Con los sistemas actuales que generan una tonelada de datos de registro, no es de extrañar que los administradores siempre estén buscando soluciones de gestión de registros. Los registros, de forma predeterminada, a menudo se almacenan localmente. Esto tiene sentido ya que facilita vincularlos a su fuente. Pero cuando intentamos solucionar problemas y encontrar su causa raíz, a veces tenemos que mirar varios archivos de registro en numerosos dispositivos. ¿No sería bueno si todos los registros de todos los dispositivos estuvieran almacenados en un lugar centralizado? Este es el propósito de la gestión de registros . Y si su plataforma preferida es Linux, hay muchas opciones disponibles. Siga leyendo para descubrir algunas de las mejores gestiones de registros para Linux.
Empezaremos definiendo la gestión de registros. Verá que puede ser mucho más que centralizar el almacenamiento de registros. A continuación, analizaremos varias tecnologías de registro . Son la piedra angular de la gestión de registros y probablemente no existirían sin ellos. Continuando, diferenciaremos los servidores syslog de los sistemas de administración de registros y nos daremos cuenta de que no existe una demarcación clara entre ellos. A continuación, haremos una breve pausa y discutiremos los sistemas de gestión de eventos e información de seguridad . Son otro tipo de sistema que a menudo se confunde con la gestión de logs, gracias a la definición algo poco clara de cada uno. Y finalmente, revisaremos la mejor administración de registros para Linux.
¿Qué es la gestión de registros?
Antes de que podamos hablar sobre la gestión de registros, definamos qué es un registro. Definido de manera simple, un registro es la documentación producida automáticamente y con sello de tiempo de un evento relevante para un sistema en particular. En otras palabras, cada vez que ocurre un evento en un sistema, se genera un registro. Los sistemas y dispositivos generarán registros para diferentes tipos de eventos y muchos sistemas dan a los administradores cierto grado de control sobre qué evento genera un registro y cuál no.
En cuanto a la gestión de registros, simplemente se refiere a los procesos y políticas que se utilizan para administrar y facilitar la generación, transmisión, análisis, almacenamiento, archivo y eventual eliminación de grandes volúmenes de datos de registros. Aunque no se indica claramente, la gestión de registros implica un sistema centralizado donde se recopilan registros de múltiples fuentes. Sin embargo, la gestión de registros no es solo una recopilación de registros. Es la parte de gestión la más importante. Y los sistemas de administración de registros a menudo tienen múltiples funcionalidades, la recopilación de registros es solo una de ellas.
Una vez que el sistema de administración de registros recibe los registros, es necesario estandarizarlos en un formato común, ya que los diferentes sistemas dan formato a los registros de manera diferente e incluyen datos diferentes. Algunos inician un registro con la fecha y la hora, otros lo inician con un número de evento. Algunos solo incluyen un ID de evento, mientras que otros incluyen una descripción de texto completo del evento. Uno de los propósitos de los sistemas de gestión de registros es garantizar que todas las entradas de registros recopiladas se almacenen en un formato uniforme. Esto facilitará la correlación de eventos y la búsqueda final en el futuro.
Incluso la correlación y la búsqueda son dos funciones importantes adicionales de varios sistemas de gestión de registros. Los mejores incluyen un potente motor de búsqueda que permite a los administradores concentrarse precisamente en lo que necesitan. Las funciones de correlación agruparán automáticamente los eventos relacionados, incluso si son de diferentes fuentes. Cómo —y con qué éxito— los diferentes sistemas de administración de registros logran eso es un factor de diferenciación importante.
LEA TAMBIÉN: 15 mejores herramientas de monitoreo de red (nuestra propia revisión)
Tecnologías de tala
La gestión de registros sería mucho más difícil, quizás ni siquiera posible, si no fuera por los protocolos de registro. Existen algunos de ellos. Definen qué datos se incluirán en los registros, cómo deben formatearse y, a veces, cómo se transmitirán entre sistemas.
