8 najlepších nástrojov na monitorovanie protokolov a analytický softvér na rok 2020

Súbory protokolu sú prítomné takmer na každom počítačovom systéme alebo sieťovom zariadení. Obsahujú podrobnosti o udalostiach, ktoré sa dejú v každom systéme. Pri riešení rôznych problémov sa môžu ukázať ako neoceniteľné. Môžu odhaliť aj škodlivé činnosti, a preto sa môžu stať užitočným prostriedkom zabezpečenia bezpečnosti. Kto má však čas pozrieť sa na protokolové súbory? Typický správca spravujúci desiatky zariadení, z ktorých niektoré zaznamenávajú niekoľko udalostí každú sekundu, neexistuje spôsob, ako by ich niekto mohol sledovať. Preto boli vynájdené nástroje na monitorovanie protokolov. Konsolidujú všetky protokoly udalostí na jednom mieste a často poskytujú analytické nástroje a služby, ktoré prechádzajú protokolmi a zvyšujú varovania vždy, keď sa zistí niečo neobvyklé. K dispozícii je veľa rôznych nástrojov na monitorovanie protokolov a výber toho najlepšieho sa môže ukázať ako výzva. Aby sme vám pomohli, zostavili sme tento zoznam niektorých najlepších nástrojov na sledovanie protokolov.

Začneme diskusiou skúmaním systémových denníkov, čo sú a ako fungujú. Ďalej budeme hovoriť o protokoloch o monitorovaní. Rovnako ako predtým sa pozrieme na to, čo to znamená a ako sa to robí. Potom vám poskytneme ďalšie podrobnosti o analýze protokolov, pretože to je funkcia, vďaka ktorej sú nástroje na sledovanie protokolov najužitočnejšie. Rovnako ako predtým opíšeme, čo to je a rôzne formy analýzy, ktoré sú k dispozícii. Nakoniec preskúmame niektoré z najlepších nástrojov na monitorovanie protokolov, ktoré sme mohli nájsť, a poviem vám o ich hlavných funkciách.

Systémové záznamy v skratke

V jednej vete je súbor denníka alebo systémový denník súbor, ktorý zaznamenáva udalosti, ktoré sa vyskytujú v operačnom systéme alebo inom softvéri. Protokolovanie je úkon vedenia systémového denníka. V najjednoduchších prípadoch sa správy jednoducho zapíšu do jediného súboru denníka. Zatiaľ čo väčšina systémov primárne používa na zaznamenávanie udalostí textové súbory, niektoré moderné systémy ich používajú na zaznamenávanie pomocou nejakej formy databázy.

Niektoré systémy vám umožňujú definovať požadovanú úroveň protokolovania bez ohľadu na to, ako a kde sa udalosti zaznamenávajú. Platí to najmä pre sieťové vybavenie, kde každá udalosť má úroveň závažnosti a parametre protokolovania môžu byť nastavené tak, aby zaznamenávali iba udalosť s určitou úrovňou závažnosti alebo vyššou. Podobné typy funkcií poskytujú aj iné typy systémov.

O protokoloch monitorovania

Monitorovacie denníky sú proces pozostávajúci z dvoch častí. Prvou - a najdôležitejšou - časťou je zhromažďovanie protokolových údajov z rôznych systémov. To sa dosahuje rôznymi spôsobmi. Niektoré systémy možno nakonfigurovať tak, aby protokoly automaticky odosielali na centralizovaný server prostredníctvom protokolu Syslog. Nástroje na monitorovanie protokolov majú zvyčajne zabudovaný server syslog na priame prijímanie údajov o udalostiach. Iné systémy, napríklad Windows, fungujú odlišne. Existujú rôzne spôsoby získavania protokolových údajov z týchto systémov, ako napríklad používanie Windows Management Instrumentation alebo používanie miestnych agentov bežiacich na hostiteľoch Windows. Bez ohľadu na to, ako sa to robí, každý systém monitorovania protokolov obsahuje požadovanú funkcionalitu na príjem a konsolidáciu protokolových údajov z viacerých zdrojov.

Ďalší krok - analýza protokolov

Druhou úlohou každého užitočného nástroja na monitorovanie protokolov je analýza protokolov. Tu sa nástroje líšia najviac. Niektoré z nich ponúkajú len veľmi základnú analýzu, napríklad spustenie výstrahy, keď počet udalostí na jednotku času dosiahne daný prah. Pokročilejšie nástroje preskúmajú každú udalosť a hľadajú konkrétne náznaky problémov. Napríklad veľký počet neúspešných prihlásení môže byť znakom pokračujúceho pokusu o prienik. Mohli by sme minúť stránky popisujúce rôzne formy protokolovej analýzy, ktoré sú k dispozícii. Namiesto toho vás pozývame, aby ste si prečítali nižšie uvedenú recenziu produktu, kde nájdete podrobnosti o tom, čo každá z nich ponúka.

