8 najboljših orodij za spremljanje dnevnika in programska oprema za analizo do leta 2020

Dnevniške datoteke so prisotne v skoraj vseh računalniških sistemih ali omrežnih napravah. Vsebujejo podrobnosti o dogodkih, ki se dogajajo v vsakem sistemu. Pri odpravljanju različnih težav se lahko izkažejo za neprecenljive. Lahko razkrijejo tudi zlonamerne dejavnosti in zato lahko postanejo koristno sredstvo za zagotavljanje varnosti. Toda kdo ima čas za ogled datotek dnevnika? Z običajnim skrbnikom, ki upravlja na desetine naprav, nekateri od njih beležijo več dogodkov vsako sekundo, nihče ne more slediti. Zato so izumili orodja za spremljanje dnevnikov. Združijo vse dnevnike dogodkov na enem mestu in pogosto ponujajo orodja in storitve za analizo, ki bodo šli skozi dnevnike in sprožili opozorila, kadar koli opazimo kaj nenavadnega. Na voljo je veliko različnih orodij za spremljanje dnevnikov in izbira najboljšega se lahko izkaže za izziv. Da bi vam pomagali, smo sestavili ta seznam nekaterih najboljših orodij za spremljanje dnevnikov.

Naše razprave bomo začeli z raziskovanjem sistemskih dnevnikov, kakšni so in kako delujejo. Nato bomo govorili o spremljanju dnevnikov. Tako kot prej, si bomo ogledali, kaj to pomeni in kako se to počne. Nato vam bomo posredovali več podrobnosti o analizi dnevnika, saj je to funkcija, zaradi katere so orodja za spremljanje dnevnika najbolj uporabna. Tako kot prej bomo opisali, kaj je to in različne oblike analiz, ki so na voljo. Na koncu bomo pregledali nekaj najboljših orodij za spremljanje dnevnikov, ki smo jih lahko našli, in vam povedali o njihovih glavnih značilnostih.

Sistemski dnevniki v lupini

V enem stavku je dnevniška datoteka ali sistemski dnevnik datoteka, ki beleži dogodke, ki se zgodijo v operacijskem sistemu ali drugi programski opremi. Zapisovanje je dejanje vodenja sistemskega dnevnika. V najpreprostejših primerih se sporočila preprosto zapišejo v eno datoteko dnevnika. Medtem ko večina sistemov uporablja predvsem besedilne datoteke za beleženje dogodkov, nekateri sodobni sistemi za prijavo uporabljajo nekatere oblike baze podatkov.

Ne glede na to, kako in kje se beležijo dogodki, nekateri sistemi omogočajo, da določite raven zapisovanja, ki jo potrebujete. To še posebej velja za mrežno opremo, pri kateri ima vsak dogodek stopnjo resnosti in parametre beleženja je mogoče nastaviti samo tako, da beležijo dogodek določene stopnje resnosti ali višje. Tudi druge vrste sistemov nudijo podobno funkcionalnost.

O spremljanju dnevnikov

Spremljanje dnevnikov je dvodelni postopek. Prvi in ​​najpomembnejši del je zbiranje podatkov dnevnika iz različnih sistemov. To dosežemo na različne načine. Nekateri sistemi so lahko konfigurirani za samodejno pošiljanje dnevnikov na centraliziran strežnik prek protokola Syslog. Orodja za spremljanje dnevnika imajo običajno vgrajen sistemski strežnik za neposredno prejemanje podatkov o dogodkih. Drugi sistemi, na primer Windows, delujejo drugače. Obstajajo različna sredstva za pridobivanje podatkov dnevnika iz teh sistemov, na primer uporaba instrumenta za upravljanje Windows ali uporaba lokalnih agentov, ki delujejo na gostiteljih Windows. Ne glede na to, kako je to izvedeno, vsak sistem za spremljanje dnevnikov vključuje potrebno funkcijo za sprejemanje in konsolidacijo podatkov dnevnika iz več virov.

Naslednji korak - Analiza dnevnika

Druga naloga katerega koli uporabnega orodja za spremljanje dnevnikov je analiza dnevnika. Tu se orodja najbolj razlikujejo. Nekateri bodo ponudili zelo osnovno analizo, kot je sprožitev opozoril, ko število dogodkov na enoto časa doseže določen prag. Naprednejša orodja bodo preučila vsak dogodek in poiskala posebne znake težav. Na primer, veliko število neuspelih prijav je lahko znak nenehnega poskusa vdora. Lahko porabimo strani, ki opisujejo različne oblike analize dnevnikov, ki so na voljo. Namesto tega vas vabimo, da si ogledate različni pregled izdelkov spodaj za podrobnosti o tem, kaj ponuja vsak.