Syslog es posiblemente el protocolo de registro más utilizado , especialmente en el mundo de Linux. La tecnología se inventó a principios de los años ochenta y se ha convertido en el estándar de facto para todos los sistemas similares a Unix. Uno de los mayores activos de la tecnología syslog es cómo facilita la separación entre el sistema o software que genera los registros, el sistema que los almacena y el software que los informa y analiza. El uso de la tecnología Syslog facilita mucho la gestión de registros. Y Syslog no es exclusivo de Unix. Muchos dispositivos que no son Unix, como conmutadores, enrutadores y todo tipo de equipos de muchos proveedores, utilizan una variante del protocolo syslog.
Existen otras tecnologías de explotación forestal. Microsoft Windows, por ejemplo, usa un sistema de registro diferente. Puede que tenga que ver con el hecho de que los sistemas operativos y las aplicaciones de Windows tienen registros que normalmente contienen información más detallada que la que permite la tecnología Syslog. Afortunadamente, las funciones del recopilador de eventos de Windows proporcionan un medio para la administración de registros que varios sistemas pueden usar para recibir eventos de los hosts de Windows. Esta publicación trata sobre la administración de registros de Linux, así que no perdamos demasiado tiempo en Windows.
Independientemente de la tecnología de registro que se utilice, una parte importante de la gestión de registros es configurar los dispositivos para enviar sus registros al sistema de gestión. Otros tipos de herramientas, como los sistemas de monitoreo de red, pueden obtener datos de los sistemas que monitorean, pero con la administración de registros, se debe "decir" a cada dispositivo dónde enviar sus registros. Sin embargo, es una tarea relativamente simple que a menudo se logra emitiendo un comando simple.
LECTURAS ADICIONALES: El mejor software de topología y mapeo de diagramas de red
¿Servidores de registro o administración de registros?
Dado que ha estado disponible en todos los sistemas similares a Unix, incluido Linux, durante bastante tiempo, Syslog se usa a menudo como un servidor de registro con una computadora que recibe datos de Syslog de varias otras. Si bien este almacenamiento centralizado de registros tiene claras ventajas, no basta con llamarlo administración de registros.
Para merecer el nombre de Sistema de gestión de registros, un producto debe incluir al menos algunas de las funciones más avanzadas. Según Wikipedia, "la gestión de registros se compone de las siguientes funciones: recopilación de registros, agregación centralizada de registros, almacenamiento y retención de registros a largo plazo, rotación de registros, análisis de registros, búsqueda de registros e informes". ¡Guau! Eso es mucha funcionalidad. Los servidores de registros, por otro lado, a menudo solo ofrecen la recopilación y el almacenamiento de registros y rara vez más que eso.
Una palabra (o dos) sobre SIEM
Otra tecnología popular que se asocia con los registros y que a menudo se confunde con los sistemas de administración de registros es la administración de eventos e información de seguridad, o SIEM. Esto es diferente de la gestión de registros, pero está estrechamente relacionado. La línea entre ellos es tan delgada que algunos productos anunciados como sistemas de administración de registros son en realidad sistemas SIEM, mientras que algunos sistemas SIEM básicos no son más que sistemas avanzados de administración de registros.
La confusión surge del hecho de que la gestión de registros (o, al menos, el análisis de registros) es un componente importante de los sistemas SIEM. Lo que diferencia a los sistemas SIEM es que realizan análisis de registros con el objetivo final de identificar problemas de seguridad. Por ejemplo, buscarán signos de inicios de sesión fallidos que podrían ser un signo revelador de un intento de intrusión no autorizado . Estos sistemas escanean continuamente las entradas del registro en busca de cualquier cosa fuera de lo común . Si bien algunos sistemas SIEM incluyen amplias funciones de administración de registros, algunos usan un sistema de administración de registros externo y no es raro ver que ambos sistemas se ejecutan uno al lado del otro.
