6 najlepších nástrojov na správu protokolov pre systém Linux v roku 2020

Vzhľadom na to, že dnešné systémy generujú množstvo protokolovacích údajov, neprekvapuje, že správcovia vždy hľadajú riešenia na správu protokolov. Protokoly sa predvolene často ukladajú lokálne. To dáva zmysel, pretože uľahčuje ich prepojenie s ich zdrojom. Keď sa však snažíme riešiť problémy a nájsť ich hlavnú príčinu, musíme sa občas pozrieť na viac protokolových súborov na mnohých zariadeniach. Nebolo by pekné, keby boli všetky protokoly zo všetkých zariadení uložené na jednom centralizovanom mieste? To je účel správa protokolov. A ak je vašou platformou pre výber Linux, existuje veľa možností. Čítajte ďalej, keď objavíme najlepšiu správu protokolov pre systém Linux

Začneme definovaním správy protokolov. Uvidíte, že to môže byť trochu viac než len centralizácia ukladania denníkov. Ďalej budeme diskutovať rôzne technológie protokolovania. Sú základným kameňom správy protokolov a bez nich by pravdepodobne neexistovali. Ďalej budeme rozlišovať servery syslog od systémov správy protokolov a uvedomíme si, že medzi nimi neexistuje jasné vymedzenie. Ďalej sa krátko zastavíme a diskutujeme

Systémy bezpečnostných informácií a správy udalostí. Sú to ďalší typ systému, ktorý je často zamieňaný so správou protokolov, a to vďaka trochu nejasnej definícii každého z nich. Nakoniec preskúmame najlepšiu správu protokolov pre systém Linux.

Čo je správa protokolov?

Než budeme môcť hovoriť o správe protokolov, definujme, čo je protokol. Jednoducho definované, denník je automaticky vytvorená a časovo označená dokumentácia udalosti relevantnej pre konkrétny systém. Inými slovami, kedykoľvek dôjde k udalosti v systéme, vygeneruje sa protokol. Systémy a zariadenia budú generovať denníky pre rôzne typy udalostí a mnoho systémov dá administrátorom určitý stupeň kontroly nad tým, ktorá udalosť vygeneruje protokol a ktorá nie.

Pokiaľ ide o správu protokolov, ide jednoducho o procesy a politiky použité na správu a uľahčenie generovanie, prenos, analýza, ukladanie, archivácia a prípadná likvidácia veľkých objemov protokolových údajov. Aj keď to nie je jasne uvedené, správa protokolov predpokladá centralizovaný systém, v ktorom sa zhromažďujú protokoly z viacerých zdrojov. Správa protokolov však nie je iba zhromažďovaním protokolov. Je to najdôležitejšia časť riadenia. Systémy správy protokolov majú často viac funkcií, pričom zhromažďovanie protokolov je iba jednou z nich.

Akonáhle sú protokoly prijaté systémom správy protokolov, je potrebné ich štandardizovať do spoločného formátu, pretože protokoly rôznych systémov formátujú odlišne a obsahujú rôzne údaje. Niektorí začnú denník s dátumom a časom, iní začnú s číslom udalosti. Niektoré obsahujú iba ID udalosti, zatiaľ čo iné obsahujú úplný text udalosti. Jedným z účelov systémov správy protokolov je zabezpečiť, aby všetky zhromaždené záznamy protokolu boli uložené v jednotnom formáte. To bude koreláciu udalostí a prípadné vyhľadávanie oveľa jednoduchšie v rade.

Dokonca aj korelácia a vyhľadávanie sú dve ďalšie hlavné funkcie niekoľkých systémov správy protokolov. To najlepšie z nich obsahuje výkonný vyhľadávací nástroj, ktorý administrátorom umožňuje nahrávať presne to, čo potrebujú. Korelačné funkcie automaticky zoskupia súvisiace udalosti, aj keď sú z rôznych zdrojov. Ako - a ako úspešne - to dokážu rôzne systémy správy protokolov, čo je hlavný faktor rozlišovania.

