Los archivos de registro están presentes en casi todos los sistemas informáticos o dispositivos de red. Contienen detalles sobre los eventos que ocurren en cada sistema. Pueden resultar invaluables a la hora de solucionar varios problemas. También pueden revelar actividades maliciosas y, por lo tanto, pueden convertirse en un medio útil para garantizar la seguridad. Pero, ¿quién tiene tiempo para siquiera mirar los archivos de registro? Con el administrador típico administrando docenas de dispositivos, algunos de ellos registrando varios eventos por segundo, no hay forma de que alguien pueda realizar un seguimiento. Es por eso que se inventaron las herramientas de monitoreo de registros. Consolidan todos los registros de eventos en una sola ubicación y, a menudo, brindan herramientas y servicios de análisis que revisarán los registros y generarán alertas cada vez que se observe algo fuera de lo común. Hay muchas herramientas diferentes de monitoreo de registros disponibles y elegir la mejor puede resultar un desafío.
Comenzaremos nuestra discusión explorando los registros del sistema, qué son y cómo funcionan. A continuación, hablaremos sobre los registros de seguimiento. Al igual que antes, veremos qué significa y cómo se hace. Luego, le proporcionaremos más detalles sobre el análisis de registros, ya que esta es la función que hace que las herramientas de monitoreo de registros sean las más útiles. Como antes, describiremos qué es y las diferentes formas de análisis disponibles. Finalmente, revisaremos algunas de las mejores herramientas de monitoreo de registros que pudimos encontrar y le informaremos sobre sus características principales.
Registros del sistema en pocas palabras
En una oración, un archivo de registro, o registro del sistema, es un archivo que registra eventos que ocurren en un sistema operativo u otro software. El registro es el acto de mantener un registro del sistema. En el caso más simple, los mensajes simplemente se escriben en un solo archivo de registro. Si bien la mayoría de los sistemas usan principalmente archivos de texto para registrar eventos, algunos sistemas modernos usan algún tipo de base de datos para registrarlos.
Independientemente de cómo y dónde se registren los eventos, algunos sistemas le permiten definir el nivel de registro que necesita. Esto es particularmente cierto con los equipos de red en los que cada evento tiene un nivel de gravedad y los parámetros de registro se pueden configurar para que solo registren eventos de un cierto nivel de gravedad o superior. Otros tipos de sistemas también proporcionan una funcionalidad similar.
Acerca de los registros de supervisión
El seguimiento de los registros es un proceso de dos partes. La primera parte, y la más importante, es la recopilación de datos de registro de varios sistemas. Esto se logra de diferentes formas. Algunos sistemas se pueden configurar para enviar registros automáticamente a un servidor centralizado a través del protocolo Syslog. Las herramientas de monitoreo de registros generalmente tienen un servidor syslog incorporado para recibir datos de eventos directamente. Otros sistemas, como Windows, por ejemplo, funcionan de manera diferente. Existen varios medios para adquirir datos de registro de estos sistemas, como usar el Instrumental de administración de Windows o usar agentes locales que se ejecutan en hosts de Windows. No importa cómo se haga, cada sistema de monitoreo de registros incluye la funcionalidad requerida para recibir y consolidar datos de registros de múltiples fuentes.
El siguiente paso: análisis de registros
La segunda tarea de cualquier herramienta útil de monitoreo de registros es el análisis de registros. Aquí es donde las herramientas difieren más. Algunos solo ofrecerán un análisis muy básico, como activar una alerta cuando el número de eventos por unidad de tiempo alcance un umbral determinado. Herramientas más avanzadas examinarán cada evento y buscarán indicaciones específicas de problemas. Por ejemplo, una gran cantidad de inicios de sesión fallidos podría ser un signo de un intento de intrusión en curso. Podríamos dedicar páginas a describir las diferentes formas de análisis de registros que están disponibles. En cambio, lo invitamos a echar un vistazo a la revisión de diferentes productos a continuación para obtener detalles sobre lo que ofrece cada uno.
