Најбоље праксе и системи управљања дневником

Управљање записницима може бити сложен подухват. Не само да типична организација генерише тону њих, већ потичу из различитих извора, а сваки има потенцијално различит формат и садржи различите информације. Да бисте додали привид реда у нешто што брзо може постати хаотично, измишљено је управљање дневницима. Данас гледамо најбоље праксе и системе управљања записницима. Надамо се да ће вам то помоћи да јасно видите кроз ово.

Започет ћемо кратким описом управљања дневником. Затим ћемо уронити право у најбоље праксе управљања логом. Истражићемо да ли треба да користите готов систем или то урадите сами. Такође ћемо погледати шта - а шта не - за праћење, након чега следи безбедност и задржавање дневника као и разматрање складиштења. И пре него што размотримо неке од најбољих система за управљање записима, размотрићемо различито управљање задацима, прегледом и одржавањем записника, корелацијом извора података и одређеном аутоматизацијом разматрања.

О управљању логом

Једноставно дефинисан, записник је аутоматски израђена и временски обележена документација догађаја релевантног за одређени систем. Када се догађај догоди у систему, генерише се дневник или унос у дневник. Различити системи ће генерисати записнике за различите догађаје. Што се тиче управљања евиденцијама, углавном се односи на процесе и политике које се користе за администрирање и олакшавање генерисања, преноса, анализе и складиштења података дневника. Управљање дневником обично подразумева централизовани систем где се дневници из више извора обједињују.

Управљање евиденцијама ипак није само прикупљање дневника. Као што име говори, део управљања је важан. Једном када евиденцију прими систем управљања дневником, они се „преводе“ у заједнички формат. То је потребно јер различити системски записници различито форматирају и укључују у своје записе различите податке. Да би се олакшала претрага и корелација догађаја, једна од сврха система управљања записима је осигурати да се сви прикупљени уноси у дневник похрањују у једноличном формату.

Када говоримо о претраживању, па чак и корелацији, ово је још једна главна карактеристика већине система управљања логом. Најбољи системи за управљање дневницима имају моћан претраживач. Омогућује администраторима да унесу тачно оно што је потребно. Надаље, корелација догађаја аутоматски ће груписати повезане догађаје, чак и ако су из различитих извора.

Најбоље праксе за управљање евиденцијом

Управљање евиденцијом је сложен процес, не можемо много да учинимо у вези с тим. Са овом сложеношћу долази до ризика да то учините погрешно. Да бисмо то избегли, саставили смо листу неких најбољих пракси управљања евиденцијама. Наш циљ је да вам пружимо што више информација како бисте изабрали најбољи систем управљања дневницима за ваше потребе, али што је још важније, да из њега извучете максимум.

Систем управљања логом или сам уради?

Из неког разлога, неки људи верују да могу ручно имплементирати „систем управљања логом“. Ако сте међу тим људима, одмах се престаните шалити. Иако је могуће имплементирати неки облик за ручно управљање евиденцијом, потребни напори далеко превазилазе оно што је потребно за имплементацију истинског система управљања записима. А с неколико слободних алата отвореног кода, аргумент цене није валидан.

Скоро увек има смисла користити решење за управљање евидентирањем које је угледни добављач изградио, подржао и смањио уместо да сам изграђује систем. Са њима је све што обично требате да повежете своје изворе и одредишта и спремни сте да на једноставан начин анализирате евиденције система и апликација. Бићете слободни да трошите више времена на праћење и евидентирање, уместо на изградњу инфраструктуре за евидентирање.

Знајући шта треба надзирати (а шта не)

Важно је знати шта се пријавити, али још је важније знати шта не пријавити. Само зато што можете нешто да евидентирате не значи и да би требало. Пречесто евидентирање не ради ништа више него што отежава проналажење података који су заправо важни. Поред тога, додатна количина дневника додаје сложеност и трошкове вашим процесима складиштења и управљања записницима. Важно је унапријед размислити о томе шта ће се и шта неће бити забиљежено прије него што започнемо с примјеном платформе за управљање записницима. То ће спречити скупе грешке и омогућиће вам бољу величину алата.

Пажљиво размислите шта заправо требате да пријавите. Производна окружења која су критична за усаглашавање или за потребе ревизије највероватније би требало да буду евидентирана. Тако би требало да буду и подаци који вам помажу да решавате проблеме са перформансама, решавате проблеме са корисничким искуством или надгледате догађаје повезане са сигурношћу.

Супротно томе, постоје ствари на које не морате да се пријавите, као што су, на пример, тестна окружења која нису суштински део ваших пословних процеса. Постоје и подаци за које ћете одлучити да се не пријављују из разлога поштивања или безбедности. На пример, ако је корисник омогућио поставку за не-праћење, не би требало да бележите податке повезане са тим корисником.

