أفضل 6 أدوات لإدارة السجلات لنظام Linux في عام 2021

نظرًا لأن أنظمة اليوم تولد الكثير من بيانات التسجيل ، فليس من المستغرب أن يبحث المسؤولون دائمًا عن حلول إدارة السجلات. غالبًا ما يتم تخزين السجلات محليًا بشكل افتراضي. هذا منطقي لأنه يجعل من السهل ربطهم بمصدرهم. ولكن عند محاولة استكشاف المشكلات وإصلاحها والعثور على السبب الجذري لها ، يتعين علينا أحيانًا النظر في ملفات سجل متعددة على العديد من الأجهزة. ألن يكون لطيفًا إذا تم تخزين جميع السجلات من جميع الأجهزة في مكان مركزي واحد؟ هذا هو الغرض من إدارة السجل . وإذا كان النظام الأساسي الذي تختاره هو Linux ، فهناك الكثير من الخيارات المتاحة. اقرأ فيما نكتشف بعضًا من أفضل إدارة السجلات لنظام Linux

سنبدأ بتحديد إدارة السجل. سترى أنه يمكن أن يكون أكثر قليلاً من مجرد مركزة تخزين السجل. بعد ذلك ، سنناقش تقنيات التسجيل المختلفة . هم حجر الزاوية في إدارة السجلات ومن المحتمل ألا يكون موجودًا بدونهم. باستمرار ، سنميز خوادم سجل النظام عن أنظمة إدارة السجلات وندرك أنه لا يوجد فاصل واضح بينهما. بعد ذلك ، سنتوقف مؤقتًا لفترة وجيزة ونناقش معلومات الأمان وأنظمة إدارة الأحداث . إنها نوع آخر من الأنظمة التي غالبًا ما يتم الخلط بينها وبين إدارة السجلات ، وذلك بفضل التعريف غير الواضح إلى حد ما لكل منها. وأخيرًا ، سنراجع أفضل إدارة سجلات لنظام Linux.

ما هي إدارة السجل؟

قبل أن نتحدث عن إدارة السجل ، دعنا نحدد ما هو السجل. ببساطة ، السجل هو التوثيق المُنتَج تلقائيًا والمختوم بالوقت لحدث ذي صلة بنظام معين. بمعنى آخر ، كلما وقع حدث ما على نظام ما ، يتم إنشاء سجل. ستنشئ الأنظمة والأجهزة سجلات لأنواع مختلفة من الأحداث ، كما تمنح العديد من الأنظمة المسؤولين درجة معينة من التحكم في تحديد الحدث الذي ينشئ سجلًا وأيها لا يقوم بذلك.

أما بالنسبة لإدارة السجلات ، فهي تشير ببساطة إلى العمليات والسياسات المستخدمة لإدارة وتسهيل توليد ونقل وتحليل وتخزين وأرشفة والتخلص النهائي من كميات كبيرة من بيانات السجل. على الرغم من عدم ذكر ذلك بوضوح ، فإن إدارة السجل تعني نظامًا مركزيًا يتم فيه جمع السجلات من مصادر متعددة. إدارة السجل ليست مجرد جمع السجلات ، رغم ذلك. إنه جزء الإدارة الذي هو الأهم. وغالبًا ما يكون لأنظمة إدارة السجلات وظائف متعددة ، حيث يكون تجميع السجلات واحدًا منها فقط.

بمجرد استلام السجلات بواسطة نظام إدارة السجلات ، يجب توحيدها في تنسيق مشترك حيث تختلف سجلات تنسيق الأنظمة المختلفة وتتضمن بيانات مختلفة. يبدأ البعض سجلًا بالتاريخ والوقت ، والبعض يبدأ برقم حدث. يتضمن البعض معرف الحدث فقط بينما يتضمن البعض الآخر وصفًا للنص الكامل للحدث. أحد أغراض أنظمة إدارة السجلات هو التأكد من تخزين جميع إدخالات السجل المجمعة بتنسيق موحد. هذا سوف يحدث الارتباط والبحث في نهاية المطاف أسهل بكثير أسفل الخط.