Las mejores herramientas de monitoreo de registros
Como indicamos anteriormente, hay muchas herramientas diferentes disponibles con distintos grados de funcionalidad. No todo el mundo necesita una herramienta con análisis exhaustivo y funciones de alta seguridad, por lo que incluimos una combinación de herramientas que proporcionan varios conjuntos de funciones. Algunas son herramientas más simples mientras que otras son más complejas. Depende de usted determinar qué herramienta se adapta mejor a sus necesidades. Afortunadamente, todas las herramientas de nuestra lista tienen una prueba gratuita disponible, por lo que nada le impide probar algunas, algo que recomendamos encarecidamente.
1. SolarWinds Log & Event Manager (prueba gratuita)
SolarWinds es un nombre común en el mundo de la monitorización. La compañía ha existido por más de 20 años y su producto estrella, llamado Network Performance Monitor, es reconocido por muchos como una de las mejores herramientas de monitoreo SNMP disponibles. Y como si eso no fuera suficiente, SolarWinds también es conocido por sus numerosas herramientas gratuitas. Se trata de herramientas más pequeñas, cada una de las cuales responde a una necesidad específica de los administradores de red. La calculadora de subred avanzada y el servidor TFTP SolarWinds son dos ejemplos excelentes de estas herramientas gratuitas.
En cuanto a SolarWinds Log & Event Manager (LEM) , es exactamente lo que implica su nombre. La herramienta tiene tantas funciones que muchos la consideran una herramienta de gestión de eventos e información de seguridad completa. Cuando se trata de monitorear y administrar registros, es probable que sea una de las herramientas de administración de registros más interesantes que puede encontrar. Tiene funciones de correlación y administración de registros muy útiles, así como un motor de informes impresionante.
El Log & Event Manager SolarWinds puede ayudar a mejorar la seguridad y el cumplimiento mediante la detección de actividades sospechosas y la identificación de las amenazas más rápido con la detección en tiempo caso de actividades sospechosas. También puede utilizar la herramienta para realizar investigaciones de eventos de seguridad y análisis forenses para mitigación y cumplimiento. Esta característica es la razón por la que muchos consideran el producto como una herramienta SIEM. Además, esta herramienta ayuda con la preparación para el cumplimiento normativo. Puede usarlo para demostrar el cumplimiento, gracias a sus informes probados por auditorías para HIPAA, PCI DSS, SOX, DISA STIG y más.
Las funciones de respuesta a eventos de SolarWinds Log & Event Manager no dejan nada que desear. El detallado sistema de respuesta en tiempo real reaccionará activamente a cada amenaza. Estar basado en el comportamiento en lugar del análisis de firmas significa que incluso está protegido contra amenazas desconocidas o futuras. Pero el tablero de la herramienta es posiblemente su mejor activo. Con un diseño simple, no tendrá problemas para identificar anomalías rápidamente.
El precio de SolarWinds Log & Event Manager se basa en la cantidad de nodos monitoreados. Varios niveles de licencias desde 30 a 2500 nodos están disponibles a partir de $ 4 665. Y si desea probar el producto antes de comprarlo, una versión de prueba gratuita de 30 días completamente funcional está disponible para descargar .
2. SolarWinds Log Manager para Orion (prueba gratuita)
El siguiente en nuestra lista es otro producto de SolarWinds llamado Log Manager for Orion . Orion, en caso de que no esté familiarizado con los productos de SolarWinds, fue la plataforma principal de la compañía hace unos años. Sigue siendo la arquitectura subyacente sobre la que se construyen muchos de los mejores productos de SolarWinds. Si está utilizando cualquiera de los Network Performance Monitor, NetFlow Traffic Analyzer, Network Configuration Manager, Virtualization Manager, Server and Application Monitor o Storage Resource Monitor, está utilizando Orion.
El Log Manager SolarWinds Orion añade capacidades de gestión de registros a cualquiera de las herramientas de monitorización y gestión basada en Orion. En resumen, el producto presenta una agregación de registros, etiquetado, filtrado y alertas potentes e intuitivos. Su integración con los productos de la plataforma Orion ofrece una vista unificada del monitoreo de la infraestructura de TI y los registros asociados. El producto se creó en colaboración con ingenieros de redes y sistemas para garantizar que se entendieran sus problemas y cómo resolverlos.