TIEŽ PREČÍTAJTE:15 najlepších nástrojov na monitorovanie siete (naša vlastná kontrola)

Logovacie technológie

Správa protokolov by bola oveľa ťažšia, možno dokonca ani nemožná, keby to nebolo pre protokolovanie protokolov. Niektoré z nich existujú. Definujú, aké údaje sa majú zahrnúť do denníkov, ako by sa mali formátovať a niekedy aj ako sa majú prenášať medzi systémami.

Syslog je pravdepodobne najpoužívanejší protokolovací protokol, najmä vo svete Linuxu. Táto technológia bola vynájdená začiatkom osemdesiatych rokov a stala sa de facto štandardom pre všetky systémy podobné Unixu. Jedným z najväčších prínosov technológie syslog je to, ako uľahčuje oddelenie systému alebo softvér, ktorý generuje protokoly, systém, ktorý ich ukladá, a softvér, ktorý podáva správy a analyzuje ne. Používanie technológie Syslog uľahčuje správu protokolov. A Syslog nie je exkluzívny Unix. Mnoho zariadení, ktoré nie sú Unix, ako sú prepínače, smerovače a najrôznejšie zariadenia od mnohých výrobcov, používa variant protokolu syslog.

Existujú aj ďalšie protokolovacie technológie. Napríklad systém Microsoft Windows používa iný systém protokolovania. Môže to súvisieť s tým, že operačné systémy a aplikácie Windows obsahujú protokoly, ktoré zvyčajne obsahujú podrobnejšie informácie, ako povoľuje technológia Syslog. Našťastie funkcie Windows Event Collector poskytujú prostriedky na správu protokolov, ktoré môžu rôzne systémy použiť na príjem udalostí od hostiteľov Windows. Tento príspevok sa týka správy protokolov systému Linux, takže nestrácajte príliš veľa času v systéme Windows.

Bez ohľadu na to, aká technológia protokolovania sa používa, dôležitou súčasťou správy protokolov je konfigurácia zariadení na odosielanie protokolov do systému riadenia. Iné typy nástrojov, napr sieťové monitorovacie systémy dokáže načítať údaje zo systémov, ktoré monitorujú, ale so správou protokolov musí byť každému zariadeniu oznámené, kam má posielať svoje protokoly. Je to však relatívne jednoduchá úloha, ktorá sa často dosiahne vydaním jednoduchého príkazu.

ĎALŠIE ČÍTANIE:Najlepšie softvér pre mapovanie a topológiu sieťových diagramov

Protokolové servery alebo správa protokolov?

Keďže je Syslog už nejaký čas k dispozícii v každom systéme podobnom Unixu - vrátane Linuxu - často sa používa ako protokolový server, pričom jeden počítač prijíma údaje Syslog od niekoľkých ďalších. Aj keď má toto centralizované ukladanie protokolov určité výhody, nestačí sa nazývať správa protokolov.

Aby si produkt zaslúžil názov systému správy protokolov, produkt musí obsahovať aspoň niektoré z pokročilejších funkcií. Podľa Wikipédie „správa protokolov pozostáva z nasledujúcich funkcií: zhromažďovanie protokolov, centralizované agregácia protokolov, dlhodobé ukladanie a uchovávanie protokolov, striedanie protokolov, analýza protokolov, vyhľadávanie protokolov a vykazovanie “. Wow! To je veľa funkcií. Protokolové servery na druhej strane často ponúkajú zber a ukladanie protokolov iba zriedka a viac.

Slovo (alebo dve) o spoločnosti SIEM

Ďalšou populárnou technológiou, ktorá je spojená s protokolmi a často zamieňaná so systémami správy protokolov, sú bezpečnostné informácie a správa udalostí alebo SIEM. Toto sa líši od správy protokolov, ale úzko súvisí. Táto linka je medzi nimi taká tenká, že niektoré produkty inzerované ako systémy na správu protokolov sú v skutočnosti systémy SIEM, zatiaľ čo niektoré základné systémy SIEM nie sú ničím iným než pokročilými systémami na správu protokolov.