LECTURA RELACIONADA: Los mejores escáneres IP para Mac
La mejor gestión de registros para Linux
Con suerte, ahora tenemos un entendimiento común de qué es y qué no es la administración de registros. Entonces, echemos un vistazo a lo que está disponible para Linux. Pero primero, aclaremos algo. Cuando nos referimos a la gestión de registros de Linux, nos referimos a sistemas de gestión de registros que pueden acomodar registros de Linux y que se ejecutarán en la plataforma Linux o en la nube. Algunas de nuestras selecciones, en particular los sistemas basados en la nube, también funcionarán con registros de otras plataformas.
1. SolarWinds Papertrail (PLAN GRATUITO DISPONIBLE)
SolarWinds se ha convertido en un nombre familiar entre los administradores de red. Ha creado algunas de las mejores herramientas durante casi 20 años, brindándonos excelentes herramientas de monitoreo de ancho de banda y uno de los mejores analizadores y recolectores de NetFlow. La compañía también es conocida por publicar varias herramientas gratuitas que abordan algunas necesidades específicas de los administradores de red, como una calculadora de subred o un servidor syslog.
No hace mucho tiempo, SolarWinds adquirieron Papertrail , un sistema de gestión de registros popular. Agrega archivos de registro de una amplia variedad de productos populares como Apache o MySQL, así como aplicaciones Ruby on Rails, diferentes servicios de alojamiento en la nube y otros archivos de registro estándar de syslog y basados en texto. Los usuarios de Papertrail pueden usar la interfaz de búsqueda basada en web o las herramientas de línea de comandos para buscar en estos archivos y ayudar a diagnosticar varios problemas. Papertrail también se integra con otros productos SolarWinds como Librato y Geckoboard para graficar resultados.
Papertrail es una oferta de software como servicio (SaaS) basada en la nube de SolarWinds. Estar basado en la nube significa que funcionará bien en un entorno totalmente Linux. La plataforma es fácil de implementar, usar y comprender, y le brindará visibilidad instantánea de todos los sistemas en cuestión de minutos. Además, el producto tiene un motor de búsqueda muy eficaz que puede buscar tanto en registros almacenados como en streaming. Y es rápido como un rayo.
Papertrail está disponible en varios planes, incluido un plan gratuito . Sin embargo, es algo limitado y solo permite 100 MB de registros cada mes. Sin embargo, permitirá 16 GB de registros en el primer mes, lo que equivale a ofrecerle una prueba gratuita de 30 días . Los planes pagados comienzan en $ 7 / mes por 1GB / mes de registros, 1 año de archivo y 1 semana de índice. El filtrado de ruido permite que la herramienta preserve los datos al no guardar registros inútiles.
2. Loggly
Loggly es otro servicio en línea basado en la nube. Principalmente un consolidador de registros, también ofrece la funcionalidad de análisis de registros. Como virtud de estar basado en la nube, este sistema no requiere instalación y está listo para usar en el momento en que se suscribe. Por supuesto, sus sistemas y dispositivos deberán configurarse para cargar sus archivos de registro estándar periódicamente en el servidor en línea.
Luego, Loggly convierte los datos de registro recibidos a un formato estándar, lo que permite que el analizador procese registros de varias fuentes y habilita el seguimiento y la correlación de eventos en todos los sistemas, independientemente de su sistema operativo o tecnología de registro. Las fuentes de los datos de registro no se limitan a sus servidores locales. El sistema, por supuesto, puede procesar registros generados por servidores en línea, como AWS de Amazon, y puede incluir mensajes creados por aplicaciones específicas como Docker y Logstash, solo por nombrar algunas.