A pesar de su integración con la plataforma Orion, Log Manager se puede instalar solo y no requiere la instalación de ninguna otra herramienta Orion. El precio comienza en $ 1 495 y una versión de prueba gratuita de 30 días está disponible si desea probar el producto y ver cómo se adapta a sus necesidades.
3. PaperTrail (plan gratuito disponible)
El siguiente es otro producto de SolarWinds llamado Papertrail . Este es muy diferente de los dos anteriores, ya que es una oferta de software como servicio (SaaS) basada en la nube. La poderosa herramienta ya disfrutaba de cierta popularidad cuando SolarWinds la adquirió, hace unos años. Agrega archivos de registro de una multitud de productos como Apache o MySQL, así como aplicaciones Ruby on Rails, varios servicios de alojamiento en la nube y otros archivos de registro de texto estándar.
Para ayudar a diagnosticar errores y problemas de rendimiento, puede utilizar el motor de búsqueda Papertrail, muy eficaz y ultrarrápido, que puede buscar registros almacenados y de transmisión. El producto se integra con algunos otros productos SolarWinds como Librato y Geckoboard para graficar los resultados. Papertrail también es fácil de implementar, usar y comprender. Le proporcionará visibilidad instantánea de todos los sistemas en minutos.
Papertrail está disponible en varios planes, incluido un plan gratuito. Es algo limitado y solo permite 50 MB de registros cada mes. Sin embargo, permitirá 16 GB de registros en el primer mes, lo que equivale a ofrecerle una prueba gratuita e ilimitada de 30 días. Los planes pagados comienzan en $ 7 / mes por 1GB / mes de registros, 1 año de archivo y 1 semana de índice. El plan de $ 75 / mes con 8 GB de registros es el más popular . El filtrado de ruido permite que la herramienta preserve los datos al no guardar registros inútiles.
4. Monitor de red de PRTG
El PRTG Network Monitor de Paessler AG es un todo-en-uno sistema de monitoreo que se puede utilizar para controlar casi cualquier cosa, gracias a su arquitectura basada en sensores inteligentes integrado,. Una de las mejores características de este producto de nivel empresarial es sin duda su velocidad de configuración. Según Paessler, PRTG Network Monitor se puede configurar en solo un par de minutos. Aunque puede que no sea tan rápido para todos, sigue siendo una de las herramientas de monitoreo más fáciles y rápidas de configurar, gracias en parte a su proceso de autodescubrimiento.
El PRTG Network Monitor es un producto rico en funciones. En la base, es principalmente una herramienta de monitoreo de red que usa SNMP para sondear dispositivos y mostrar la utilización de sus interfaces en gráficos cronológicos. Sin embargo, mediante el uso de sensores adicionales, PRTG puede monitorear casi cualquier cosa. Los sensores son algo similares a los complementos, excepto que están incluidos con el producto. Y hay sensores disponibles para varios servidores, servicios y aplicaciones. En total, el producto incluye más de 200 sensores.
Para el control y la gestión de registros, se encuentran disponibles dos sensores diferentes. El sensor de la API de Windows del registro de eventos captura todos los mensajes de registro que genera Windows. Este sensor monitorea la tasa de mensajes de registro en lugar de su contenido y generará una alarma si la tasa de mensajes de registro de eventos alcanza un umbral crítico.
El otro sensor interesante, el sensor Syslog Receiver , recibe, monitorea y guarda mensajes de Syslog desde cualquier dispositivo. Sin embargo, no solo agregará registros de varias fuentes. Su funcionalidad de monitoreo activará alarmas siempre que surjan condiciones preocupantes, como un aumento en la tasa de recepción de registros.
