Najlepšie postupy a systémy správy protokolov

Správa protokolov môže byť komplexným úsilím. Typická organizácia ich nielenže generuje, ale pochádzajú z rôznych zdrojov, z ktorých každý má iný formát a obsahuje odlišné informácie. Aby bolo možné zdanie poriadku urobiť niečo, čo sa môže rýchlo dostať chaoticky, bola vynájdená správa záznamov. Dnes sa zaoberáme osvedčenými postupmi a systémami správy protokolov. Dúfame, že vám to pomôže jasne vidieť.

Začneme krátkym popisom správy protokolov. Potom sa ponoríme do najlepších postupov správy protokolov. Preskúmame, či by ste mali použiť hotový systém alebo urobiť sami. Taktiež sa pozrieme na to, čo - a čo nie - monitorovať, nasledovať bezpečnosť a uchovávanie protokolov, ako aj úvahy o úložisku. A predtým, ako preskúmame niektoré z najlepších systémov správy protokolov, sa pozrieme na rôzne správy úlohy, kontrola a údržba protokolov, korelácia zdrojov údajov a určitá automatizácia úvahy.

O správe protokolov

Jednoducho definované, denník je automaticky vytvorená a časovo označená dokumentácia udalosti relevantnej pre konkrétny systém. Keď dôjde k udalosti v systéme, vygeneruje sa denník alebo záznam protokolu. Rôzne systémy vygenerujú protokoly pre rôzne udalosti. Pokiaľ ide o správu protokolov, vo všeobecnosti sa týka procesov a politík používaných na správu a uľahčenie generovania, prenosu, analýzy a ukladania údajov denníka. Správa protokolov zvyčajne znamená centralizovaný systém, v ktorom sa zhromažďujú protokoly z viacerých zdrojov.

Správa protokolov však nie je iba zhromažďovaním protokolov. Ako už názov napovedá, časť riadenia je dôležitá. Akonáhle sú protokoly prijaté systémom správy protokolov, sú „preložené“ do spoločného formátu. Je potrebné, aby rôzne systémy formátovali protokoly odlišne a do svojich protokolov zahrnuli rôzne údaje. Aby sa uľahčilo vyhľadávanie a korelácia udalostí, jedným z cieľov systémov správy protokolov je zabezpečiť, aby všetky zhromaždené záznamy protokolu boli uložené v jednotnom formáte.

Keď už hovoríme o vyhľadávaní a dokonca o korelácii, je to ďalšia hlavná vlastnosť väčšiny systémov správy protokolov. Najlepšie systémy správy protokolov sú vybavené výkonným vyhľadávačom. Umožní správcom prihlásiť sa presne k tomu, čo je potrebné. Okrem toho korelácia udalostí automaticky zoskupí súvisiace udalosti, aj keď sú z rôznych zdrojov.

Najlepšie postupy správy protokolov

Správa protokolov je zložitý proces, s tým nie je toho veľa. S touto komplexnosťou prichádza riziko nesprávneho konania. Aby sme tomu zabránili, zostavili sme zoznam niektorých najlepších postupov správy protokolov. Naším cieľom je poskytnúť vám čo najviac informácií, aby ste si mohli vybrať najlepší systém správy protokolov pre vaše potreby, a čo je dôležitejšie, čo najviac z toho vyťažiť.

Log Management System alebo DIY?

Z nejakého dôvodu si niektorí ľudia myslia, že môžu manuálne implementovať „systém správy protokolov“. Ak patríte medzi týchto ľudí, prestaňte si robiť srandu. Aj keď je možné implementovať nejakú formu pri manuálnom spravovaní protokolov potrebné úsilie ďaleko prevyšuje to, čo je potrebné na implementáciu skutočného systému správy protokolov. A keď je k dispozícii niekoľko bezplatných a otvorených nástrojov, argument nákladov nie je platný.

Takmer vždy má zmysel používať spravované riešenie protokolovania, ktoré je zostavené, podporované a škálované serióznym dodávateľom, a nie samotný systém. S nimi všetko, čo musíte urobiť, je pripojiť svoje zdroje a ciele a ste pripravení jednoduchým spôsobom analyzovať systémové a aplikačné denníky. Budete mať radšej viac času na monitorovanie a protokolovanie, než na budovanie svojej protokolovacej infraštruktúry.