حتى الارتباط والبحث هما وظيفتان رئيسيتان إضافيتان للعديد من أنظمة إدارة السجلات. يتميز أفضلها بمحرك بحث قوي يسمح للمسؤولين بالتركيز على ما يحتاجون إليه بالضبط. ستقوم وظائف الارتباط تلقائيًا بتجميع الأحداث ذات الصلة ، حتى لو كانت من مصادر مختلفة. كيف - وكيف - ينجح نظام إدارة السجلات المختلفة في تحقيق ذلك هو عامل تمايز رئيسي.

اقرأ أيضًا: أفضل 15 أداة لمراقبة الشبكة (مراجعتنا الخاصة)

تقنيات التسجيل

ستكون إدارة السجل أكثر صعوبة ، وربما لن تكون ممكنة ، لولا بروتوكولات التسجيل. عدد قليل منهم موجود. وهي تحدد البيانات التي سيتم تضمينها في السجلات ، وكيف ينبغي تنسيق ذلك ، وأحيانًا ، كيف يتم نقلها بين الأنظمة.

يمكن القول إن Syslog هو بروتوكول التسجيل الأكثر استخدامًا ، خاصة في عالم Linux. تم اختراع هذه التقنية في أوائل الثمانينيات وأصبحت المعيار الفعلي لجميع الأنظمة الشبيهة بـ Unix. تتمثل إحدى أعظم أصول تقنية سجل النظام في كيفية تسهيل الفصل بين النظام أو البرنامج الذي يُنشئ السجلات ، والنظام الذي يخزنها ، والبرنامج الذي يُبلغ عنها ويحللها. يجعل استخدام تقنية Syslog إدارة السجلات أسهل بكثير. و Syslog ليس حصريًا لـ Unix. تستخدم العديد من الأجهزة التي لا تنتمي إلى نظام Unix ، مثل المفاتيح وأجهزة التوجيه وجميع أنواع المعدات من العديد من البائعين ، نوعًا مختلفًا من بروتوكول سجل النظام.

هناك تقنيات تسجيل أخرى. يستخدم Microsoft Windows ، على سبيل المثال ، نظام تسجيل مختلف. قد يتعلق الأمر بحقيقة أن أنظمة تشغيل Windows والتطبيقات لها سجلات تحتوي عادةً على معلومات أكثر تفصيلاً مما تسمح به تقنية Syslog. لحسن الحظ ، توفر وظائف Windows Event Collector وسيلة لإدارة السجلات يمكن أن تستخدمها أنظمة مختلفة لتلقي الأحداث من مضيفي Windows. يتعلق هذا المنشور بإدارة سجلات Linux ، لذلك دعونا لا نضيع الكثير من الوقت على Windows ، على الرغم من ذلك.

بغض النظر عن تقنية التسجيل المستخدمة ، يتمثل جزء مهم من إدارة السجل في تكوين الأجهزة لإرسال سجلاتهم إلى نظام الإدارة. يمكن للأنواع الأخرى من الأدوات مثل أنظمة مراقبة الشبكة جلب البيانات من الأنظمة التي تراقبها ولكن مع إدارة السجل ، يجب "إخبار" كل جهاز بمكان إرسال السجلات الخاصة به. ومع ذلك ، فهي مهمة بسيطة نسبيًا يتم إنجازها غالبًا عن طريق إصدار أمر بسيط.

قراءة أخرى:  أفضل برنامج لرسم الخرائط التخطيطية للشبكة والطوبولوجيا

خوادم السجل أم إدارة السجل؟

نظرًا لأنه كان متاحًا على كل نظام يشبه Unix - بما في ذلك Linux - لفترة طويلة ، غالبًا ما يتم استخدام Syslog كخادم سجل مع كمبيوتر واحد يتلقى بيانات Syslog من عدة أجهزة أخرى. في حين أن هذا التخزين المركزي للسجلات له مزايا محددة ، إلا أنه لا يكفي أن نطلق عليه إدارة السجل.

