evenimentului: Un instrument pentru monitorizarea fișierelor de jurnal și primirea notificării în timp real cu privire la evenimentele cheie.
• Analist eveniment: Analize și rapoarte privind datele și tendințele de jurnal; distribuie automat rapoarte către management, agenții de securitate, auditori și alte părți interesate.
• Eveniment Rover: O consolă unificată pentru criminalistică aprofundată pe toate serverele și stațiile de lucru pentru a crește eficiența și a economisi timp.

Informații privind prețurile pentru Suita de gestionare a jurnalelor nu este ușor disponibil de la Ipswitch. Produsul poate fi achiziționat fie direct de la editor, fie prin intermediul rețelei de distribuitori Ipswitch. O versiune de încercare gratuită este, de asemenea, disponibilă.

8. LogDNA

LogDNA se spune că este „cel mai rapid, cel mai intuitiv și rentabil sistem de gestionare a jurnalului”. Acest lucru tinde să fie adevărat. Încă de la început, instalarea produsului durează doar câteva minute înainte de a putea începe colectarea și monitorizarea jurnalelor. Indiferent cum sunt generate și transmise jurnalele, sute de scheme de integrare personalizate sunt disponibile în cadrul produsului pentru a vă ajuta să centralizați jurnalele într-o singură locație.

LogDNA este disponibil fie într-o versiune bazată pe cloud, fie într-o versiune self-gazdată, în funcție de preferințe. Este un produs extrem de scalabil, care poate gestiona sute de mii de jurnale pe secundă și zeci de terabyți pe zi, oferind în același timp cea mai mare securitate, precum și analiza jurnalului în timp real. Atât compania, cât și produsele sale sunt conforme SOC2, PCI și HIPAA, precum și certificat de protecție a vieții private.

Modelul simplu de tarifare LogDNA plătit-pe-GB elimină contractele și alocările de date fixe, ceea ce face ca unul dintre cele mai mici costuri totale de deținere a oricărei soluții de monitorizare și gestionare a jurnalului plătit. Mai multe planuri de abonament sunt disponibile cu funcții în creștere. Planul de jos este gratuit, iar prețurile pentru planurile plătite variază de la 1,50 USD / GB / lună la 3 USD / GB / lună, în funcție de durata de păstrare și numărul de utilizatori. O probă gratuită, completă și nelimitată de 14 zile este de asemenea disponibilă.