Vedieť, čo monitorovať (a čo nie)

Vedieť, čo sa prihlásiť, je dôležité, ale je ešte dôležitejšie vedieť, čo sa nemá protokolovať. Len preto, že sa môžete prihlásiť, nemusí to nevyhnutne znamenať, že by ste mali. Protokolovanie príliš často nerobí nič viac, než sťažuje vyhľadávanie údajov, na ktorých skutočne záleží. Okrem toho ďalší objem protokolov zvyšuje zložitosť a náklady na procesy ukladania a správy protokolov. Pred implementáciou platformy na správu protokolov je dôležité premýšľať o tom, čo sa bude a nebude zaznamenané. Zabráni sa tým nákladným chybám a umožní vám lepšiu veľkosť nástroja.

Dôkladne zvážte, čo sa skutočne potrebujete prihlásiť. Produkčné prostredia, ktoré sú kritické z hľadiska zhody alebo na účely auditu, by sa s najväčšou pravdepodobnosťou mali zaznamenávať. Mali by sa uplatňovať aj údaje, ktoré vám pomôžu vyriešiť problémy s výkonom, vyriešiť problémy s používateľskými skúsenosťami alebo monitorovať udalosti súvisiace s bezpečnosťou.

Naopak, existujú veci, ktoré sa nemusíte prihlasovať, napríklad testovacie prostredia, ktoré nie sú podstatnou súčasťou vašich obchodných procesov. K dispozícii sú tiež údaje, ktoré sa rozhodnete neprihlásiť z dôvodu súladu alebo zabezpečenia. Napríklad, ak používateľ povolil nastavenie bez sledovania, nemali by ste protokolovať údaje spojené s týmto používateľom.

Implementácia politiky bezpečnosti a uchovávania denníkov

Denníky môžu obsahovať citlivé údaje. Z tohto dôvodu musíte mať bezpečnostnú politiku denníka. Bude to neoceniteľné napríklad pri zabezpečení anonymizácie alebo šifrovania citlivých údajov. Bezpečný prenos údajov denníka do systémov správy protokolov tiež vyžaduje použitie šifrovaného prenosu pomocou protokolu TLS alebo HTTPS na strane klienta a na strane servera.

Čo sa týka politiky uchovávania, protokoly z rôznych zdrojov alebo systémov môžu vyžadovať rôzne doby uchovávania. Napríklad denníky, ktoré sa primárne používajú na riešenie problémov, môžu pracovať s relatívne krátkymi časmi uchovávania, napríklad niekoľko dní - alebo dokonca niekoľko hodín. Na druhej strane denníky súvisiace s bezpečnosťou alebo denníky obchodných transakcií vyžadujú dlhšiu dobu uchovávania, často z dôvodu dodržiavania predpisov. Vzhľadom na to by vaše zásady uchovávania údajov mali byť flexibilné a prispôsobiteľné v závislosti od zdroja denníka alebo typu denníka.

Úvahy o ukladaní denníkov

Udržiavanie údajov denníka spotrebuje cenné úložné miesto. Pri plánovaní úložnej kapacity protokolov je potrebné vziať do úvahy špičkové zaťaženia. Vo väčšine prípadov je množstvo denníkov údajov relatívne konštantné. Závisí to hlavne od využívania systému a / alebo od počtu transakcií za deň. Ak sa však niečo pokazí, môžete očakávať zrýchlený rast objemu denníka. Ak vaše úložisko denníka obsahuje obmedzenia, ktoré prekročíte, môžete stratiť najnovšie denníky. Na zmiernenie tohto účinku najlepšie systémy riadenia protokolov používajú cyklickú vyrovnávaciu pamäť. Odstráni najstaršie údaje najskôr pred uplatnením limitu úložiska.

Úložisko denníka by malo mať aj svoju vlastnú bezpečnostnú politiku. Väčšina útočníkov sa pokúsi vyhnúť alebo odstrániť ich stopy v protokolových súboroch. Aby ste tomu zabránili, mali by ste denníky odosielať v reálnom čase do centrálneho úložiska protokolov - najlepšie mimo pracoviska - a zabezpečovať ich. Ak teda má útočník prístup k vašej infraštruktúre, protokoly mimo lokality uchovajú dôkazy neporušené.

Kontrola a údržba protokolov

Údržba protokolov je dôležitou súčasťou správy protokolov, ak nie najdôležitejšou súčasťou. Neudržiavané denníky môžu viesť k dlhšiemu riešeniu problémov, rizikám vystavenia údajom a vyšším nákladom na ukladanie denníkov. Skontrolujte protokoly generované vašimi systémami a upravte úroveň protokolovania podľa vašich potrieb. Mali by ste zvážiť aspekty použiteľnosti, prevádzky a bezpečnosti.

