8 Najlepší softvér na správu protokolov pre rýchlejšie riešenie problémov

Dnešné systémy generujú veľa protokolovacích údajov. Na mnohých platformách je niekde zaznamenaná každá jednotlivá udalosť, dôležitá alebo nie. Protokoly sa zvyčajne ukladajú lokálne. To dáva zmysel, pretože protokoly sú spojené s ich zdrojom. Keď sa však snažíme riešiť problémy a nájsť ich hlavnú príčinu, často to znamená, že sa musíme pozrieť na viac protokolových súborov na mnohých zariadeniach. Nebolo by pekné, keby boli všetky protokoly zo všetkých zariadení uložené na jednom mieste? Správa protokolov je to a ešte oveľa viac, ako sa o tom chystáte dozvedieť. A dnes skúmame najlepšie systémy správy protokolov.

Začneme tým, že sa pokúsime vysvetliť, čo je správa protokolov. Ako vidíte, môže to byť viac než len centralizácia ukladania denníkov. Ďalej sa budeme venovať protokolom protokolovania. Je to dosť dôležité, pretože správa protokolov by bez nich pravdepodobne neexistovala. Potom sa pokúsime odlíšiť servery syslog od systémov na správu protokolov. Žiaľ, medzi nimi neexistuje jasné vymedzenie. Nasledujeme diskusiou o bezpečnostných informáciách a systémoch správy udalostí, pretože toto je ďalšia stránka typ systému, ktorý je často zamieňaný so správou protokolov, a to vďaka trochu nejasnej definícii protokolu každej z nich. Nakoniec preskúmame osem najlepších systémov správy protokolov, ktoré sme našli.

Správa protokolov - čo to je

Skôr ako budeme môcť hovoriť o správe protokolov, pozrime sa, čo je protokol. Jednoducho definované, denník je automaticky vytvorená a časovo označená dokumentácia udalostí relevantných pre konkrétny systém. Kedykoľvek dôjde k udalosti v systéme, vygeneruje sa denník. Rôzne systémy vygenerujú denníky pre rôzne udalosti a mnoho systémov poskytuje správcom určitý stupeň kontroly nad tým, čo generuje denník a čo nie.

Keď hovoríme o správe protokolov, máme na mysli procesy a politiky použité na správu a uľahčovať vytváranie, prenos, analýzu, ukladanie, archiváciu a prípadnú likvidáciu veľkého množstva guľatiny dát. Správa protokolov znamená centralizovaný systém, v ktorom sa zhromažďujú protokoly z viacerých zdrojov.

Správa protokolov však nie je len zhromažďovanie protokolov. Najdôležitejšia je riadiaca časť. Systémy správy protokolov majú zvyčajne viac funkcií, pričom protokoly sú len jednou z nich.

Akonáhle sú protokoly prijaté systémom správy protokolov, je potrebné ich „preložiť“ do spoločného formátu. Rôzne systémy protokoly formátujú odlišne a do svojich protokolov zahŕňajú rôzne údaje. Niektorí začnú denník s dátumom a časom, iní začnú s číslom udalosti. Niektoré obsahujú iba ID denníka, zatiaľ čo iné obsahujú úplný textový popis udalosti. Jedným z účelov systémov správy protokolov je zabezpečiť, aby všetky zhromaždené záznamy protokolu boli uložené v jednotnom formáte. Tým sa zjednoduší vyhľadávanie a korelácia udalostí.

Keď už hovoríme o vyhľadávaní a dokonca o korelácii, je to ďalšia dôležitá funkcia mnohých systémov správy protokolov. Niektoré z nich sú vybavené výkonným vyhľadávacím nástrojom, ktorý správcom umožňuje presne sa zamerať na to, čo potrebujú. Korelačné funkcie automaticky zoskupia súvisiace udalosti, aj keď sú z rôznych zdrojov. Ako - a ako úspešne - to dokážu rôzne systémy správy protokolov, čo je hlavný faktor rozlišovania.

Protokolové protokoly

Správa protokolov by bola oveľa ťažšia, ak je to vôbec možné, keby to nebolo pre protokolovanie protokolov. Existuje niekoľko z nich, ktoré definujú, aké údaje sa majú zahrnúť do denníkov, ako by sa mali formátovať a ako sa majú prenášať medzi systémami.