Najlepšie nástroje na sledovanie protokolov

Ako sme už uviedli, existuje veľa rôznych nástrojov s rôznymi stupňami funkčnosti. Nie každý potrebuje nástroj s rozsiahlou analýzou a vysoko bezpečnými funkciami, preto sme zahrnuli kombináciu nástrojov, ktoré poskytujú rôzne sady funkcií. Niektoré sú jednoduchšie nástroje, zatiaľ čo iné sú zložitejšie. Je na vás, aby ste určili, ktorý nástroj vám najviac vyhovuje. Našťastie sú všetky nástroje v našom zozname k dispozícii bezplatnú skúšobnú verziu, takže vám nič nebráni vyskúšať si niečo, čo by sme veľmi odporúčali.

SolarWinds je bežný názov vo svete monitorovania. Spoločnosť existuje už viac ako 20 rokov a jej vlajkový produkt, nazývaný Monitor výkonu siete, je mnohými považovaný za jeden z najlepších dostupných monitorovacích nástrojov SNMP. A ako by to nestačilo, je spoločnosť SolarWinds známa aj mnohými bezplatnými nástrojmi. Jedná sa o menšie nástroje, z ktorých každý rieši špecifickú potrebu správcov siete. Pokročilá kalkulačka podsiete a server SolarWinds TFTP sú vynikajúcimi príkladmi týchto bezplatných nástrojov.

Pokiaľ ide o Správca protokolov a udalostí SolarWinds (LEM), je to presne to, čo naznačuje jeho názov. Tento nástroj je tak bohatý na funkcie, že ho mnohí považujú za plnohodnotný nástroj na správu bezpečnostných informácií a udalostí. Pokiaľ ide o monitorovanie a správu protokolov, je to pravdepodobne jeden z najzaujímavejších nástrojov na správu protokolov, ktoré môžete nájsť. Má veľmi užitočné funkcie na správu protokolov a korelácie, ako aj pôsobivý mechanizmus podávania správ.

• SKÚŠKA ZADARMO:Správca protokolov a udalostí SolarWinds
• Odkaz na stiahnutie:https://www.solarwinds.com/log-event-manager-software/registration

Správca protokolov a udalostí SolarWinds môžu pomôcť zlepšiť bezpečnosť a dodržiavanie predpisov detekciou podozrivej činnosti a rýchlejšou identifikáciou hrozieb s detekciou podozrivej aktivity v čase. Tento nástroj môžete použiť aj na vyšetrovanie bezpečnostných udalostí a forenznú analýzu na zmiernenie a dodržiavanie predpisov. To je dôvod, prečo mnohí považujú produkt za nástroj SIEM. Tento nástroj navyše pomáha s pripravenosťou na dodržiavanie regulačných predpisov. Môžete ho použiť na preukázanie zhody vďaka auditom overeným výkazom pre HIPAA, PCI DSS, SOX, DISA STIG a ďalšie.

Správca protokolov a udalostí SolarWindsFunkcie reakcie na udalosti nenechávajú nič na želanie. Podrobný systém reakcie v reálnom čase bude aktívne reagovať na každú hrozbu. Byť založený skôr na správaní ako na analýze podpisov znamená, že ste dokonca chránení pred neznámymi alebo budúcimi hrozbami. Ale hlavný panel nástroja je pravdepodobne jeho najlepším prínosom. Vďaka jednoduchému dizajnu nebudete mať žiadne problémy s rýchlou identifikáciou anomálií.

Ceny za Správca protokolov a udalostí SolarWinds je založený na počte monitorovaných uzlov. K dispozícii sú rôzne úrovne licencií od 30 do 2500 uzlov od 4 665 dolárov. A ak si chcete produkt vyskúšať pred nákupom, je k dispozícii bezplatná plne funkčná 30-dňová skúšobná verzia.

Ďalej na našom zozname je ďalší produkt spoločnosti SolarWinds s názvom Správca protokolov pre Orion. Orion, ak nie ste oboznámení s výrobkami SolarWinds, bola pred niekoľkými rokmi najlepšou platformou spoločnosti. Je to stále základná architektúra, na ktorej je postavených veľa najlepších produktov SolarWinds. Ak používate niektorý z Network Performance Monitor, NetFlow Traffic Analyzer, Network Configuration Správca, Virtualization Manager, Server a Application Monitor alebo Storage Resource Monitor, ktorý používate Orion.