Najboljša orodja za spremljanje dnevnika

Kot smo že omenili, je na voljo veliko različnih orodij z različnimi stopnjami funkcionalnosti. Ne potrebujejo vsi orodja z obsežno analizo in visoko varnostnimi funkcijami, zato smo vključili kombinacijo orodij, ki ponujajo različne nabore funkcij. Nekateri so enostavnejša orodja, drugi pa bolj zapletena. Na vas je, da določite, katero orodje ponuja najboljše ustrezanje vašim potrebam. Na srečo imajo vsa orodja na našem seznamu na voljo brezplačno preskusno različico, zato vas nič ne prepreči, da bi preizkusili nekaj, kar močno priporočamo.

SolarWinds je splošno razširjeno ime v svetu spremljanja. Podjetje obstaja že več kot 20 let, njegov vodilni izdelek, imenovan Network Performance Monitor, pa mnogi prepoznajo kot eno najboljših orodij za spremljanje SNMP. In kot da to še ni bilo dovolj, je SolarWinds znan tudi po številnih brezplačnih orodjih. To so manjša orodja, vsaka od njih pa obravnava določeno potrebo omrežnih skrbnikov. Napredni kalkulator podomrežja in strežnik SolarWinds TFTP sta odlična primera teh brezplačnih orodij.

Kar se tiče Upravitelj dnevnikov in dogodkov SolarWinds (LEM), je točno tisto, kar pomeni njegovo ime. Orodje je tako bogato z lastnostmi funkcij, da ga mnogi ocenjujejo kot popolno orodje za varnostne informacije in upravljanje dogodkov. Kar zadeva spremljanje in upravljanje dnevnikov, je verjetno eno najzanimivejših orodij za upravljanje dnevnikov, ki ga najdete. Ima zelo uporabne funkcije upravljanja in korelacije dnevnikov, pa tudi impresiven mehanizem poročanja.

• BREZPLAČEN PREIZKUS:SolarWinds Log & Event Manager
• Povezava za prenos:https://www.solarwinds.com/log-event-manager-software/registration

The SolarWinds Log & Event Manager lahko pomagajo izboljšati varnost in skladnost z odkrivanjem sumljive dejavnosti in hitrejšo identifikacijo groženj z odkrivanjem sumljive dejavnosti ob dogodku. Orodje lahko uporabite tudi za izvajanje preiskav varnostnih dogodkov in forenzike za ublažitev in skladnost. Ta lastnost je razlog, da mnogi izdelek obravnavajo kot orodje SIEM. Poleg tega to orodje pomaga pri pripravljenosti na skladnost s predpisi. Z njim lahko dokažete skladnost, zahvaljujoč revizijskemu poročanju za HIPAA, PCI DSS, SOX, DISA STIG in še več.

The SolarWinds Log & Event ManagerFunkcije odziva na dogodke ne puščajo ničesar želenega. Podroben sistem odzivanja v realnem času bo aktivno reagiral na vsako grožnjo. Ker temelji na vedenju in ne na analizi podpisov, pomeni, da ste celo zaščiteni pred neznanimi ali prihodnjimi grožnjami. Toda nadzorna plošča orodja je morda najboljša prednost. S preprostim dizajnom ne boste imeli težav hitro prepoznati nepravilnosti.

Cene za SolarWinds Log & Event Manager temelji na številu nadzorovanih vozlišč. Na voljo so različne ravni licenc od 30 do 2500 vozlišč, ki se začnejo pri 4 665 dolarjih. Če želite izdelek preizkusiti pred nakupom, za prenos je na voljo brezplačna popolnoma funkcionalna 30-dnevna preskusna različica.

Sledi na seznamu še en izdelek SolarWinds, imenovan the Upravitelj dnevnikov za Orion. Orion, če niste poznali izdelkov SolarWinds, je bil pred nekaj leti vrhunska platforma podjetja. To je še vedno osnovna arhitektura, na kateri je zgrajenih veliko najboljših izdelkov SolarWinds. Če uporabljate katerega koli nadzornika omrežne učinkovitosti, analizator prometa NetFlow, omrežno konfiguracijo Uporabljate upravitelja, upravitelja virtualizacije, nadzornika strežnikov in aplikacij ali nadzornika skladiščnih virov Orion.