Syslog je pravdepodobne najpoužívanejší protokolovací protokol. Vymyslený na začiatku osemdesiatych rokov sa stal de facto štandardom pre systémy podobné Unixu. Jedným z najväčších prínosov protokolu syslog je to, ako oddeľuje softvér, ktorý generuje protokoly, systém, ktorý ich ukladá, a softvér, ktorý ich podáva a analyzuje. Použitie protokolu Syslog uľahčuje správu protokolov. Mnoho zariadení iných ako Unix, ako sú prepínače smerovačov a iné sieťové zariadenia od mnohých výrobcov, používa variant protokolu syslog.

Microsoft Windows, ako ste asi uhádli, používa iný systém protokolovania. Môže to súvisieť s tým, že operačné systémy a aplikácie Windows obsahujú protokoly, ktoré zvyčajne obsahujú oveľa viac informácií, ako povoľuje syslog. Našťastie funkcie Windows Event Collector poskytujú prostriedky, ktoré môžu systémy správy protokolov použiť na príjem udalostí od hostiteľov Windows.

Bez ohľadu na to, aký protokol protokolovania sa používa, dôležitou súčasťou správy protokolov je konfigurácia zariadení na odosielanie protokolov do systému riadenia. To sa líši od iných nástrojov, ako sú systémy na monitorovanie siete, kde nástroj načíta údaje z hostiteľov.

Správa protokolov Vs Správa protokolov

Pretože bol dostupný na každom unixovom systéme už nejaký čas, Syslog sa často používa ako log server, keď jeden počítač prijíma údaje syslog od niekoľkých ďalších. Aj keď má toto centralizované ukladanie protokolov určité výhody, nie je to správa protokolov.

Aby si produkt zaslúžil názov systému správy protokolov, produkt musí obsahovať aspoň niektoré z pokročilejších funkcií. Podľa Wikipédie pozostáva správa protokolov z nasledujúcich funkcií: zhromažďovanie protokolov, centralizované agregácia protokolov, dlhodobé ukladanie a uchovávanie protokolov, striedanie protokolov, analýza protokolov, vyhľadávanie protokolov a vykazovanie. Protokolové servery často ponúkajú iba zhromažďovanie a ukladanie protokolov a len zriedka viac. Každý zo systémov na správu protokolov v našom top zozname ponúka aspoň niektoré z pokročilejších funkcií.

A čo systémy SIEM?

Ďalšou populárnou technológiou, ktorá je často spájaná s protokolmi a zamieňaná so systémami správy protokolov, je Bezpečnostné informácie a správa udalostí alebo SIEM. Je to celkom odlišné od správy protokolov, hoci je to úzko spojené. V skutočnosti sú niektoré výrobky inzerované ako systémy na správu protokolov v skutočnosti systémami SIEM, zatiaľ čo niektoré základné systémy SIEM nie sú nič viac ako systémy na správu protokolov.

Hlavným dôvodom tejto zámeny je skutočnosť, že správa protokolov - alebo aspoň analýza protokolov - je dôležitou súčasťou systémov SIEM. Systémy SIEM v skutočnosti spravujú logovanie na ďalšiu úroveň pridaním určitej inteligencie do procesu. Tieto systémy vykonávajú analýzu protokolov s konečným cieľom identifikácie bezpečnostných problémov. Budú napríklad hľadať príznaky neúspešných prihlásení, ktoré by naznačovali neoprávnený pokus o prienik. Tieto systémy automaticky prehľadajú položky denníka a hľadajú niečo neobvyklé.

Systémy SIEM majú viac spoločného s bezpečnosťou IT ako so správou IT a niektoré z nich zahŕňajú rozsiahlu správu protokolov Mnohé môžu používať aj externé systémy na správu protokolov a nie je neobvyklé, keď sa oba systémy nachádzajú vedľa seba side.

Najlepšie softvér pre správu protokolov

Teraz, keď už máme spoločné pochopenie, čo je správa protokolov a čo nie, pozrime sa, čo je k dispozícii. Hľadali sme na trhu niektoré z najlepších systémov správy protokolov. Naše počiatočné zistenie je, že ich je veľa a veľa z nich veľmi dobrých. Máme však iba toľko priestoru, takže sa chystáme prehodnotiť osem najzaujímavejších, ktoré sme našli.