• SKÚŠKA ZADARMO:Manažér protokolov SolarWinds pre Orion
• Odkaz na stiahnutie:https://www.solarwinds.com/log-manager-for-orion-software/registration

Manažér protokolov SolarWinds pre Orion pridáva funkcie správy protokolov do ktoréhokoľvek z monitorovacích a riadiacich nástrojov Orion. V súhrne produkt obsahuje výkonnú a intuitívnu agregáciu protokolov, označovanie, filtrovanie a upozorňovanie. Jeho integrácia s produktmi platformy Orion ponúka jednotný pohľad na monitorovanie IT infraštruktúry a pridružené protokoly. Produkt bol vytvorený v spolupráci so sieťovými a systémovými inžiniermi, aby sa zabezpečilo porozumenie ich problémom - a ako ich riešiť.

Napriek integrácii s platformou Orion Správca protokolov môže byť nainštalovaný samostatne a nevyžaduje inštaláciu žiadneho iného nástroja Orion. Ceny začínajú na 1 495 $ a bezplatná 30-dňová skúšobná verzia je k dispozícii, ak chcete produktu otestovať a uvidíte, ako to vyhovuje vašim potrebám.

Ďalej sa volá ďalší produkt spoločnosti SolarWinds Papierová stopa. Tento je veľmi odlišný od predchádzajúcich dvoch, pretože sa jedná o cloudovú softvérovú službu ako služba (SaaS). Výkonný nástroj sa už tešil obľube, keď ho spoločnosť SolarWinds získala pred niekoľkými rokmi. Zhromažďuje protokolové súbory z veľkého množstva produktov, ako sú Apache alebo MySQL, ako aj aplikácie Ruby on Rails, niekoľko služieb hostovania v cloude a iné štandardné textové protokolové súbory.

• Zaregistrujte sa tu: https://papertrailapp.com/plans

Ak chcete pomôcť diagnostikovať chyby a problémy s výkonom, môžete použiť Papierová stopa veľmi efektívny a bleskový rýchly vyhľadávací nástroj, ktorý dokáže prehľadávať uložené aj streamované protokoly. Produkt sa integruje s niekoľkými ďalšími produktmi SolarWinds, ako sú Librato a Geckoboard, pre výsledky grafov. Papierová stopa je ľahko implementovateľná, použiteľná a zrozumiteľná. Poskytne vám okamžitú viditeľnosť vo všetkých systémoch v priebehu niekoľkých minút.

Papierová stopa je k dispozícii v rámci niekoľkých programov vrátane bezplatného plánu. Je to trochu obmedzené a každý mesiac umožňuje iba 50 MB denníkov. V prvom mesiaci vám však umožní 16 GB denníkov, čo je ekvivalentné bezplatnému a neobmedzenému 30dennému skúšaniu. Platené programy začínajú na 7 $ / mesiac pre 1 GB / mesiac záznamov, 1 rok archívu a 1 týždeň indexu. Najobľúbenejší je plán $ 75 / mesiac s 8 GB záznamov. Filtrovanie hluku umožňuje nástroju zachovať údaje tým, že neuloží zbytočné protokoly.

4. Monitor siete PRTG

Monitor siete PRTG od Paessler AG je integrovaný monitorovací systém typu všetko v jednom, ktorý sa dá vďaka inteligentnej architektúre založenej na senzoroch monitorovať takmer čokoľvek. Jednou z najlepších funkcií tohto produktu pre podniky je určite rýchlosť nastavovania. Podľa Paesslera Monitor siete PRTG môže byť nastavený za pár minút. Aj keď to nemusí byť tak rýchle pre každého, je to stále jeden z najjednoduchších a najrýchlejších monitorovacích nástrojov, ktoré sa dajú nastaviť, čiastočne vďaka procesu automatického zisťovania.

Monitor siete PRTG je produkt bohatý na funkcie. V zásade je to predovšetkým nástroj na monitorovanie siete, ktorý využíva SNMP na zisťovanie stavu zariadení a zobrazovanie ich využitia v chronologických grafoch. Použitím ďalších senzorov však môže PRTG monitorovať takmer všetko. Senzory sú trochu podobné doplnkom, s výnimkou toho, že sú súčasťou produktu. K dispozícii sú aj senzory pre rôzne servery, služby a aplikácie. Vo všetkých produkt obsahuje viac ako 200 senzorov.