• BREZPLAČEN PREIZKUS:SolarWinds Log Manager za Orion
• Povezava za prenos:https://www.solarwinds.com/log-manager-for-orion-software/registration

The SolarWinds Log Manager za Orion doda katere koli zmožnosti upravljanja dnevnikov v katero koli od orodij za spremljanje in upravljanje, ki temelji na Orionu. Če povzamemo, izdelek odlikuje zmogljivo in intuitivno združevanje dnevnikov, označevanje, filtriranje in opozarjanje. Njegova integracija z izdelki platforme Orion ponuja enoten pogled na spremljanje infrastrukture IT in s tem povezane dnevnike. Izdelek je bil ustvarjen v sodelovanju z omrežnimi in sistemskimi inženirji, da bi zagotovili njihove težave - in kako jih rešiti - razumeli.

Kljub integraciji s platformo Orion, je Upravitelj dnevnikov je mogoče namestiti sam in ne potrebuje nobenega drugega orodja Orion. Cene se začnejo pri $ 1 495 in je na voljo brezplačna preizkusna različica v 30 dneh, če želite izdelek preizkusiti in si oglejte, kako ustreza vašim potrebam.

Sledi še en izdelek SolarWinds Papertrail. Ta se zelo razlikuje od prejšnjih dveh, saj ponuja ponudbo programske opreme kot storitev (SaaS) v oblaku. Zmogljivo orodje je že nekaj let nazaj uživalo nekaj priljubljenosti, ko ga je SolarWinds pridobil. Združi dnevniške datoteke iz številnih izdelkov, kot sta Apache ali MySQL, pa tudi aplikacije Ruby on Rails, več storitev gostovanja v oblaku in druge standardne datoteke z besedilnimi dnevniki.

• Prijavite se tukaj: https://papertrailapp.com/plans

Če želite pomagati diagnosticirati napake in težave z uspešnostjo, lahko uporabite Papertrail zelo učinkovit in strelovod hiter iskalnik, ki lahko išče tako shranjene kot tudi pretočne dnevnike. Izdelek se združuje z nekaj drugimi izdelki SolarWinds, kot sta Librato in Geckoboard za rezultate grafitiranja. Papertrail je tudi enostaven za izvedbo, uporabo in razumevanje. Zagotovil vam bo takojšnjo vidnost v vseh sistemih v nekaj minutah.

Papertrail je na voljo v več načrtih, vključno z brezplačnim načrtom. Je nekoliko omejen in omogoča le 50 MB dnevnikov vsak mesec. Vendar boste v prvem mesecu omogočili 16 GB dnevnikov, kar je enako brezplačnemu in neomejenemu 30-dnevnemu preskusu. Plačani načrti se začnejo pri 7 USD / mesec za 1 GB / mesec dnevnikov, 1 leto arhiva in 1 teden indeksa. Načrt za 75 USD na mesec z 8 GB dnevnikov je najbolj priljubljen. Hrupno filtriranje omogoča orodju, da shrani podatke tako, da ne shrani neuporabnih dnevnikov.

4. PRTG Network Monitor

The PRTG Network Monitor od Paessler AG je integriran sistem vsega v enem, ki ga je mogoče uporabiti za spremljanje skoraj vsega, zahvaljujoč svoji pametni arhitekturi na osnovi senzorjev. Ena najboljših lastnosti tega izdelka podjetja je zagotovo njegova hitrost nastavitve. Po Paesslerjevem mnenju PRTG Network Monitor lahko nastavite v samo nekaj minutah. Čeprav morda ne bo tako hiter za vse, je še vedno eno najlažjih in najhitrejših orodij za spremljanje, ki je delno tudi zahvaljujoč postopku samodejnega odkrivanja.

The PRTG Network Monitor je funkcijsko bogat izdelek. V osnovi je predvsem orodje za spremljanje omrežja, ki uporablja SNMP za anketiranje naprav in prikazovanje njihovih vmesnikov na kronoloških grafih. Z uporabo dodatnih senzorjev pa lahko PRTG nadzira skoraj vse. Senzorji so nekoliko podobni dodatkom, le da so priloženi izdelku. Na voljo so tudi senzorji za različne strežnike, storitve in aplikacije. Izdelek vključuje več kot 200 senzorjev.