لكي تستحق اسم نظام إدارة السجل ، يجب أن يتضمن المنتج على الأقل بعض الوظائف الأكثر تقدمًا. وفقًا لـ Wikipedia ، "تتكون إدارة السجل من الوظائف التالية: جمع السجلات ، وتجميع السجل المركزي ، وتخزين السجلات والاحتفاظ بها على المدى الطويل ، وتناوب السجل ، وتحليل السجل ، والبحث في السجل ، وإعداد التقارير". رائع! هذا كثير من الوظائف. من ناحية أخرى ، غالبًا ما تقدم خوادم السجل فقط تجميع السجلات وتخزينها ونادرًا ما تقدم أكثر من ذلك.

كلمة (أو اثنتان) عن SIEM

هناك تقنية شائعة أخرى مرتبطة بالسجلات وغالبًا ما يتم الخلط بينها وبين أنظمة إدارة السجلات وهي معلومات الأمان وإدارة الأحداث ، أو SIEM. هذا يختلف عن إدارة السجل ولكنه وثيق الصلة. الخط رفيع جدًا بينهما لدرجة أن بعض المنتجات التي يتم الإعلان عنها كنظم لإدارة السجلات هي في الواقع أنظمة SIEM بينما بعض أنظمة SIEM الأساسية ليست أكثر من أنظمة إدارة سجلات متقدمة.

ينبع الالتباس من حقيقة أن إدارة السجل - أو على الأقل تحليل السجل - عنصر مهم في أنظمة SIEM. ما يميز أنظمة SIEM هو أنها تقوم بتحليل السجل بهدف نهائي هو تحديد مشكلات الأمان. سوف يبحثون ، على سبيل المثال ، عن علامات تسجيل الدخول غير الناجحة والتي يمكن أن تكون علامة منبهة لمحاولة اقتحام غير مصرح بها . تفحص هذه الأنظمة باستمرار إدخالات السجل بحثًا عن أي شيء خارج عن المألوف . بينما تتضمن بعض أنظمة SIEM ميزات إدارة سجلات شاملة ، يستخدم البعض نظام إدارة سجل خارجيًا وليس من غير المألوف رؤية كلا النظامين يعملان جنبًا إلى جنب.

القراءة ذات الصلة:  أفضل ماسحات IP لأجهزة Mac

أفضل إدارة سجلات لنظام Linux

نأمل أن يكون لدينا الآن فهم مشترك لماهية إدارة السجل وما هو ليس كذلك. لذا ، دعنا نلقي نظرة على ما هو متاح لنظام Linux. لكن أولاً ، دعنا نوضح شيئًا ما. عند الإشارة إلى إدارة سجل Linux ، ما نعنيه هو أنظمة إدارة السجلات التي يمكنها استيعاب سجلات Linux والتي ستعمل إما على نظام Linux الأساسي أو في السحابة. ستعمل بعض اختياراتنا - خاصة الأنظمة المستندة إلى مجموعة النظراء - أيضًا مع السجلات من الأنظمة الأساسية الأخرى.

1. SolarWinds Papertrail (تتوفر خطة مجانية)

أصبح SolarWinds اسمًا مألوفًا بين مسؤولي الشبكة. إنه يصنع بعضًا من أفضل الأدوات لما يقرب من 20 عامًا ، مما يوفر لنا أدوات مراقبة النطاق الترددي الرائعة وواحدًا من أفضل أدوات تحليل ومجمعات NetFlow. تشتهر الشركة أيضًا بنشر العديد من الأدوات المجانية التي تلبي بعض الاحتياجات المحددة لمسؤولي الشبكة مثل حاسبة الشبكة الفرعية أو خادم سجل النظام.