Zmätok vyplýva zo skutočnosti, že správa protokolov - alebo prinajmenšom analýza protokolov - je dôležitou súčasťou systémov SIEM. Rozlišuje systémy SIEM v tom, že vykonávajú analýzu protokolov s konečným cieľom identifikácie bezpečnostných problémov. Budú napríklad hľadať príznaky neúspešných prihlásení, ktoré by mohli byť znamením prezradenia pokus o neoprávnené vniknutie. Tieto systémy neustále skenujú záznamy protokolu hľadať niečo neobvyklé. Zatiaľ čo niektoré systémy SIEM obsahujú rozsiahle funkcie správy protokolov, niektoré používajú externý systém správy protokolov a nie je neobvyklé, že oba systémy bežia bok po boku.

SÚVISIACE ČÍTANIE:Najlepšie IP skenery pre Mac

Najlepšia správa protokolov pre Linux

Dúfajme, že teraz máme spoločnú predstavu o tom, čo je správa protokolov a čo nie. Poďme sa teda pozrieť, čo je k dispozícii pre Linux. Najprv však niečo objasníme. Čo sa týka správy protokolov Linux, máme na mysli systémy správy protokolov, ktoré môžu obsahovať protokoly Linux a ktoré sa budú spúšťať buď na platforme Linux alebo v cloude. Niektoré z našich výberov - najmä cloudové systémy - budú tiež pracovať s protokolmi z iných platforiem.

SolarWinds sa stal menom domácnosti medzi správcami siete. Vyrába niektoré z najlepších nástrojov už takmer 20 rokov, prináša nám skvelé nástroje na monitorovanie šírky pásma a jeden z najlepších analyzátorov a zberateľov NetFlow. Spoločnosť je tiež známa vydávaním niekoľkých bezplatných nástrojov, ktoré riešia niektoré špecifické potreby správcov siete, ako je kalkulačka podsiete alebo server syslog.

• PLÁN ZADARMO: Papierová dráha SolarWinds
• Odkaz na stiahnutie: https://papertrailapp.com/plans

Nie tak dávno, SolarWinds nadobudnutý Papierová stopa, obľúbený systém správy protokolov. Zhromažďuje protokolové súbory z najrôznejších populárnych produktov, ako sú Apache alebo MySQL, ako aj aplikácie Ruby on Rails, rôzne služby hostingu v cloude a iné štandardné protokolové súbory syslog a text. Papierová stopa používatelia môžu potom pomocou webového vyhľadávacieho rozhrania alebo nástrojov príkazového riadku prehľadávať tieto súbory, aby pomohli diagnostikovať rôzne problémy. Papertrail sa tiež integruje s inými produktmi SolarWinds, ako sú Librato a Geckoboard, aby sa dosiahli výsledky grafov.

Papierová stopa je cloudový softvér ako služba (SaaS) ponúkaný spoločnosťou SolarWinds. Byť na báze cloudu znamená, že bude fungovať dobre v prostredí všetkých Linuxov. Platforma je ľahko implementovateľná, použiteľná a zrozumiteľná a dá vám okamžitú viditeľnosť vo všetkých systémoch behom niekoľkých minút. Okrem toho má produkt veľmi efektívny vyhľadávací nástroj, ktorý dokáže prehľadávať uložené aj streamované protokoly. A je to bleskové.

Papierová stopa je k dispozícii v rámci niekoľkých programov vrátane bezplatného plánu. Je však trochu obmedzený a umožňuje mesačne iba 100 MB záznamov. V prvom mesiaci to však umožní 16 GB záznamov, čo je ekvivalentné bezplatnú 30-dňovú skúšobnú verziu. Platené programy začínajú na 7 $ / mesiac pre 1 GB / mesiac záznamov, 1 rok archívu a 1 týždeň indexu. Filtrovanie hluku umožňuje nástroju zachovať údaje tým, že neuloží zbytočné protokoly.