Nastaviť konfigurovateľnú úroveň denníka

Niektoré systémové denníky sú príliš podrobné, zatiaľ čo iné neposkytujú dostatok informácií. Bohužiaľ s tým nie je vždy niečo, čo by ste mohli urobiť. Väčšina systémov poskytuje nastaviteľné úrovne protokolov. Sú kľúčom k konfigurácii výrečnosti protokolov a zabezpečujú, aby to, čo sa musí protokolovať, bolo a nie je dôležité.

Kontrolujte denníky auditu často

Konanie v otázkach bezpečnosti je rozhodujúce. To je dôvod, prečo by človek mal vždy dávať pozor na záznamy. Ak váš systém správy protokolov túto funkciu nemá - mnohé z nich tak používajú, použite externé bezpečnostné nástroje, ako napríklad auditd alebo OSSEC. Implementujú analýzu protokolov v reálnom čase a generujú výstražné protokoly poukazujúce na potenciálne bezpečnostné problémy. Okrem toho by ste mali definovať upozornenia na kritické udalosti, aby ste boli rýchlo informovaní o akejkoľvek podozrivej aktivite.

Korelujte zdroje údajov

Protokolovanie je iba jedným z prvkov globálnej monitorovacej stratégie. Na skutočne efektívne monitorovanie je potrebné doplniť správu protokolov o ďalšie typy monitorovania, ako je napríklad monitorovanie založené na udalostiach, upozorneniach a sledovaní. Toto je najlepší spôsob, ako získať celkový obraz o dianí v akomkoľvek čase. Kým protokoly sú dobré na poskytnutie podrobných informácií o problémoch s vysokým rozlíšením, je to najužitočnejšie, keď si pred priblížením do stromov všimnete les.

Správa protokolov v zásobníku nefunguje dobre. Nič neurobí. Rozhodne by ste ju mali doplniť o ďalšie typy monitorovania, ako je napríklad monitorovanie siete, monitorovanie infraštruktúry a ďalšie. A v ideálnom svete by vaše monitorovacie riešenie malo byť dostatočne komplexné, aby poskytovalo všetky vaše monitorovacie informácie na jednom mieste. Alternatívne by sa mohla integrovať s inými nástrojmi, ktoré poskytujú tieto informácie. Cieľom je mať, pokiaľ je to možné, jedno-panelové zobrazenie celého prostredia.

Správa protokolov a automatizácia

Správa protokolov vám môže pomôcť včas zachytiť problémy a ušetriť tak vám a vášmu tímu drahocenný čas a energiu. Môže vám tiež pomôcť nájsť príležitosti na automatizáciu. Väčšina nástrojov na správu protokolov vám umožní nastaviť vlastné upozornenia, ktoré sa spustia, keď sa niečo stane. Niektoré vám dokonca umožnia nastaviť automatické akcie, ktoré sa majú spustiť pri spustení týchto upozornení. Mali by ste používať toľko automatizácie, koľko vám umožní váš nástroj na správu. Napriek času, ktorý strávite nastavením tejto automatizácie, zistíte, že sa vám vyplatilo pri prvom stretnutí s incidentom.

Top 6 nástrojov na správu protokolov

Skúmali sme, ako sa trh snaží nájsť najlepší nástroj na správu protokolov. Pokúsili sme sa zostaviť zoznam, ktorý obsahuje rôzne typy nástrojov. Koniec koncov, potreby každého sú iné a najlepší nástroj pre každého nemusí byť tým najlepším pre niekoho iného.

SolarWinds je všeobecný názov v oblasti nástrojov na správu siete. Bola už asi dve desaťročia a priniesla nám niektoré z najlepších nástrojov na monitorovanie šírky pásma a analyzátory a zberače NetFlow. Spoločnosť je tiež známa vydávaním niekoľkých bezplatných nástrojov, ktoré riešia niektoré špecifické potreby správcov siete, ako je kalkulačka podsiete alebo server syslog.

Pokiaľ ide o správu protokolov, ponuka spoločnosti sa teraz nazýva SolarWinds Security Event Manager. Nedávno bola premenovaná z Správca protokolov a udalostí, pravdepodobne lepšie odrážať skutočnosť, že v skutočnosti ide o oveľa viac, než len o systém správy protokolov. Mnohé z jeho pokročilých funkcií ho zaraďujú do radu bezpečnostných informácií a správy udalostí (SIEM). Má napríklad koreláciu udalostí v reálnom čase a nápravu v reálnom čase, dve funkcie podobné SIEM.