• خطة مجانية: SolarWinds Papertrail
• رابط التنزيل الرسمي: https://papertrailapp.com/plans

منذ وقت ليس ببعيد، سولارويندز حصلت Papertrail ، ونظام إدارة السجل الشعبي. يقوم بتجميع ملفات السجل من مجموعة واسعة من المنتجات الشائعة مثل Apache أو MySQL بالإضافة إلى تطبيقات Ruby on Rails وخدمات الاستضافة السحابية المختلفة وغيرها من ملفات السجل القياسية وملفات السجلات المستندة إلى النصوص. يمكن لمستخدمي Papertrail بعد ذلك استخدام واجهة البحث المستندة إلى الويب أو أدوات سطر الأوامر للبحث في هذه الملفات للمساعدة في تشخيص العديد من المشكلات. يتكامل Papertrail أيضًا مع منتجات SolarWinds الأخرى مثل Librato و Geckoboard لنتائج الرسوم البيانية.

Papertrail هو برنامج قائم على السحابة كخدمة (SaaS) يقدم من SolarWinds. كونك قائمًا على السحابة يعني أنه سيعمل بشكل جيد في بيئة Linux بالكامل. النظام الأساسي سهل التنفيذ والاستخدام والفهم ، وسوف يمنحك رؤية فورية عبر جميع الأنظمة في غضون دقائق. علاوة على ذلك ، يحتوي المنتج على محرك بحث فعال للغاية يمكنه البحث في كل من السجلات المخزنة والمتدفقة. وهو سريع البرق.

Papertrail متاح في إطار العديد من الخطط بما في ذلك خطة مجانية . ومع ذلك ، فهو محدود إلى حد ما ، ولا يسمح إلا بـ 100 ميغابايت من السجلات كل شهر. ومع ذلك ، سيسمح بسجلات 16 جيجابايت في الشهر الأول وهو ما يعادل منحك نسخة تجريبية مجانية مدتها 30 يومًا . تبدأ الخطط المدفوعة من 7 دولارات شهريًا لسجلات 1 جيجابايت / شهر ، وسنة واحدة من الأرشيف وأسبوع واحد من الفهرس. تسمح تصفية الضوضاء للأداة بالحفاظ على البيانات من خلال عدم حفظ السجلات عديمة الفائدة.

2. لوغلي

Loggly هي خدمة أخرى عبر الإنترنت قائمة على السحابة. في المقام الأول موحد للسجلات ، فإنه يوفر أيضًا وظيفة تحليل السجل. نظرًا لكون هذا النظام قائمًا على السحابة ، لا يتطلب أي تثبيت وهو جاهز للاستخدام في اللحظة التي تشترك فيها. بالطبع ، ستحتاج أنظمتك وأجهزتك إلى التهيئة لتحميل ملفات السجل القياسية الخاصة بها بشكل دوري إلى الخادم عبر الإنترنت.

• تجربة مجانية: خطط Loggly
• الرابط الرسمي: https://www.loggly.com

يقوم Loggly بعد ذلك بتحويل بيانات السجل المستلمة إلى تنسيق قياسي ، مما يسمح للمحلل بمعالجة السجلات من مصادر مختلفة وتمكين تتبع الأحداث والارتباط عبر جميع الأنظمة ، بغض النظر عن نظام التشغيل أو تقنية التسجيل. لا تقتصر مصادر بيانات السجل على الخوادم المحلية. النظام ، بالطبع ، قادر على معالجة السجلات التي تم إنشاؤها بواسطة الخوادم عبر الإنترنت ، مثل Amazon's AWS ويمكن أن يتضمن الرسائل التي تم إنشاؤها بواسطة تطبيقات معينة مثل Docker و Logstash ، على سبيل المثال لا الحصر.