Примена политике безбедности и задржавања дневника

Дневници могу садржавати осетљиве податке. Из тог разлога морате имати политику безбедности дневника. Биће од непроцењиве вредности, на пример, обезбеђивањем анонимних или шифрованих осетљивих података. Такође, сигуран транспорт података дневника у системе управљања дневником обавезује употребу шифрованог транспорта користећи ТЛС или ХТТПС на клијенту и на страни сервера.

Што се тиче правила задржавања, записи из различитих извора или система могу захтевати различита времена задржавања. На пример, дневници који се пре свега користе за решавање проблема могу радити са релативно кратким временима задржавања, као што су неколико дана - или чак неколико сати. С друге стране, дневници везани за безбедност или евиденције пословних трансакција захтевају дуже време задржавања, често због усклађености са прописима. С обзиром на то, ваша политика задржавања треба да буде флексибилна и прилагодљива, зависно од извора дневника или врсте дневника.

Разматрања складиштења дневника

Чување података дневника троши драгоцјени простор за похрану. Када планирате капацитет складиштења трупаца, морате узети у обзир врхове високог оптерећења. У већини случајева, количина дневника података дневно је релативно константна. Углавном зависи од употребе система и / или броја трансакција дневно. Међутим, када нешто пође по злу, можете очекивати убрзани раст волумена дневника. Ако у вашем складишту дневника постоје већа ограничења, можете изгубити најновије записе. Да би ублажили тај ефекат, најбољи системи за управљање записима користе циклични међуспремник. Најприје брише најстарије податке прије него што се примијени било који лимит похране.

Такође, складиштење дневника треба да има своју безбедносну политику. Већина нападача ће покушати да избегне или обрише њихове трагове у датотекама дневника. Да бисте то избегли, требало би да у реалном времену пошаљете евиденције у централни складиште дневника - по могућности ван места - и обезбедите их. Стога, ако нападач има приступ вашим записницима изван локације, подаци ће задржати неометане.

Преглед и одржавање дневника

Одржавање дневника је важан део управљања дневником, ако не и најважнији. Неодржани дневници могу довести до дужег рјешавања проблема, ризика излагања података и већих трошкова складиштења дневника. Прегледајте евиденције које су генерисали ваши системи и прилагодите ниво евиденције вашим потребама. Требали бисте узети у обзир аспекте употребљивости, оперативне и безбедносне аспекте.

Учините ниво дневника подесивим

Неки системски дневници су превише вербозни, док други не дају довољно информација. Нажалост, не можете увек нешто учинити у вези с тим. Већина система обезбеђује подесиве нивое дневника. Они су кључ за конфигурирање вербосности дневника и осигуравање да оно што мора бити забиљежено, а оно што није важно, није.

Често прегледавајте евиденције ревизије

Поступање по безбедносним питањима је пресудно. Због тога увек треба пазити на трупце. Ако ваш систем управљања евиденцијама нема ту значајку - многи од њих користе, користите спољне сигурносне алате као што су аудитд или ОССЕЦ. Они имплементирају анализу дневника у стварном времену и генерирају записе упозорења који упућују на потенцијална сигурносна питања. Уз то, требало би да дефинишете упозорења о критичним догађајима како бисте брзо били обавештени о сумњивим активностима.

Усклађивање извора података

Записивање података је само један елемент глобалне стратегије праћења. За заиста ефикасно надгледање, потребно је да употпуните управљање евиденцијама са другим врстама надзора, као што је праћење на основу догађаја, упозорења и праћења. То је најбољи начин да се схвати шта се дешава у било којем тренутку. Иако су трупци добри за пружање детаља високе дефиниције о проблемима, ово је најкорисније када одвојите мало удаљености да бисте погледали шуму пре него што зумирате у дрвеће.

Управљање логом не функционира добро у силосу. Ништа не. Дефинитивно би га требало надопунити другим врстама надзора, као што су надгледање мреже, надгледање инфраструктуре и још много тога. А у идеалном свету би ваше решење за праћење требало да буде довољно свеобухватно да пружа све ваше информације о праћењу на једном месту. Алтернативно, она се може интегрирати с другим алатима који пружају те информације. Циљ је овде имати, што је више могуће, једнокраки поглед на целокупно окружење.

Управљање логом и аутоматизација

Управљање евиденцијом може вам помоћи да рано ухватите проблеме и на тај начин уштедите вама и вашем тиму драгоцено време и енергију. Такође вам може помоћи да пронађете могућности за аутоматизацију. Већина алата за управљање записима омогућава вам постављање прилагођених упозорења која се активирају када се нешто догоди. Неки ће вам чак дозволити да подесите аутоматске акције које треба покренути када се активирају ова упозорења. Требали бисте користити онолико аутоматизације колико вам дозвољава алат за управљање. Упркос времену које ћете провести у подешавању ове аутоматизације, схватићете да је то исплатило први пут када се сусретнете са инцидентом.