Na monitorovanie a správu protokolov sú k dispozícii dva rôzne senzory. Protokol udalostí Windows API senzor zachytáva všetky protokolové správy, ktoré generuje systém Windows. Tento senzor monitoruje rýchlosť protokolových správ, a nie ich obsah, a vygeneruje alarm, ak rýchlosť protokolov udalostí dosiahne kritickú prahovú hodnotu.

Ďalším zaujímavým senzorom je Prijímač Syslog senzor, prijíma, monitoruje a ukladá správy syslog z ľubovoľného zariadenia. Nebude to však len súhrnné denníky z rôznych zdrojov. Jeho monitorovacia funkcia spustí alarmy vždy, keď sa objavia znepokojujúce podmienky, ako napríklad zvýšenie rýchlosti príjmu protokolov.

Monitor siete PRTG je k dispozícii v dvoch verziách. Bezplatná verzia je plne vybavená, ale obmedzí to vašu monitorovaciu schopnosť na 100 senzorov. Pri použití protokolu SNMP sa každý sledovaný parameter počíta ako jeden snímač. Napríklad, ak monitorujete dve rozhrania na smerovači, bude sa počítať ako dva senzory. Každá inštancia špecifického monitorovacieho senzora sa tiež počíta ako jedna. Ak potrebujete viac ako 100 senzorov, musíte si kúpiť licenciu, ktorá začína na 1 600 USD za 500 senzorov. K dispozícii je bezplatná 30-dňová skúšobná verzia s neobmedzeným senzorom a plná funkčnosť.

5. SpravovaťEngine EventLog Analyzer

ManageEngine je ďalší známy výrobca nástrojov na správu siete medzi odborníkmi v oblasti IT. Spoločnosť ponúka systém na správu protokolov s názvom SpravovaťEngine EventLog Analyzer. Produkt zhromažďuje, spravuje, analyzuje, koreluje a prehľadáva logovacie údaje z viac ako 700 zdrojov pomocou kombinácie protokolov alebo kombinácií protokolov bez agentov a agentov, ako aj import protokolov.

SpravovaťEngine EventLog AnalyzerKapacita je pôsobivá. Dokáže spracovávať logovacie dáta rýchlosťou až 25 000 log / s a ​​detekovať útoky v reálnom čase. Nástroj tiež môže rýchlo vykonať forenznú analýzu, čím sa zníži potenciálny dopad porušenia. Možnosti auditu systému sa rozširujú na protokoly obvodových zariadení siete, aktivity používateľov, zmeny účtov servera, prístupy používateľov a ďalšie, čo vám pomáha splniť potreby auditu zabezpečenia.

Korelácia denníka udalostí nástroja v reálnom čase okamžite zisťuje pokusy o útok a korelovaním sleduje potenciálne bezpečnostné hrozby zaznamenávať údaje s viac ako 30 preddefinovanými pravidlami na zisťovanie útokov hrubou silou, blokovania účtov, krádeží údajov, útokov webového servera a mnohých viac. Je tiež vybavený vlastným analyzátorom protokolov, ktorý môže extrahovať polia z akéhokoľvek formátu záznamu, ktorý je čitateľný pre človeka. Produkt skutočne poskytuje jedinú konzolu na prezeranie všetkých vašich údajov denníka zabezpečenia.

SpravovaťEngine EventLog Analyzer je k dispozícii v bezplatnej edícii so zníženou funkciou, ktorá podporuje iba 5 zdrojov denníka alebo v prémiovej edícii, ktorá začína na 595 USD a líši sa podľa počtu zariadení a aplikácií. K dispozícii je aj bezplatná 30-dňová skúšobná verzia s plným výkonom.

6. Graylog

Graylog je bezplatná platforma na správu protokolov s otvoreným zdrojovým kódom s množstvom zaujímavých funkcií. Tento nástroj dokáže analyzovať a obohatiť protokoly a údaje o udalostiach z takmer akéhokoľvek zdroja údajov. Jeho spracovateľské potrubia umožňujú určitú flexibilitu pri smerovaní, čiernej listine, úprave a obohacovaní správ v reálnom čase. Nástroj prehľadá terabajty údajov denníka, aby zistil a analyzoval dôležité informácie. Jeho výkonná a pomerne jedinečná syntax vyhľadávania umožňuje nájsť presne to, čo hľadáte.

s Graylog, máte možnosť vytvárať prispôsobené informačné panely, ktoré vám umožňujú vizualizovať konkrétne metriky a sledovať trendy z jedného centrálneho miesta. Pomocou štatistík polí, rýchlych hodnôt a grafov na stránke s výsledkami vyhľadávania môžete prejsť na podrobnejšiu analýzu svojich údajov. Produkt navyše ponúka možnosť spúšťať akcie alebo vydávať oznámenia o udalostiach, ako sú neúspešné pokusy o prihlásenie, výnimky alebo zníženie výkonu.