El PRTG Network Monitor está disponible en dos versiones. La versión gratuita tiene todas las funciones, pero limitará su capacidad de monitoreo a 100 sensores. Cuando se usa SNMP, cada parámetro monitoreado cuenta como un sensor. Por ejemplo, si supervisa dos interfaces en un enrutador, contará como dos sensores. Cada instancia de un sensor de monitoreo específico también cuenta como uno. Si necesita más de 100 sensores, deberá comprar una licencia que comienza en $ 1 600 por 500 sensores. Está disponible una versión de prueba de 30 días gratuita, ilimitada por sensores y con todas las funciones.
5. Analizador de registro de eventos de ManageEngine
ManageEngine es otro conocido fabricante de herramientas de administración de redes entre los profesionales de TI. La empresa ofrece un sistema de gestión de registros llamado ManageEngine EventLog Analyzer . El producto recopila, administra, analiza, correlaciona y busca a través de los datos de registro de más de 700 fuentes utilizando una combinación o recopilación de registros sin agentes y basada en agentes, así como la importación de registros.
La capacidad de ManageEngine EventLog Analyzer es impresionante. Puede procesar datos de registro a una velocidad de hasta 25 000 registros / segundo y detectar ataques en tiempo real. La herramienta también puede realizar análisis forenses rápidamente, reduciendo así el impacto potencial de una infracción. Las capacidades de auditoría del sistema se extienden a los registros de los dispositivos del perímetro de la red, las actividades de los usuarios, los cambios de la cuenta del servidor, los accesos de los usuarios y más, lo que lo ayuda a satisfacer las necesidades de auditoría de seguridad.
La correlación de registro de eventos en tiempo real de la herramienta detecta instantáneamente intentos de ataque y rastrea posibles amenazas de seguridad al correlacionar los datos de registro con más de 30 reglas predefinidas para detectar ataques de fuerza bruta, bloqueos de cuentas, robo de datos, ataques a servidores web y muchos más. También cuenta con un analizador de registros personalizado que puede extraer campos de cualquier formato de registro legible por humanos. El producto realmente proporciona una única consola para ver todos sus datos de registro de seguridad.
El ManageEngine EventLog Analyzer está disponible en una edición gratuita característica-reducido que sólo admite 5 fuentes de registro o en una edición superior que comienza en $ 595 varía de acuerdo con el número de dispositivos y aplicaciones. También está disponible una versión de prueba gratuita de 30 días con todas las funciones.
6. Graylog
Graylog es una plataforma de administración de registros de código abierto y gratuita con muchas características interesantes. La herramienta puede analizar y enriquecer registros y datos de eventos de casi cualquier fuente de datos. Sus canales de procesamiento permiten cierta flexibilidad en el enrutamiento, la creación de listas negras, la modificación y el enriquecimiento de mensajes en tiempo real. La herramienta buscará a través de terabytes de datos de registro para descubrir y analizar información importante. Su sintaxis de búsqueda poderosa y bastante única le permite encontrar exactamente lo que está buscando.
Con Graylog , tiene la capacidad de crear paneles personalizados que le permiten visualizar métricas específicas y observar tendencias desde una ubicación central. Puede utilizar estadísticas de campo, valores rápidos y gráficos de la página de resultados de búsqueda para profundizar y obtener un análisis más profundo de sus datos. Además, el producto ofrece la opción de activar acciones o emitir notificaciones sobre eventos como intentos fallidos de inicio de sesión, excepciones o degradación del rendimiento.
Graylog está disponible como una versión limitada gratuita y de código abierto que también tiene soporte limitado. También hay una versión empresarial con funciones ampliadas y soporte ilimitado. También es gratuito para hasta 5 GB de registros por día. Dependiendo de lo grande y ocupada que sea su red. Podría ser suficiente para su necesidad. Los precios de la licencia y el soporte se pueden obtener comunicándose con el departamento de ventas de Graylog .
7. WhatsUp Log Management Suite
El WhatsUp Log Management Suite es una excelente herramienta de Ipswitch. Ipswitch, es necesario recordarle, es la compañía detrás de WhatsUp Gold, la herramienta de monitoreo de red súper popular. Esta es una herramienta automatizada que recopila, almacena, archiva y guarda registros del sistema, eventos de Windows y registros W3C / IIC. Sin embargo, no solo agrega registros y eventos, su vigilancia y análisis continuos de registros lo alertarán de cualquier actividad anormal.