SolarWinds je všeobecný názov v oblasti nástrojov na správu siete. Bolo to už takmer 20 rokov a prinieslo nás jedného z najlepších Monitorovanie šírky pásma nástroje a jeden z najlepších Analyzátory a zberače NetFlow. Spoločnosť je tiež známa vydávaním niekoľkých bezplatných nástrojov, ktoré riešia niektoré špecifické potreby správcov sietí, ako napríklad kalkulačka podsiete alebo a server syslog.

Pred niekoľkými rokmi spoločnosť SolarWinds získala Papierová stopa, obľúbený systém správy protokolov. Zhromažďuje protokolové súbory z najrôznejších populárnych produktov, ako sú Apache alebo MySQL, ako aj aplikácie Ruby on Rails, rôzne služby hostenia cloudu a iné štandardné textové protokolové súbory. Papierová stopa používatelia môžu potom pomocou webového vyhľadávacieho rozhrania alebo nástrojov príkazového riadku prehľadávať tieto súbory, aby pomohli diagnostikovať chyby a problémy s výkonom. Papierová stopa integruje sa aj do ďalších produktov SolarWinds, ako sú Librato a Geckoboard, aby sa dosiahli výsledky grafov.

Papierová stopa je cloudový softvér ako služba (SaaS) ponúkaný spoločnosťou SolarWinds. Implementácia, používanie a porozumenie je ľahké. A to vám poskytne okamžitú viditeľnosť vo všetkých systémoch v priebehu niekoľkých minút. Tento nástroj má veľmi efektívny vyhľadávací nástroj, ktorý dokáže prehľadávať uložené aj streamované protokoly. A je to bleskové.

Papierová stopa je k dispozícii v rámci niekoľkých programov vrátane bezplatného plánu. Je však trochu obmedzený a umožňuje mesačne iba 100 MB záznamov. V prvom mesiaci vám to však umožní 16 GB denníkov, čo je ekvivalentné bezplatnému 30-dňovému skúšaniu. Platené programy začínajú na 7 $ / mesiac pre 1 GB / mesiac záznamov, 1 rok archívu a 1 týždeň indexu. Filtrovanie hluku umožňuje nástroju zachovať údaje tým, že neuloží zbytočné protokoly.

Náš ďalší vstup je ďalší produkt spoločnosti SolarWinds s názvom SolarWinds Správca protokolov a udalostí. Na rozdiel od predchádzajúceho záznamu ide o lokálne nainštalovaný produkt. A je to tiež oveľa viac než len systém správy protokolov. Mnoho pokročilých funkcií tohto produktu ho zaradilo do sortimentu SIEM. Má napríklad koreláciu v reálnom čase a napríklad nápravu v reálnom čase.

Tu je prehľad Správca protokolov a udalostí SolarWindsHlavné funkcie. Eliminuje hrozby rýchlo pomocou okamžitej detekcie podozrivých aktivít a automatických reakcií. Môže tiež vykonávať vyšetrovanie bezpečnostných udalostí a forenznú analýzu na zmiernenie a dodržiavanie predpisov. A keď už hovoríme o zhode, produkt vám to umožní demonštrovať, okrem iného vďaka auditom overeným výkazom pre HIPAA, PCI DSS a SOX. Tento nástroj má tiež monitorovanie integrity súborov a monitorovanie zariadení USB, čo sú dve funkcie, ktoré sú nad úrovňou toho, čo bežne vidíme v systémoch správy protokolov.

Ceny za internet Správca protokolov a udalostí SolarWinds začnite na 4 585 $ až pre 30 monitorovaných uzlov. Licencie až pre 2500 uzlov je možné zakúpiť, vďaka čomu je produkt vysoko škálovateľný. A ak chcete overiť, či je produkt pre vás ten pravý, máte k dispozícii bezplatnú 30-dňovú skúšobnú verziu s plným výkonom.

3. ipswitch Log Management Suite

Správa protokolov je nástroj od spoločnosti Ipswitch, tej istej spoločnosti, ktorá nám priniesla WhatsUp Gold, nesmierne populárny nástroj na monitorovanie siete. Toto je automatizovaný nástroj, ktorý zhromažďuje, ukladá, archivuje a ukladá systémové denníky, udalosti systému Windows a denníky W3C / IIC. Jeho nepretržitý dohľad nad logom vás navyše upozorní na každú podozrivú aktivitu.