Топ 6 алата за управљање дневником

Прегледали смо тржиште покушавајући пронаћи најбољи алат за управљање записницима. Покушали смо да саставимо листу која укључује разне врсте алата. Уосталом, потребе свих су различите и најбољи алат за једног није нужно најбољи за некога другог.

СоларВиндс је опште име у пољу алата за мрежно администрирање. То траје већ око две деценије и донело нам је неке од најбољих алата за праћење пропусности и НетФлов анализатора и сакупљача. Компанија је такође позната по објављивању неколико бесплатних алата који задовољавају неке специфичне потребе мрежних администратора, као што су калкулатор подмреже или сислог сервер.

Када је у питању управљање евиденцијама, понуда компаније се сада зове СоларВиндс Сецурити Евент Манагер. Недавно је преименован у Лог & Евент Манагервероватно да боље одражава чињеницу да је ово заправо много више од обичног система управљања записницима. Многе напредне функције сврставају га у распон безбедносних информација и управљања догађајима (СИЕМ). Има, на пример, корелацију догађаја у стварном времену и санацију у реалном времену, две карактеристике сличне СИЕМ-у.

• БЕСПЛАТНО ИСПИТИВАЊЕ: СоларВиндс Сецурити Евент Манагер
• Званична веза за преузимање: https://www.solarwinds.com/security-event-manager/registration

Погледајмо неке од њих СоларВиндс Сецурити Евент МанагерГлавне карактеристике. Алат може брзо уклонити претње користећи тренутно откривање сумњивих активности и аутоматизованих реакција. Такође може да обави истрагу безбедносних догађаја и форензичке лекове за ублажавање и поштовање прописа. А што се тиче усаглашености, производ ће вам омогућити да га демонстрирате, захваљујући ревизору доказаном извештавању за ХИПАА, ПЦИ ДСС и СОКС, између осталих. Овај алат такође има надзор над интегритетом датотека и надгледање УСБ уређаја, две функције које су много изнад онога што обично видимо у системима управљања записима.

Цене за СоларВиндс Сецурити Евент Манагер стартујте од 4,585 УСД за до 30 надгледаних чворова. Лиценце за до 2500 чворова могу се купити због чега је производ високо скалабилан. А ако желите да потврдите да ли је производ прави за вас, бесплатно пробно 30-дневно суђење је доступан.

На другом месту, имамо још један сјајан производ под називом Папертраил, недавна аквизиција од СоларВиндс. Папертраил је популаран систем управљања логом заснованим на облаку. Он обједињује датотеке дневника из великог броја популарних производа попут Апацхе или МиСКЛ, као и Руби он Раилс апликација, различитих услуга хостинга у облаку и других стандардних текстуалних датотека. Папертраил тада корисници могу користити интернетско сучеље за претраживање или алате наредбеног ретка да претражују ове датотеке како би помогли у дијагностицирању грешака и проблема са перформансама. Алат се такође интегрише са осталим СоларВиндс производи као што су Вага и Гецкобоард за резултате графикона.

• Доступан БЕСПЛАТНИ ПЛАН: СоларВиндс Папертраил
• Званична веза за преузимање: https://papertrailapp.com/plans

Папертраил је софтвер утемељен на облаку који нуди услугу (СааС) СоларВиндс. Лако је имплементирати, користити и разумети. И омогућиће вам тренутну видљивост у свим системима за неколико минута. Алат има веома ефикасан претраживач који може претраживати и чуване и стриминг записнике. И то муњевито брзо.

Папертраил доступан је у више планова укључујући бесплатни план. Међутим, нешто је ограничено и дозвољава само 100 МБ записника сваког месеца. Међутим, дозволите 16 ГБ дневника у првом месецу, што је еквивалентно бесплатној пробној верзији од 30 дана. Плаћени планови почињу од 7 УСД месечно за 1ГБ / месец записа, 1 годину архива и 1 недељу индекса. Филтрирање буке омогућава алату да сачува податке не штедећи бескорисне записе.

3. МанагеЕнгине ЕвентЛог Анализер

МанагеЕнгине, још једно уобичајено име са мрежним администраторима, чини одличан систем управљања записима који се зове МанагеЕнгине ЕвентЛог Анализер. Производ ће прикупљати, управљати, анализирати, корелирати и претраживати податке дневника преко 700 извора користећи комбинацију дневника заснованих на агентима и на бази агента као и увоз дневника.