• SKÚŠKA ZADARMO: SolarWinds Security Event Manager
• Odkaz na stiahnutie: https://www.solarwinds.com/security-event-manager/registration

Pozrime sa na niektoré z SolarWinds Security Event ManagerHlavné funkcie. Tento nástroj dokáže rýchlo odstrániť hrozby pomocou okamžitého zistenia podozrivej činnosti a automatických reakcií. Môže tiež vykonávať vyšetrovanie bezpečnostných udalostí a forenznú analýzu na zmiernenie a dodržiavanie predpisov. A keď už hovoríme o zhode, produkt vám to umožní demonštrovať, okrem iného vďaka auditom overeným výkazom pre HIPAA, PCI DSS a SOX. Tento nástroj má tiež monitorovanie integrity súborov a monitorovanie zariadení USB, čo sú dve funkcie, ktoré sú nad rámec toho, čo bežne vidíme v systémoch správy protokolov.

Ceny za internet SolarWinds Security Event Manager začnite na 4 585 $ až pre 30 monitorovaných uzlov. Licencie až pre 2500 uzlov je možné zakúpiť, vďaka čomu je produkt vysoko škálovateľný. A ak chcete overiť, či je produkt pre vás ten pravý, bezplatná, plnohodnotná 30-dňová skúšobná verzia je k dispozícii.

Po druhé, máme ďalší skvelý produkt s názvom Papierová stopa, nedávna akvizícia spoločnosťou SolarWinds. Papierová stopa je populárny systém správy protokolov v cloude. Zhromažďuje protokolové súbory z najrôznejších populárnych produktov, ako sú Apache alebo MySQL, ako aj aplikácie Ruby on Rails, rôzne služby hostingu v cloude a iné štandardné textové protokolové súbory. Papierová stopa používatelia môžu potom pomocou webového vyhľadávacieho rozhrania alebo nástrojov príkazového riadku prehľadávať tieto súbory, aby pomohli diagnostikovať chyby a problémy s výkonom. Tento nástroj sa tiež integruje s ostatnými SolarWinds výrobky ako Librato a Geckoboard pre výsledky grafu.

• DOSTUPNÝ PLÁN ZADARMO: Papertrail SolarWinds
• Odkaz na stiahnutie: https://papertrailapp.com/plans

Papierová stopa je cloudový softvér ako služba (SaaS) ponúkaná od SolarWinds. Implementácia, používanie a porozumenie je ľahké. A to vám poskytne okamžitú viditeľnosť vo všetkých systémoch v priebehu niekoľkých minút. Tento nástroj má veľmi efektívny vyhľadávací nástroj, ktorý dokáže prehľadávať uložené aj streamované protokoly. A je to bleskové.

Papierová stopa je k dispozícii v rámci niekoľkých programov vrátane bezplatného plánu. Je však trochu obmedzený a umožňuje mesačne iba 100 MB záznamov. Bude to však povoliť 16 GB denníkov v prvom mesiaci, čo je ekvivalentné bezplatnej 30-dňovej skúšobnej verzii. Platené programy začínajú na 7 $ / mesiac pre 1 GB / mesiac záznamov, 1 rok archívu a 1 týždeň indexu. Filtrovanie hluku umožňuje nástroju zachovať údaje tým, že neuloží zbytočné protokoly.

3. SpravovaťEngine EventLog Analyzer

ManageEngine, ďalšie bežné meno so správcami siete, robí vynikajúci systém správy protokolov nazývaný SpravovaťEngine EventLog Analyzer. Produkt bude zhromažďovať, spravovať, analyzovať, korelovať a prehľadávať údaje denníka z viac ako 700 zdrojov pomocou kombinácie zberu denníkov bez agentov a agentov, ako aj import protokolu.

Rýchlosť je jedným z SpravovaťEngine EventLog AnalyzerSila. Dokáže spracovávať údaje denníka s pôsobivou rýchlosťou 25 000 záznamov za sekundu a detekovať útoky v reálnom čase. Môže tiež vykonávať rýchlu forenznú analýzu na zníženie dopadu porušenia. Možnosti auditu systému sa rozširujú na protokoly obvodových zariadení siete, aktivity používateľov, zmeny účtov servera, prístupy používateľov a ďalšie, čo vám pomáha splniť potreby auditu zabezpečenia.

SpravovaťEngine EventLog Analyzer je k dispozícii v bezplatnej edícii so zníženou funkciou, ktorá podporuje iba 5 zdrojov denníka alebo v prémiovej edícii, ktorá začína na 595 USD a líši sa podľa počtu zariadení a aplikácií. K dispozícii je aj bezplatná 30-dňová skúšobná verzia s plným výkonom.