El Management Suite WhatsUp Log seguirá eventos auditados con frecuencia, como los derechos de acceso y los archivos, carpetas y privilegios de objeto y generar alertas según sea necesario. También utiliza eventos recopilados para crear informes de cumplimiento para el cumplimiento de HIPAA, SOX, FISMA, PCI, MiFID o Basilea II. Este software también puede ayudar a transformar sus datos de registro sin procesar en información significativa para los gerentes o equipos de seguridad de TI, utilizando sus potentes funciones automatizadas de filtrado, correlación, generación de informes y conversión.
La suite WhatsUp Log Management es en realidad un conjunto de aplicaciones que incluyen las siguientes herramientas:
La información de precios de Log Management Suite no está disponible en Ipswitch. El producto se puede comprar directamente al editor oa través de la red de revendedores de Ipswitch. Por supuesto, también está disponible una versión de prueba gratuita.
8. LogDNA
Se dice que LogDNA es “ el sistema de gestión de registros más rápido, intuitivo y rentable ”. Esto tiende a ser cierto. Desde el principio, la instalación del producto solo toma un par de minutos antes de que pueda comenzar a recopilar y monitorear registros. No importa cómo se generen y transmitan los registros, cientos de esquemas de integración personalizados están disponibles dentro del producto para ayudarlo a centralizar los registros en una sola ubicación.
LogDNA está disponible en una versión basada en la nube o autohospedada, según sus preferencias. Es un producto altamente escalable que puede manejar cientos de miles de registros por segundo y docenas de terabytes por día mientras ofrece la máxima seguridad, así como análisis de registros en tiempo real. Tanto la empresa como sus productos cumplen con las normas SOC2, PCI y HIPAA, además de contar con la certificación Privacy Shield.
El modelo de precios simple de pago por GB de LogDNA elimina los contratos y las asignaciones de datos fijos, lo que lo convierte en uno de los costos totales de propiedad más bajos de cualquier solución de administración y monitoreo de registros pagados. Hay varios planes de suscripción disponibles con funciones cada vez mayores. El plan de nivel inferior es gratuito y los precios de los planes pagos varían de $ 1,50 / GB / mes a $ 3 / GB / mes, según la duración de la retención y la cantidad de usuarios. También está disponible una prueba gratuita, con todas las funciones e ilimitada de 14 días.
El mercado de software de gestión de red está muy concurrido. Acceda a su búsqueda siguiendo nuestras recomendaciones de las mejores herramientas de administración de red.
Los barridos de ping se pueden utilizar para su beneficio de muchas maneras. Siga leyendo mientras discutimos cómo y presentamos las 10 mejores herramientas de barrido de Ping que puede encontrar.
Los sitios web son importantes y deben ser monitoreados de cerca constantemente para un rendimiento adecuado. Estas son algunas de las mejores herramientas para monitorear sitios web.
Aquí hay un vistazo a algunas de las mejores herramientas de implementación de software para aliviar el dolor de administrar cualquier cantidad de máquinas.
Si está en la industria de la salud o de alguna manera está involucrado con TI en esa industria, es probable que haya oído hablar de HIPAA. La portabilidad del seguro médico
sFlow es un protocolo de análisis de flujo integrado en numerosos dispositivos de red. Repasamos los cinco mejores analizadores y recolectores de flujo gratuitos.
Dado que Linux se está volviendo cada vez más popular en los centros de datos, estamos analizando la supervisión del ancho de banda en Linux y también estamos revisando las mejores herramientas.
La seguridad del correo electrónico es una tarea importante de los proveedores de servicios gestionados. Estamos revisando SolarWinds Mail Assure, una de las mejores herramientas para ese propósito.
Si es un usuario avanzado de Windows, probablemente sepa y comprenda cómo realizar varias operaciones en su PC puede tener más de un enfoque y
El monitor de red de Windows requiere herramientas con requisitos limitados. Hoy, estamos echando un vistazo a las mejores herramientas de monitoreo de red para Windows 10.