Loggly je ďalšia online služba typu cloud. Predovšetkým konsolidátor protokolov, ponúka tiež funkcie analýzy protokolov. Vďaka tomu, že je založený na cloudu, tento systém nevyžaduje žiadnu inštaláciu a je pripravený na použitie v okamihu prihlásenia. Vaše systémy a zariadenia budú samozrejme musieť byť nakonfigurované tak, aby pravidelne nahrávali svoje štandardné protokolové súbory na server online.

• SKÚŠKA ZADARMO: Loggly plány
• Oficiálny odkaz: https://www.loggly.com

Loggly potom konvertuje prijaté logovacie dáta do štandardného formátu, čo umožňuje analyzátoru spracovať záznamy z rôznych zdroje a umožnenie sledovania a korelácie udalostí vo všetkých systémoch bez ohľadu na ich operačný systém alebo protokolovanie technológie. Zdroje údajov denníka sa neobmedzujú iba na miestne servery. Systém je samozrejme schopný spracovávať protokoly generované online servermi, ako sú Amazon AWS a môže obsahovať správy vytvorené špecifickými aplikáciami, ako sú Docker a Logstash, len aby sme pomenovali a málo.

Loggly služba je k dispozícii v rámci troch rôznych plánov so zvyšujúcimi sa limitmi spracovania údajov a časmi uchovávania. Musíte si vybrať ten správny, aby ste mali dostatok priestoru pre vaše údaje denníka. Nazýva sa plán základnej úrovne Loggly Lite. Použitie je bezplatné. V rámci tohto plánu môžete nahrať 200 MB protokolových údajov za deň a systém uchová každý záznam sedem dní. Nasleduje štandardný plán, ktorý vám poskytuje príspevok na nahrávanie 1 GB za deň a uchováva záznamy po dobu 30 dní. Platené programy vám tiež umožňujú používať viac používateľských účtov. S balíkom Standard môžete mať tri používateľské účty. Nazýva sa najvyšší stupeň Loggly podnik. Počet účtov používateľov, ktoré môžete nastaviť, a ich ceny sa nijako neobmedzujú, závisí od množstva kapacity nahrávania a požadovanej doby uchovávania. Platba za všetky platené programy môže byť mesačná alebo ročná a v štandardnom pláne je k dispozícii bezplatná 14-dňová skúšobná verzia.

3. Splunk

Splunk je komplexný systém správy protokolov pre systémy Linux, Mac OS a Windows - v rámci komunity pre správu systému. Niektorí to považujú nielen za základný systém správy protokolov, ale za plnohodnotný systém prevencie prienikov. Produkt je k dispozícii v troch verziách. Na vrchu je Splunk Enterprise čo je skôr systém správy siete ako nástroj na správu protokolov. Ceny začínajú na 173 $ mesačne a získate veľa funkcií.

K dispozícii je tiež bezplatná verzia Splunk čo je v podstate ten istý nástroj bez niektorých jeho najpokročilejších funkcií. V podstate je obmedzená na analýzu protokolových súborov. Môžete vložiť ktorýkoľvek z vašich štandardných protokolových súborov alebo poslať živé údaje zo súboru do analyzátora. Bezplatná verzia má niekoľko obmedzení. Môže mať napríklad iba jeden používateľský účet a jeho dátová priepustnosť je obmedzená na 500 MB denníkov. Funkcie triedenia a filtrovania údajov sú zabudované do programu Splunk, čo uľahčuje riešenie problémov. Tieto funkcie môžete použiť na rozdelenie protokolových záznamov podľa dátumu a zapísanie každej skupiny do nových súborov. V skutočnosti je táto funkcia veľmi flexibilná.

4. Server protokolu Nagios

Nagios je najlepšie známy pre svoj vynikajúci softvér na monitorovanie siete, ale jeho Log Server je rovnako zaujímavý. Výrobok sa jednoducho nazýva Server protokolu Nagios a ponúka centralizovanú správu protokolov, monitorovanie a analýzu. Tento nástroj môže výrazne zjednodušiť proces prehľadávania údajov denníka. Umožňuje tiež nastaviť upozornenia na možné hrozby. Softvér má navyše vysokú dostupnosť a zabudované zlyhanie. Sprievodca nastavením zdroja vám okrem toho pomôže rýchlo nakonfigurovať servery tak, aby odosielali všetky údaje denníka a začnú ich protokoly sledovať v priebehu niekoľkých minút.