و Loggly هي خدمة متوفرة تحت ثلاث خطط مختلفة، مع زيادة حدود معالجة البيانات والاحتفاظ مرات. تحتاج إلى اختيار الخيار المناسب لمنحك مساحة كافية لبيانات السجل الخاصة بك. تسمى خطة مستوى الدخول Loggly Lite. فهو حر في استخدامها. بموجب هذه الخطة ، يمكنك تحميل 200 ميغابايت من بيانات السجل يوميًا وسيحتفظ النظام بكل سجل لمدة سبعة أيام. التالي هو الخطة القياسية التي تمنحك بدل تحميل قدره 1 غيغابايت في اليوم وتحتفظ بالسجلات لمدة 30 يومًا. تتيح لك الخطط المدفوعة أيضًا استخدام حسابات مستخدمين متعددة. مع الحزمة القياسية ، يمكن أن يكون لديك ثلاثة حسابات مستخدمين. الطبقة العليا تسمى Loggly Enterprise. لا يوجد حد لعدد حسابات المستخدمين التي يمكنك إعدادها وتختلف الأسعار اعتمادًا على مقدار سعة التحميل وفترة الاستبقاء التي تطلبها. يمكن أن يكون الدفع لجميع الخطط المدفوعة إما شهريًا أو سنويًا ، وتتوفر نسخة تجريبية مجانية مدتها 14 يومًا في الخطة القياسية .

3. سبلنك

Splunk هو نظام معروف - ضمن مجتمع إدارة النظام - نظام شامل لإدارة السجلات لنظام Linux و Mac OS و Windows. أكثر من مجرد نظام أساسي لإدارة السجلات ، يعتبره البعض نظامًا كاملاً لمنع التطفل. المنتج متوفر في ثلاثة إصدارات. في الجزء العلوي يوجد Splunk Enterprise وهو نظام إدارة شبكة أكثر من كونه مجرد أداة لإدارة السجل. يبدأ السعر من 173 دولارًا شهريًا وستحصل على الكثير من الوظائف.

هناك أيضًا نسخة مجانية من Splunk وهي في الأساس نفس الأداة بدون بعض وظائفها الأكثر تقدمًا. في جوهرها ، يقتصر على تحليل ملف السجل. يمكنك تغذية أي من ملفات السجلات القياسية الخاصة بك أو إرسال بيانات مباشرة من خلال ملف إلى المحلل. النسخة المجانية لها بعض القيود. يمكن أن يكون لها ، على سبيل المثال ، حساب مستخدم واحد فقط وتقتصر سرعة نقل البيانات على 500 ميجابايت من السجلات يوميًا. تم تضمين وظيفة فرز البيانات وتصفيتها في Splunk ، مما يسهل جهود استكشاف الأخطاء وإصلاحها. يمكنك استخدام هذه الميزات لتقسيم سجلات السجل حسب التاريخ وكتابة كل مجموعة في ملفات جديدة. في الواقع ، هذه الوظيفة مرنة للغاية.

4. خادم سجل Nagios

تشتهر Nagios ببرمجياتها الممتازة لمراقبة الشبكة ولكن خادم السجل الخاص بها مثير للاهتمام. يُطلق على المنتج اسم خادم Nagios Log وهو يوفر إدارة ومراقبة وتحليل مركزي للسجلات. يمكن لهذه الأداة تبسيط عملية البحث في بيانات السجل بشكل كبير. يتيح لك أيضًا تعيين التنبيهات ليتم إعلامك بالتهديدات المحتملة علاوة على ذلك ، يتمتع البرنامج بتوافر عالٍ وتجاوز الفشل مضمّن فيه. علاوة على ذلك ، ستساعدك معالجات إعداد المصدر السهلة في تكوين الخوادم بسرعة لإرسال جميع بيانات السجل والبدء في مراقبة سجلاتك في غضون دقائق.