El servicio Loggly está disponible en tres planes diferentes, con límites de procesamiento de datos y tiempos de retención cada vez mayores. Debe elegir el correcto para que tenga suficiente espacio para sus datos de registro. El plan de nivel de entrada se llama Loggly Lite. Es de uso gratuito. Con este plan, puede cargar 200 MB de datos de registro por día y el sistema retendrá cada registro durante siete días. El siguiente es el plan Estándar, que le otorga una asignación de carga de 1 GB por día y conserva los registros durante 30 días. Los planes pagos también le permiten utilizar varias cuentas de usuario. Con el paquete Estándar, puede tener tres cuentas de usuario. El nivel superior se llama Loggly Enterprise. No tiene límite para la cantidad de cuentas de usuario que puede configurar y los precios varían según la cantidad de capacidad de carga y el período de retención que requiera. El pago de todos los planes pagados puede ser mensual o anual y hay una prueba gratuita de 14 días disponible en el plan Estándar .
3. Splunk
Splunk es un sistema integral de administración de registros bien conocido dentro de la comunidad de administración de sistemas para Linux, Mac OS y Windows. Más que un sistema básico de administración de registros, algunos lo consideran un sistema de prevención de intrusiones completo. El producto está disponible en tres versiones. En la parte superior está Splunk Enterprise, que es más un sistema de administración de red que una simple herramienta de administración de registros. Los precios comienzan en $ 173 por mes y obtienes mucha funcionalidad.
También hay una versión gratuita de Splunk que es básicamente la misma herramienta sin algunas de sus funcionalidades más avanzadas. En esencia, está restringido al análisis de archivos de registro. Puede alimentar cualquiera de sus archivos de registros estándar o enviarlos datos en vivo a través de un archivo al analizador. La versión gratuita tiene algunas limitaciones. Por ejemplo, solo puede tener una cuenta de usuario y su rendimiento de datos está limitado a 500 MB de registros por día. La funcionalidad de clasificación y filtrado de datos está integrada en Splunk, lo que facilita sus esfuerzos de solución de problemas. Puede utilizar estas funciones para dividir los registros por fecha y escribir cada grupo en archivos nuevos. De hecho, esta funcionalidad es muy flexible.
4. Servidor de registro de Nagios
Nagios es mejor conocido por su excelente software de monitoreo de red, pero su Log Server es igualmente interesante. El producto se llama simplemente Nagios Log Server y ofrece administración, monitoreo y análisis de registros centralizados. Esta herramienta puede simplificar enormemente el proceso de búsqueda de datos de registro. También le permite configurar alertas para recibir notificaciones de posibles amenazas. Además, el software tiene una alta disponibilidad y una conmutación por error incorporada. Además, sus asistentes de configuración de fuente fáciles lo ayudarán a configurar rápidamente los servidores para enviar todos los datos de registro y comenzar a monitorear sus registros en minutos.
El servidor de registro de Nagios permite una fácil correlación de los eventos de registro en todos los servidores con solo unos pocos clics. El sistema le permitirá ver los datos de registro en tiempo real, dándole la capacidad de analizar y resolver problemas a medida que ocurren. El producto presenta una escalabilidad impresionante y seguirá satisfaciendo sus necesidades a medida que su organización crezca. Se pueden agregar instancias adicionales de Nagios Log Server a un clúster de monitoreo, lo que le permite agregar rápidamente más potencia, velocidad, almacenamiento y confiabilidad.
El precio de una sola instancia para el servidor de registro de Nagios es de $ 3 995 y, aunque no parece que haya disponible una versión de prueba gratuita, sí lo está si prefiere ver el producto de primera mano.
5. Graylog
El siguiente en nuestra lista es un producto llamado Graylog . El producto ofrece muchas características interesantes. La herramienta analizará y enriquecerá los registros y los datos de eventos de cualquier fuente de datos. Sus canales de procesamiento permiten cierta flexibilidad en el enrutamiento, la creación de listas negras, la modificación y el enriquecimiento de mensajes en tiempo real. Graylog buscará a través de terabytes de datos de registro para descubrir y analizar información importante. La potente sintaxis de búsqueda le permite encontrar exactamente lo que busca.