Za spremljanje in upravljanje dnevnika sta na voljo dva različna tipala. The Dnevnik API-ja za dogodek senzor zajame vsa sporočila dnevnikov, ki jih ustvari Windows. Ta senzor nadzira hitrost sporočil dnevnika, ne pa njihove vsebine, in sproži alarm, če hitrost sporočil dnevnika dogodkov doseže kritični prag.

Drugi zanimiv senzor, the Syslog sprejemnik senzor, sprejema, spremlja in shranjuje syslog sporočila iz katere koli naprave. Vendar ne bo samo združeval dnevnikov iz različnih virov. Njegova funkcija spremljanja bo sprožila alarme, kadar se pojavijo zaskrbljujoči pogoji, na primer povečanje hitrosti sprejema dnevnikov.

The PRTG Network Monitor je na voljo v dveh različicah. Brezplačna različica je polno opremljena, vendar bo omejila vašo sposobnost spremljanja na 100 senzorjev. Pri uporabi SNMP se vsak nadzorovan parameter šteje za en senzor. Na primer, če na usmerjevalniku spremljate dva vmesnika, se štejeta kot dva senzorja. Vsak primerek določenega senzorja za spremljanje šteje tudi za enega. Če potrebujete več kot 100 senzorjev, boste morali kupiti licenco, ki se začne pri 1 600 USD za 500 senzorjev. Na voljo je brezplačna, neomejena senzorja in polna predstavljena 30-dnevna preizkusna različica.

5. ManageEngine EventLog Analyzer

ManageEngine je še en znani proizvajalec orodij za mrežno administracijo med IT strokovnjaki. Podjetje ponuja sistem upravljanja dnevnikov, imenovan the ManageEngine EventLog Analyzer. Izdelek zbira, upravlja, analizira, korelira in išče po podatkih dnevnika več kot 700 virov z uporabo kombinacije ali zbiranja dnevnikov na podlagi agentov in na agentu ter uvoza dnevnika.

The ManageEngine EventLog AnalyzerZmogljivost je impresivna. Podatke lahko beleži s hitrostjo do 25 000 dnevnikov na sekundo in v realnem času zazna napade. Orodje lahko hitro izvede tudi forenzično analizo in s tem zmanjša potencialni vpliv kršitve. Zmogljivosti revidiranja sistema segajo v dnevnike naprav na obodu omrežja, dejavnosti uporabnikov, spremembe računa strežnika, uporabniški dostop in še več, kar vam pomaga pri zadovoljevanju potreb po nadzoru varnosti.

Povezava dnevnika dogodkov v realnem času z orodjem takoj zazna poskuse napada in s korelacijo odkrije morebitne varnostne grožnje zabeležite podatke z več kot 30 vnaprej določenimi pravili za odkrivanje napadov grobe sile, zaklep računov, krajo podatkov, napade spletnega strežnika in številne več. Vsebuje tudi razčlenjevalnik dnevnikov po meri, ki lahko izvleče polja iz katere koli človeške berljive oblike dnevnika. Izdelek resnično ponuja eno samo konzolo za ogled vseh podatkov varnostnega dnevnika.

The ManageEngine EventLog Analyzer je na voljo v brezplačni različici z omejeno funkcijo, ki podpira le 5 virov dnevnikov, ali v premium različici, ki se začne pri 595 $ in se razlikuje glede na število naprav in aplikacij. Na voljo je tudi brezplačna, 30-dnevna preizkusna različica.

6. Graylog

Graylog je brezplačna odprtokodna platforma za upravljanje dnevnika z veliko zanimivimi funkcijami. Orodje lahko razčleni in obogati dnevnike in podatke o dogodkih iz skoraj katerega koli vira podatkov. Njegovi cevovodi za obdelavo omogočajo določeno prilagodljivost pri usmerjanju, črnem seznamu, spreminjanju in obogatitvi sporočil v realnem času. Orodje bo iskalo po terabajtih podatkov dnevnika, da bi odkrilo in analiziralo pomembne podatke. Njegova zmogljiva in precej edinstvena iskalna sintaksa vam omogoča, da najdete točno tisto, kar iščete.

Z Graylog, lahko ustvarite prilagojene nadzorne plošče, ki vam omogočajo vizualizacijo določenih meritev in opazovanje trendov z enega osrednjega mesta. Za podrobnejšo analizo podatkov lahko uporabite podrobne podatke o terenu, hitre vrednosti in grafikone na strani z rezultati iskanja. Poleg tega izdelek ponuja možnost sproženja dejanj ali izdaje obvestil o dogodkih, kot so neuspeli poskusi prijave, izjeme ali poslabšanje uspešnosti.