4. Sada na správu protokolov Ipswitch

Správa protokolov je produkt z Ipswitch, rovnaká spoločnosť, ktorá nás priviedla WhatsUp Gold, nesmierne populárny nástroj na monitorovanie siete. Toto je automatizovaný nástroj, ktorý zhromažďuje, ukladá, archivuje a ukladá systémové denníky, udalosti systému Windows a denníky W3C / IIC. Jeho nepretržitý dohľad nad logom vás navyše upozorní na akékoľvek podozrivé aktivity.

Je možné sledovať často kontrolované udalosti, ako sú prístupové práva a oprávnenia na súbory, priečinky a objekty, generovanie výstrah podľa potreby a používaných na vytváranie správ o zhode pre HIPAA, SOX, FISMA, PCI, MiFID alebo Basel II compliance. Tento nástroj vám tiež môže pomôcť transformovať vaše prvotné údaje denníka na zmysluplné údaje pre manažérov alebo tímy IT bezpečnosti vďaka automatizovanému filtrovaniu, korelácii, vykazovaniu a konverzii funkcií.

Informácie o cenách pre internet Správa protokolov nie je ľahko dostupný z Ipswitch. Produkt je možné zakúpiť buď priamo od vydavateľa, alebo prostredníctvom IpswitchSieť predajcov. K dispozícii je aj bezplatná skúšobná verzia.

5. Správca protokolov výstrah

Logika varovaniaPrimárne sa zameriava na bezpečnosť a dodržiavanie predpisov. A keďže správa protokolov úzko súvisí s oboma, nie je divu, že spoločnosť ponúka Správca protokolov výstrah. Tento cloudový nástroj ponúka automatizovanú a jednotnú správu protokolov vo všetkých prostrediach. Bude zhromažďovať, agregovať a prehľadávať údaje denníka z cloudu, servera, aplikácií, zabezpečenia a sieťových prostriedkov.

Správca protokolov výstrah zahŕňa monitorovanie a analýzu protokolov, ako aj kontrolu protokolov, ktorá sa vykonáva naživo pomocou ľudských analyzátorov. Logika varovaniaExperti vás upozornia na možnú hrozbu 365 dní v roku. Táto služba tiež pomôže splniť požiadavky na preskúmanie protokolov SOC 2, HIPAA a SOX a zbaví záťaž pri kontrole protokolov a sledovaní udalostí, aby vyhovovala požiadavkám PCI / DSS 10.6, 10.6.1, 10.6.3.

Informácie o cenách pre internet Správca protokolov výstrah nie je ľahko dostupný z webu a budete sa musieť obrátiť Logika varovania predaj získať formálnu cenovú ponuku. K dispozícii nie je bezplatná skúšobná verzia, ale bezplatné demo je možné dohodnúť kontaktovaním Logika varovania.

6. Server protokolu Nagios

Možno už viete Nagios ako vynikajúci balík na monitorovanie siete. Produkt bol ponúkaný ako slobodný a otvorený zdroj, ako aj v komerčnej verzii, má dobrú povesť. Pre správu denníkov Nagios‘Ponuka sa nazýva Server protokolu Nagios. Je to kompletný balík s centralizovanou správou protokolov, monitorovaním a analýzou. Tento nástroj môže zjednodušiť proces prehľadávania údajov denníka. Umožňuje tiež nastaviť upozornenia na možné hrozby. Softvér má navyše vysokú dostupnosť a zabudované zlyhanie. Jeho pomocníci s jednoduchým nastavením zdroja vám môžu pomôcť s konfiguráciou serverov a iných zariadení na odosielanie ich protokolových údajov na platformu, čo vám umožní začať sledovať protokoly behom niekoľkých minút.

Server protokolu Nagios poskytuje jednoduchú koreláciu udalostí protokolov vo všetkých zdrojoch protokolovania pomocou niekoľkých kliknutí. Systém vám umožní prezerať údaje denníka v reálnom čase a umožňuje analyzovať a riešiť problémy v reálnom čase tak, ako sa vyskytnú. Ďalšou silnou stránkou produktu je jeho pôsobivá škálovateľnosť. Tento nástroj neustále uspokojuje vaše potreby s rastom vašej organizácie. V prípade potreby ďalšie Server protokolu Nagios inštancie môžu byť pridané do monitorovacieho klastra, čo vám umožní rýchlo pridať viac energie, rýchlosti, úložiska a spoľahlivosti.

Pri všetkých týchto funkciách by sa dalo očakávať silné cenové označenie. Nie je to tak a cena jednostrannej ceny za internet Server protokolu Nagios je veľmi rozumný 3 995 dolárov. Napriek tomu, že nemáte k dispozícii bezplatnú skúšobnú verziu, je vám k dispozícii bezplatná ukážka online, ak by ste pred uskutočnením rozhodnutia o kúpe chceli produkt skontrolovať z prvej ruky.