Con Graylog , puede crear paneles para visualizar métricas y observar tendencias en una ubicación central. Puede utilizar estadísticas de campo, valores rápidos y gráficos de la página de resultados de búsqueda para sumergirse en un análisis más profundo de sus datos. El sistema también tiene la opción de activar acciones o emitir notificaciones sobre eventos como intentos fallidos de inicio de sesión, excepciones o degradación del rendimiento.
Graylog es un sistema gratuito de código abierto basado en archivos de registro que puede brindarle muchas más funciones que una simple utilidad de archivo de registros. Este analizador de registros tiene una interfaz gráfica de usuario y puede ejecutarse en Ubuntu, Debian, CentOS y SUSE Linux. También puede ejecutarlo en una máquina virtual en Microsoft Windows y puede instalar el sistema Graylog en Amazon AWS.
6. Analizador de registros de eventos de ManageEngine
ManageEngine , otro nombre común entre los administradores de red, es un excelente sistema de administración de registros llamado ManageEngine EventLog Analyzer . El producto recopilará, gestionará, analizará, correlacionará y buscará a través de los datos de registro de más de 700 fuentes mediante una combinación de recopilación de registros sin agente y basada en agentes, así como importación de registros.
La velocidad es uno de los puntos fuertes de ManageEngine EventLog Analyzer . Puede procesar datos de registro a una velocidad impresionante de 25.000 registros / segundo y detectar ataques en tiempo real. También puede realizar análisis forenses rápidos para reducir el impacto de una infracción. Las capacidades de auditoría del sistema se extienden a los registros de los dispositivos del perímetro de la red, las actividades de los usuarios, los cambios de la cuenta del servidor, los accesos de los usuarios y más, lo que lo ayuda a satisfacer las necesidades de auditoría de seguridad.
El ManageEngine EventLog Analyzer está disponible en una edición gratuita característica-reducido que sólo admite 5 fuentes de registro o en una edición superior que comienza en $ 595 varía de acuerdo con el número de dispositivos y aplicaciones. También está disponible una versión de prueba gratuita de 30 días con todas las funciones.
El mercado de software de gestión de red está muy concurrido. Acceda a su búsqueda siguiendo nuestras recomendaciones de las mejores herramientas de administración de red.
Los barridos de ping se pueden utilizar para su beneficio de muchas maneras. Siga leyendo mientras discutimos cómo y presentamos las 10 mejores herramientas de barrido de Ping que puede encontrar.
Los sitios web son importantes y deben ser monitoreados de cerca constantemente para un rendimiento adecuado. Estas son algunas de las mejores herramientas para monitorear sitios web.
Aquí hay un vistazo a algunas de las mejores herramientas de implementación de software para aliviar el dolor de administrar cualquier cantidad de máquinas.
Si está en la industria de la salud o de alguna manera está involucrado con TI en esa industria, es probable que haya oído hablar de HIPAA. La portabilidad del seguro médico
sFlow es un protocolo de análisis de flujo integrado en numerosos dispositivos de red. Repasamos los cinco mejores analizadores y recolectores de flujo gratuitos.
Dado que Linux se está volviendo cada vez más popular en los centros de datos, estamos analizando la supervisión del ancho de banda en Linux y también estamos revisando las mejores herramientas.
La seguridad del correo electrónico es una tarea importante de los proveedores de servicios gestionados. Estamos revisando SolarWinds Mail Assure, una de las mejores herramientas para ese propósito.
Si es un usuario avanzado de Windows, probablemente sepa y comprenda cómo realizar varias operaciones en su PC puede tener más de un enfoque y
El monitor de red de Windows requiere herramientas con requisitos limitados. Hoy, estamos echando un vistazo a las mejores herramientas de monitoreo de red para Windows 10.