Брзина је једна од МанагеЕнгине ЕвентЛог АнализерСнага. Може да обрађује податке дневника са импресивних 25 000 дневника / секунду и открива нападе у реалном времену. Такође може да обави брзу форензичку анализу како би умањио утицај кршења. Могућности ревизије система проширују се на записе мрежних периметричних уређаја, корисничке активности, промене налога на серверу, приступ корисника и још много тога, помажући вам да испуните потребе за ревизијом сигурности.

Тхе МанагеЕнгине ЕвентЛог Анализер је доступан у бесплатном издању са смањеним значајкама које подржава само 5 извора дневника или у премиум издању које креће од 595 УСД и варира овисно о броју уређаја и апликација. Такође је доступна и бесплатна пробна верзија у трајању од 30 дана.

4. Ипсвитцх Лог Суите Суите

Тхе Лог Манагемент Суите је производ од Ипсвитцх, иста компанија која нас је довела ВхатсУп Голд, неизмерно популаран алат за надгледање мреже. Ово је аутоматизовани алат који сакупља, чува, архивира и чува евиденције система, Виндовс догађаје и В3Ц / ИИЦ записе. Надаље, непрестани надзор дневника ће вас упозорити на сумњиве активности.

Могу се пратити често ревидирани догађаји као што су права приступа и привилегија датотека, мапа и објеката, генерисање упозорења по потреби и коришћено за прављење извештаја о усаглашености за ХИПАА, СОКС, ФИСМА, ПЦИ, МиФИД или Басел ИИ сагласност. Алат вам такође може помоћи да трансформишете своје необрађене податке у значајне податке за менаџере или ИТ тимове заштите захваљујући аутоматизованом функцији филтрирања, повезивања, извештавања и претварања.

Информације о ценама за Лог Манагемент Суите није лако доступан од Ипсвитцх. Производ се може купити директно од издавача или преко ИпсвитцхМрежа препродавача. Такође је доступна и бесплатна пробна верзија.

5. Алерт Логиц Лог Манагер

Обавештење о логициОсновни фокус је на безбедности и поштовању прописа. А пошто је управљање евиденцијама уско повезано са обема, не чуди што компанија нуди Алерт Логиц Лог Манагер. Овај алат заснован на облаку нуди аутоматизовано и обједињено управљање евиденцијама у свим вашим окружењима. Прикупљаће, обједињује и претражује податке дневника претраживања из облака, сервера, апликација, безбедности и мрежних средстава.

Тхе Алерт Логиц Лог Манагер обухвата надгледање и анализу дневника, као и преглед дневника који обављају људски анализатори. Обавештење о логициСтручњаци ће вас упозорити на могућу активност претњи 365 дана у години. Услуга ће такође помоћи у испуњавању захтева за преглед записа СОЦ 2, ХИПАА и СОКС и уклонити терет прегледа дневника и праћења догађаја, у складу са ПЦИ / ДСС 10.6, 10.6.1, 10.6.3

Информације о ценама за Алерт Логиц Лог Манагер није лако доступан са веба и мораћете да контактирате Обавештење о логици продаје како би добили званичну понуду. Бесплатна пробна верзија такође није доступна, али се бесплатан демо може договорити контактирањем Обавештење о логици.

6. Нагиос Лог Сервер

Можда већ знате Нагиос као одличан пакет за надгледање мреже. Нудијући га бесплатно и са отвореним кодом, као и у комерцијалној верзији, производ има солидну репутацију. За управљање евиденцијама, Нагиос'Понуда се зове Нагиос Лог Сервер. То је комплетан пакет са централизованим управљањем, надгледањем и анализом дневника. Овај алат може поједноставити поступак претраживања података дневника. Такође вам омогућава да поставите упозорења како бисте били обавештени о потенцијалним претњама. Поред тога, софтвер има високу доступност и уграђен пропуст директно у њега. Њени чаробњаци за лако постављање извора могу вам помоћи у конфигурирању ваших сервера и других уређаја за слање података дневника на платформу, омогућавајући вам да почнете са надгледањем записника у року од неколико минута.

Тхе Нагиос Лог Сервер омогућава једноставну корелацију догађаја дневника кроз све изворе записника у само неколико кликова. Систем ће вам омогућити да прегледате податке дневника у стварном времену, допуштајући анализу и решавање проблема у реалном времену, како се они јављају. Још једна снага производа је његова импресивна скалабилност. Овај алат наставља да испуњава ваше потребе током раста ваше организације. Ако је потребно, додатно Нагиос Лог Сервер инстанце се могу додати кластеру за надгледање, омогућавајући вам брзо додавање више снаге, брзине, складиштења и поузданости.

Уз све ове карактеристике, могло би се очекивати огромну цену. То није случај и једносмерна цена за Нагиос Лог Сервер је веома разумних 3 995 долара. Упркос томе што не нуди бесплатну пробну верзију, доступна је бесплатна мрежна демонстрација, ако бисте радије прво погледали производ пре него што донесете одлуку о куповини.