Graylog je k dispozícii buď ako bezplatná a otvorená obmedzená verzia, ktorá má tiež obmedzenú podporu. K dispozícii je tiež podniková verzia s rozšírenými funkciami a neobmedzenou podporou. Je bezplatná až pre 5 GB denníkov. V závislosti od toho, aká veľká je vaša sieť. To by mohlo stačiť pre vaše potreby. Licenčné a podporné ceny je možné získať kontaktovaním Graylog predaja.

7. Sada na správu protokolov WhatsUp

Sada na správu protokolov WhatsUp je vynikajúci nástroj od spoločnosti Ipswitch. Ipswitch, je potrebné pripomenúť, je spoločnosť za WhatsUp Gold, super populárny nástroj pre monitorovanie siete. Toto je automatizovaný nástroj, ktorý zhromažďuje, ukladá, archivuje a ukladá systémové protokoly, udalosti systému Windows a protokoly W3C / IIC. Nejde len o agregáciu protokolov a udalostí, ale ich nepretržité sledovanie a analýza protokolov vás upozorní na akúkoľvek neobvyklú aktivitu.

Sada na správu protokolov WhatsUp bude sledovať často kontrolované udalosti, ako sú prístupové práva a oprávnenia na súbory, priečinky a objekty a podľa potreby generuje výstrahy. Zhromaždené udalosti tiež používa na vytváranie správ o zhode pre súlad HIPAA, SOX, FISMA, PCI, MiFID alebo Basel II. Tento softvér tiež môže pomôcť transformovať vaše nespracované údaje denníka na zmysluplné informácie pre manažérov alebo IT tímy zabezpečenia pomocou výkonného automatizovaného filtrovania, korelácie, vykazovania a konverzie Vlastnosti.

Sada na správu protokolov WhatsUp je vlastne sada aplikácií, ktoré obsahujú nasledujúce nástroje:

• Archiver udalostí: Tento nástroj automatizuje zber protokolov, zúčtovanie a konsolidáciu.
• Alarm udalosti: Nástroj na sledovanie protokolových súborov a prijímanie oznámení o kľúčových udalostiach v reálnom čase.
• Event Analyst: Analýzy a správy o protokolových údajoch a trendoch; automaticky distribuuje správy manažmentu, bezpečnostným úradníkom, audítorom a iným zainteresovaným stranám.
• Event Rover: Zjednotená konzola pre hĺbkovú forenznú analýzu na všetkých serveroch a pracovných staniciach s cieľom zvýšiť efektívnosť a ušetriť čas.

Informácie o cenách pre internet Správa protokolov nie je ľahko dostupný z Ipswitch. Produkt je možné zakúpiť buď priamo od vydavateľa, alebo prostredníctvom siete predajcu Ipswitch. K dispozícii je samozrejme aj bezplatná skúšobná verzia.

8. LogDNA

LogDNA sa považuje za „najrýchlejší, najintuitívnejší a nákladovo najefektívnejší systém správy protokolov”. To platí spravidla. Inštalácia produktu od začiatku trvá len pár minút, kým môžete začať zhromažďovať a sledovať protokoly. Bez ohľadu na to, ako sa generujú a prenášajú protokoly, v rámci produktu sú k dispozícii stovky vlastných schém integrácie, ktoré vám pomôžu centralizovať protokoly na jednom mieste.

LogDNA je k dispozícii vo verzii typu cloud alebo self-hosted, podľa vašich preferencií. Je to vysoko škálovateľný produkt, ktorý dokáže spracovať stovky tisíc protokolov za sekundu a desiatky terabajtov za deň a zároveň ponúka najvyššiu bezpečnosť a analýzu protokolov v reálnom čase. Spoločnosť aj jej produkty sú kompatibilné s SOC2, PCI a HIPAA a sú certifikované aj na ochranu súkromia.

Jednoduchý cenový model spoločnosti LogDNA s platbou za GB eliminuje zmluvy a pridelené fixné údaje, vďaka čomu je jedným z najnižších celkových nákladov na vlastníctvo akéhokoľvek plateného riešenia na monitorovanie a správu protokolov. K dispozícii je niekoľko plánov predplatného so zvyšujúcimi sa funkciami. Plán na spodnej úrovni je zadarmo a ceny platených programov sa pohybujú od 1,50 $ / GB / mesiac do 3 $ / GB / mesiac v závislosti od doby uchovávania a počtu používateľov. K dispozícii je aj bezplatná, plnohodnotná a neobmedzená 14-dňová skúšobná verzia.