Je možné sledovať často kontrolované udalosti, ako sú prístupové práva a oprávnenia na súbory, priečinky a objekty, generovanie výstrah podľa potreby a používaných na vytváranie správ o zhode pre HIPAA, SOX, FISMA, PCI, MiFID alebo Basel II compliance. Tento nástroj vám tiež môže pomôcť transformovať vaše nespracované údaje denníka na zmysluplné údaje pre manažérov alebo tímy IT bezpečnosti, a to vďaka automatizovanému filtrovaniu, korelácii, vykazovaniu a prevádzaniu funkcií.

Informácie o cenách pre internet Správa protokolov nie je ľahko dostupný z Ipswitch. Produkt je možné zakúpiť buď priamo od vydavateľa, alebo prostredníctvom siete predajcu Ipswitch. K dispozícii je aj bezplatná skúšobná verzia.

4. SpravovaťEngine EventLog Analyzer

ManageEngine, ďalší spoločný názov správcu siete, vytvára vynikajúci systém správy protokolov nazývaný SpravovaťEngine EventLog Analyzer. Produkt bude zhromažďovať, spravovať, analyzovať, korelovať a prehľadávať údaje denníka z viac ako 700 zdrojov pomocou kombinácie protokolov alebo agentov a agentov založených na zbieraní protokolov, ako aj import protokolov.

Rýchlosť je jedným z SpravovaťEngine EventLog AnalyzerSila. Dokáže spracovávať údaje denníka s pôsobivou rýchlosťou 25 000 záznamov za sekundu a detekovať útoky v reálnom čase. Môže tiež vykonávať rýchlu forenznú analýzu na zníženie dopadu porušenia. Možnosti auditu systému sa rozširujú na protokoly obvodových zariadení siete, aktivity používateľov, zmeny účtov servera, prístupy používateľov a ďalšie, čo vám pomáha splniť potreby auditu zabezpečenia.

SpravovaťEngine EventLog Analyzer je k dispozícii v bezplatnej edícii so zníženou funkciou, ktorá podporuje iba 5 zdrojov denníka alebo v prémiovej edícii, ktorá začína na 595 USD a líši sa podľa počtu zariadení a aplikácií. K dispozícii je aj bezplatná 30-dňová skúšobná verzia s plným výkonom.

5. Server protokolu Nagios

Nagios je najlepšie známy pre jeho vynikajúce Softvér na monitorovanie siete ale jeho Log Server je pravdepodobne rovnako zaujímavý. Aptly volal Server protokolu Nagios, ponúka centralizovanú správu protokolov, monitorovanie a analýzu. Server protokolu Nagios zjednodušuje proces vyhľadávania údajov denníka. Umožňuje tiež nastaviť upozornenia na možné hrozby. Softvér má okrem toho vysokú dostupnosť a zabudované zlyhanie. Jeho pomocníci s jednoduchým nastavením zdroja vám pomôžu rýchlo nakonfigurovať servery tak, aby odosielali všetky údaje denníka a začnú ich protokoly sledovať v priebehu niekoľkých minút.

Server protokolu Nagios umožňuje jednoducho korelovať udalosti denníka na všetkých serveroch pomocou niekoľkých kliknutí. A umožňuje vám prezerať údaje denníka v reálnom čase, čo vám umožňuje analyzovať a riešiť problémy, keď sa vyskytnú. Produkt sa vyznačuje pôsobivou škálovateľnosťou a bude naďalej vyhovovať vašim potrebám s rastom vašej organizácie. dodatočný Server protokolu Nagios inštancie môžu byť pridané do monitorovacieho klastra, čo vám umožní rýchlo pridať viac energie, rýchlosti, úložiska a spoľahlivosti.

Jednostranná cena za internet Server protokolu Nagios je 3 995 USD a hoci sa zdá, že bezplatná skúšobná verzia nie je k dispozícii, bezplatné demo online je, ak uprednostňujete priamy pohľad na produkt.