Server protokolu Nagios umožňuje jednoduchú koreláciu udalostí denníka na všetkých serveroch pomocou niekoľkých kliknutí. Systém vám umožní zobraziť údaje denníka v reálnom čase, čo vám umožní analyzovať a riešiť problémy, keď sa vyskytnú. Produkt sa vyznačuje pôsobivou škálovateľnosťou a bude naďalej vyhovovať vašim potrebám s rastom vašej organizácie. dodatočný Server protokolu Nagios inštancie môžu byť pridané do monitorovacieho klastra, čo vám umožní rýchlo pridať viac energie, rýchlosti, úložiska a spoľahlivosti.

Jednostranná cena za internet Server protokolu Nagios je 3 995 USD a hoci sa zdá, že bezplatná skúšobná verzia nie je k dispozícii, bezplatné demo online je, ak by ste radšej mali produkt skontrolovať z prvej ruky.

5. Graylog

Ďalej na našom zozname je produkt s názvom Graylog. Produkt ponúka veľa zaujímavých funkcií. Nástroj analyzuje a obohacuje protokoly a údaje o udalostiach z ľubovoľného zdroja údajov. Jeho spracovateľské potrubia umožňujú určitú flexibilitu pri smerovaní, čiernej listine, úprave a obohacovaní správ v reálnom čase. Graylog bude prehľadávať terabajty údajov denníka s cieľom zistiť a analyzovať dôležité informácie. Výkonná syntax vyhľadávania umožňuje nájsť presne to, čo hľadáte.

s Graylog, môžete vytvoriť dashboardy na vizualizáciu metrík a pozorovanie trendov na jednom centrálnom mieste. Môžete použiť štatistiku polí, rýchle hodnoty a grafy zo stránky s výsledkami vyhľadávania na hlbšiu analýzu údajov. Systém má tiež možnosť spúšťať akcie alebo vydávať oznámenia o udalostiach, ako sú neúspešné pokusy o prihlásenie, výnimky alebo zníženie výkonu.

Graylog je bezplatný systém založený na protokolových súboroch s otvoreným zdrojovým kódom, ktorý vám môže poskytnúť omnoho viac funkcií ako len nástroj na archiváciu protokolov. Tento analyzátor protokolov má grafické užívateľské rozhranie a môže bežať na Ubuntu, Debiane, CentOS a SUSE Linux. Môžete ho tiež spustiť na virtuálnom počítači v systéme Microsoft Windows a môžete nainštalovať systém Graylog na Amazon AWS.

6. SpravovaťEngine EventLog Analyzer

ManageEngine, ďalšie bežné meno medzi správcami siete, robí vynikajúci systém správy protokolov nazývaný SpravovaťEngine EventLog Analyzer. Produkt bude zhromažďovať, spravovať, analyzovať, korelovať a prehľadávať údaje denníka z viac ako 700 zdrojov pomocou kombinácie zberu denníkov bez agentov a agentov, ako aj import protokolu.

Rýchlosť je jedným z SpravovaťEngine EventLog AnalyzerSila. Dokáže spracovávať údaje denníka s pôsobivou rýchlosťou 25 000 záznamov za sekundu a detekovať útoky v reálnom čase. Môže tiež vykonávať rýchlu forenznú analýzu na zníženie dopadu porušenia. Možnosti auditu systému sa rozširujú na protokoly obvodových zariadení siete, aktivity používateľov, zmeny účtov servera, prístupy používateľov a ďalšie, čo vám pomáha splniť potreby auditu zabezpečenia.

SpravovaťEngine EventLog Analyzer je k dispozícii v bezplatnej edícii so zníženou funkciou, ktorá podporuje iba 5 zdrojov denníka alebo v prémiovej edícii, ktorá začína na 595 USD a líši sa podľa počtu zariadení a aplikácií. K dispozícii je aj bezplatná 30-dňová skúšobná verzia s plným výkonom.