Graylog je na voljo bodisi kot brezplačna in odprtokodna omejena različica, ki ima tudi omejeno podporo. Obstaja tudi poslovna različica z razširjenimi funkcijami in neomejeno podporo. Brezplačno je tudi za do 5 GB dnevnikov na dan. Odvisno od tega, kako veliko in zasedeno je vaše omrežje. Lahko bi bilo dovolj za vaše potrebe. Cene licence in podpore lahko dobite s kontakti Graylog prodaja.

7. WhatsUp Log Management Suite

The WhatsUp Log Management Suite je odlično orodje podjetja Ipswitch. Ipswitch, če vas moramo spomniti, je podjetje, ki stoji za WhatsUp Gold, super priljubljenim orodjem za spremljanje omrežij. Ta je avtomatizirano orodje, ki zbira, shranjuje, arhivira in shranjuje sistemske dnevnike, dogodke Windows in dnevnike W3C / IIC. Kljub temu ne vsebuje samo dnevnikov in dogodkov, vendar vas bo nenehno spremljanje in analiza dnevnika opozorilo na kakršne koli nenormalne dejavnosti.

The WhatsUp Log Management Suite bo sledil pogosto revidiranim dogodkom, kot so pravice dostopa in pravice datotek, map in predmetov ter po potrebi ustvaril opozorila. Zbrana zbiranja uporablja tudi za izdelavo poročil o skladnosti za skladnost HIPAA, SOX, FISMA, PCI, MiFID ali Basel II. Ta programska oprema lahko pomaga tudi pri pretvorbi vaših neobdelanih podatkov v dnevnike v pomembne informacije za upravitelje ali IT varnostne ekipe z močnim avtomatiziranim filtriranjem, korelacijo, poročanjem in pretvarjanjem Lastnosti.

The WhatsUp Log Management Suite je pravzaprav nabor aplikacij, ki vključujejo naslednja orodja:

• Arhivnik dogodkov: To orodje avtomatizira zbiranje, čiščenje in konsolidacijo dnevnikov.
• Alarm na dogodek: Orodje za spremljanje dnevniških datotek in prejemanje sprotnih obvestil o ključnih dogodkih.
• Event Analyst: Analize in poročila o podatkih in trendih dnevnika; samodejno razdeli poročila poslovodstvom, varnostnim uradnikom, revizorjem in drugim deležnikom.
• Event Rover: Poenotena konzola za poglobljeno forenziko na vseh strežnikih in delovnih postajah, da povečate učinkovitost in prihranite čas.

Informacije o cenah za Suite za upravljanje dnevnika ni na voljo pri Ipswitch. Izdelek je mogoče kupiti neposredno pri založniku ali prek prodajalčeve mreže Ipswitch. Seveda je na voljo tudi brezplačna poskusna različica.

8. LogDNA

LogDNA naj bi bila "najhitrejši, najbolj intuitiven in stroškovno učinkovit sistem upravljanja dnevnikov”. To ponavadi drži. Že od samega začetka namestitev izdelka traja le nekaj minut, preden začnete zbirati in nadzirati dnevnike. Ne glede na to, kako se dnevniki ustvarjajo in prenašajo, je znotraj izdelka na voljo na stotine programov integracije po meri, ki vam pomagajo centralizirati dnevnike na enem mestu.

LogDNA je na voljo bodisi v oblaku bodisi v samostojni različici, odvisno od vaših želja. Gre za zelo razširljiv izdelek, ki lahko na stotine tisoč dnevnikov na sekundo in desetine terabajtov na dan, hkrati pa nudi največjo varnost in analizo dnevnika v realnem času. Podjetje in njegovi izdelki so skladni s SOC2, PCI in HIPAA ter imajo certifikat o zasebnosti.

Preprost model določanja plačil na GB LogDNA odpravlja pogodbe in fiksno dodeljevanje podatkov, kar pomeni enega najnižjih skupnih stroškov lastništva katere koli rešitve za spremljanje in upravljanje plačanih dnevnikov. Na voljo je več naročniških načrtov s povečanjem funkcij. Načrt spodnjega nivoja je brezplačen, cene plačanih načrtov pa se gibljejo od 1,50 USD / GB / mesec do 3 USD / GB / mesec, odvisno od trajanja hrambe in števila uporabnikov. Na voljo je tudi brezplačno, polno predstavljeno in neomejeno 14-dnevno preskusno obdobje.