و Nagios دخول خادم يسمح لارتباط سهل من أحداث السجل عبر كافة الملقمات في عدد قليل من النقرات. سيتيح لك النظام عرض بيانات السجل في الوقت الفعلي ، مما يمنحك القدرة على تحليل المشكلات وحلها عند حدوثها. يتميز المنتج بقابلية تطوير رائعة وسيستمر في تلبية احتياجاتك مع نمو مؤسستك. يمكن إضافة مثيلات خادم سجل Nagios إضافية إلى مجموعة المراقبة ، مما يتيح لك إضافة المزيد من الطاقة والسرعة والتخزين والموثوقية بسرعة.

سعر المثيل الفردي لخادم Nagios Log هو 3 995 دولارًا ، وعلى الرغم من عدم توفر نسخة تجريبية مجانية ، إلا أن العرض التوضيحي المجاني عبر الإنترنت هو ، إذا كنت تفضل إلقاء نظرة مباشرة على المنتج.

5. Graylog

التالي في قائمتنا منتج يسمى Graylog . يقدم المنتج العديد من الميزات المثيرة للاهتمام. ستقوم الأداة بتحليل وإثراء السجلات وبيانات الأحداث من أي مصدر بيانات. تسمح خطوط أنابيب المعالجة الخاصة بها ببعض المرونة في التوجيه والقائمة السوداء والتعديل وإثراء الرسائل في الوقت الفعلي. سيبحث Graylog خلال تيرابايت من بيانات السجل لاكتشاف وتحليل المعلومات المهمة. تسمح لك صيغة البحث القوية بالعثور على ما تبحث عنه بالضبط.

باستخدام Graylog ، يمكنك إنشاء لوحات معلومات لتصور المقاييس ومراقبة الاتجاهات في موقع مركزي واحد. يمكنك استخدام إحصائيات الحقول والقيم السريعة والمخططات من صفحة نتائج البحث للتعمق للحصول على تحليل أعمق لبياناتك. يمتلك النظام أيضًا خيار تشغيل الإجراءات أو إصدار إشعارات حول أحداث مثل محاولات تسجيل الدخول الفاشلة أو الاستثناءات أو تدهور الأداء.

Graylog هو نظام مجاني مفتوح المصدر قائم على ملفات السجلات ويمكن أن يوفر لك وظائف أكثر بكثير من مجرد أداة مساعدة لأرشفة السجلات. يحتوي محلل السجلات هذا على واجهة مستخدم رسومية ويمكن تشغيله على Ubuntu و Debian و CentOS و SUSE Linux. يمكنك أيضًا تشغيله على جهاز افتراضي على Microsoft Windows ويمكنك تثبيت نظام Graylog على Amazon AWS.

6. ManageEngine EventLog Analyzer

ManageEngine ، اسم شائع آخر بين مسؤول الشبكة ، يقوم بإنشاء نظام إدارة سجل ممتاز يسمى ManageEngine EventLog Analyzer . سيقوم المنتج بجمع بيانات السجل لأكثر من 700 مصدر وإدارتها وتحليلها وربطها والبحث فيها باستخدام مزيج من جمع السجلات بدون وكيل والقائم على وكيل بالإضافة إلى استيراد السجل.

السرعة هي إحدى نقاط القوة في ManageEngine EventLog Analyzer . يمكنه معالجة بيانات السجل بسرعة مذهلة تبلغ 25000 سجل / ثانية واكتشاف الهجمات في الوقت الفعلي. يمكنه أيضًا إجراء تحليل جنائي سريع لتقليل تأثير الخرق. تمتد إمكانيات تدقيق النظام إلى سجلات الأجهزة المحيطة بالشبكة وأنشطة المستخدم وتغييرات حساب الخادم ووصول المستخدم والمزيد ، مما يساعدك على تلبية احتياجات تدقيق الأمان.

و سجل الأحداث محلل ManageEngine يتوفر في طبعة خفض ميزة الحرة التي لا تدعم سوى 5 مصادر السجل أو في إصدار premium الذي يبدأ في 595 $ وتتغير وفقا لعدد من الأجهزة والتطبيقات. يتوفر أيضًا إصدار تجريبي مجاني كامل الميزات لمدة 30 يومًا.