6. Správca protokolov výstrah

Hlavným zameraním spoločnosti Alert Logic je bezpečnosť a súlad. A keďže správa protokolov úzko súvisí s oboma, nie je divu, že spoločnosť ponúka Správca protokolov výstrah. Tento cloudový nástroj ponúka automatizovanú a jednotnú správu protokolov vo všetkých prostrediach. Bude zhromažďovať, agregovať a prehľadávať údaje denníka z cloudu, servera, aplikácií, zabezpečenia a sieťových prostriedkov.

Správca protokolov výstrah zahŕňa monitorovanie a analýzu protokolov, ako aj kontrolu protokolov, ktorá sa vykonáva naživo pomocou ľudských analyzátorov. Odborníci spoločnosti Alert Logic vás upozornia na možnú hrozbu 365 dní v roku. Táto služba tiež pomôže splniť požiadavky na preskúmanie protokolov SOC 2, HIPAA a SOX a zbaví záťaž pri kontrole protokolov a sledovaní udalostí, aby vyhovovala požiadavkám PCI / DSS 10.6, 10.6.1, 10.6.3.

Informácie o cenách pre internet Správca protokolov výstrah nie je na webe ľahko dostupný. Ak chcete získať formálnu cenovú ponuku, musíte sa obrátiť na predaj služby Alert Logic. K dispozícii nie je bezplatná skúšobná verzia, ale bezplatné demo si môžete dohodnúť kontaktovaním Alert Logic.

7. LogDNA

Spoločnosť bola založená v roku 2015, LogDNAje nové dieťa v bloku. Spoločnosť tvrdí, že „LogDNA je najrýchlejší, najintuitívnejší a nákladovo najefektívnejší systém správy protokolov “. Všetko to začína inštaláciou, ktorá trvá iba pár minút, než budete môcť začať sledovať svoje denníky. Bez ohľadu na to, ako sa generujú a prenášajú protokoly, sú k dispozícii stovky vlastných integračných schém na centralizáciu protokolov do jedného panela.

LogDNA môžu byť hostované v cloude alebo samostatne, podľa vašich preferencií. Je vysoko škálovateľná a zvláda stovky tisíc protokolov za sekundu a desiatky terabajtov na zákazníka, za deň, s úplnou bezpečnosťou pomocou analýzy protokolov v reálnom čase. Spoločnosť a jej produkty sú certifikované podľa SOC2, PCI a HIPAA, ako aj certifikátu Privacy Shield.

Vďaka svojmu jednoduchému cenovému modelu s platbou za GB, ktorý vylučuje zmluvy a vedrá s pevnými údajmi, má spoločnosť jednu z najnižších celkových nákladov na vlastníctvo. K dispozícii je niekoľko plánov predplatného so zvyšujúcimi sa funkciami. Plán na najnižšej úrovni je bezplatný a platené plány sa pohybujú od 1,50 $ / GB / mesiac do 3 $ / GB / mesiac v závislosti od doby uchovávania a počtu používateľov. K dispozícii je aj bezplatná 14-dňová skúšobná verzia s plným výkonom.

8. Graylog

Posledným na našom zozname je produkt s názvom Graylog. Produkt ponúka veľa zaujímavých funkcií. Nástroj analyzuje a obohacuje protokoly a údaje o udalostiach z ľubovoľného zdroja údajov. Jeho spracovateľské potrubia umožňujú určitú flexibilitu pri smerovaní, čiernej listine, úprave a obohacovaní správ v reálnom čase. Graylog bude prehľadávať terabajty údajov denníka s cieľom zistiť a analyzovať dôležité informácie. Výkonná syntax vyhľadávania umožňuje nájsť presne to, čo hľadáte.

s Graylog, môžete vytvoriť dashboardy na vizualizáciu metrík a pozorovanie trendov na jednom centrálnom mieste. Môžete použiť štatistiku polí, rýchle hodnoty a grafy zo stránky s výsledkami vyhľadávania na hlbšiu analýzu údajov. Systém má tiež možnosť spúšťať akcie alebo vydávať oznámenia o udalostiach, ako sú neúspešné pokusy o prihlásenie, výnimky alebo zníženie výkonu.

Graylog je k dispozícii buď ako bezplatná a open-source verzia s obmedzenými funkciami, ktorá má tiež obmedzenú podporu, alebo ako podniková verzia s rozšírenými funkciami a neobmedzenou podporou. Skúšobnú licenciu môžete získať aj kontaktovaním Graylog predaja.