Avec les systèmes d'aujourd'hui générant une tonne de données de journalisation, il n'est pas surprenant que les administrateurs soient toujours à la recherche de solutions de gestion des journaux. Les journaux sont, par défaut, souvent stockés localement. Cela est logique car il est facile de les lier à leur source. Mais lorsque nous essayons de résoudre des problèmes et de trouver leur cause première, nous devons parfois consulter plusieurs fichiers journaux sur de nombreux appareils. Ne serait-il pas bien que tous les journaux de tous les appareils soient stockés dans un seul endroit centralisé ? C'est le but de la gestion des journaux . Et si votre plate-forme de prédilection est Linux, de nombreuses options sont disponibles. Continuez à lire pendant que nous découvrons certaines des meilleures gestions de journaux pour Linux
Nous allons commencer par définir la gestion des logs. Vous verrez que cela peut être bien plus que simplement centraliser le stockage des journaux. Ensuite, nous aborderons diverses technologies de journalisation . Ils sont la pierre angulaire de la gestion des journaux et il n'existerait probablement pas sans eux. En continuant, nous différencierons les serveurs syslog des systèmes de gestion de journaux et réaliserons qu'il n'y a pas de démarcation claire entre eux. Ensuite, nous ferons une brève pause et discuterons des systèmes d'informations de sécurité et de gestion des événements . Il s'agit d'un autre type de système que l'on confond souvent avec la gestion des logs, en raison de la définition quelque peu floue de chacun. Et enfin, nous passerons en revue la meilleure gestion des journaux pour Linux.
Qu'est-ce que la gestion des journaux ?
Avant de parler de gestion des journaux, définissons ce qu'est un journal. Simplement défini, un journal est la documentation produite automatiquement et horodatée d'un événement relatif à un système particulier. En d'autres termes, chaque fois qu'un événement se produit sur un système, un journal est généré. Les systèmes et les périphériques génèrent des journaux pour différents types d'événements et de nombreux systèmes donnent aux administrateurs un certain degré de contrôle sur l'événement qui génère un journal et celui qui ne le fait pas.
Quant à la gestion des journaux, elle fait simplement référence aux processus et politiques utilisés pour administrer et faciliter la génération, la transmission, l'analyse, le stockage, l'archivage et l'élimination éventuelle de gros volumes de données de journaux. Bien que cela ne soit pas clairement indiqué, la gestion des journaux implique un système centralisé où les journaux de plusieurs sources sont collectés. Cependant, la gestion des journaux ne se limite pas à la collecte de journaux. C'est la partie gestion qui est la plus importante. Et les systèmes de gestion des journaux ont souvent de multiples fonctionnalités, la collecte des journaux n'étant que l'une d'entre elles.
Une fois que les journaux sont reçus par le système de gestion des journaux, ils doivent être standardisés dans un format commun, car différents systèmes formatent les journaux différemment et incluent des données différentes. Certains démarrent un journal avec la date et l'heure, d'autres le démarrent avec un numéro d'événement. Certains incluent uniquement un ID d'événement tandis que d'autres incluent une description en texte intégral de l'événement. L'un des objectifs des systèmes de gestion des journaux est de garantir que toutes les entrées de journal collectées sont stockées dans un format uniforme. Cela facilitera grandement la corrélation des événements et la recherche éventuelle sur toute la ligne.
Même la corrélation et la recherche sont deux fonctions majeures supplémentaires de plusieurs systèmes de gestion de journaux. Les meilleurs d'entre eux disposent d'un puissant moteur de recherche qui permet aux administrateurs de se concentrer précisément sur ce dont ils ont besoin. Les fonctions de corrélation regrouperont automatiquement les événements liés, même s'ils proviennent de sources différentes. Comment (et avec quel succès) les différents systèmes de gestion des journaux y parviennent est un facteur de différenciation majeur.
A LIRE AUSSI : 15 meilleurs outils de surveillance de réseau (notre propre critique)
Technologies de journalisation
La gestion des journaux serait beaucoup plus difficile, voire impossible, sans les protocoles de journalisation. Quelques-uns d'entre eux existent. Ils définissent quelles données doivent être incluses dans les journaux, comment elles doivent être formatées et, parfois, comment elles doivent être transmises entre les systèmes.
Syslog est sans doute le protocole de journalisation le plus utilisé , en particulier dans le monde Linux. La technologie a été inventée au début des années 80 et est devenue la norme de facto pour tous les systèmes de type Unix. L'un des plus grands atouts de la technologie syslog est la façon dont elle facilite la séparation entre le système ou le logiciel qui génère les journaux, le système qui les stocke et le logiciel qui les rapporte et les analyse. L'utilisation de la technologie Syslog facilite grandement la gestion des journaux. Et Syslog n'est pas une exclusivité Unix. De nombreux périphériques non Unix tels que les commutateurs, les routeurs et toutes sortes d'équipements de nombreux fournisseurs utilisent une variante du protocole syslog.
Il existe d'autres technologies de journalisation. Microsoft Windows, par exemple, utilise un système de journalisation différent. Cela peut être dû au fait que les systèmes d'exploitation et les applications Windows ont des journaux qui contiennent généralement des informations plus détaillées que ne le permet la technologie Syslog. Heureusement, les fonctions du collecteur d'événements Windows fournissent un moyen de gestion des journaux que divers systèmes peuvent utiliser pour recevoir des événements des hôtes Windows. Cet article concerne la gestion des journaux Linux, alors ne perdons pas trop de temps sur Windows.
Quelle que soit la technologie de journalisation utilisée, une partie importante de la gestion des journaux consiste à configurer les périphériques pour envoyer leurs journaux au système de gestion. D'autres types d'outils, tels que les systèmes de surveillance de réseau, peuvent récupérer les données des systèmes qu'ils surveillent, mais avec la gestion des journaux, chaque appareil doit être « indiqué » où envoyer ses journaux. Il s'agit cependant d'une tâche relativement simple qui est souvent accomplie en émettant une simple commande.
LECTURES COMPLÉMENTAIRES : Meilleur logiciel de cartographie et de topologie de schéma de réseau
Serveurs de journaux ou gestion des journaux ?
Comme il est disponible sur tous les systèmes de type Unix, y compris Linux, depuis un certain temps, Syslog est souvent utilisé comme serveur de journaux avec un ordinateur recevant les données Syslog de plusieurs autres. Si ce stockage centralisé des logs présente des avantages certains, il ne suffit pas de l'appeler gestion des logs.
Pour mériter le nom Log Management System, un produit doit inclure au moins certaines des fonctions les plus avancées. Selon Wikipedia, « la gestion des journaux comprend les fonctions suivantes : collecte de journaux, agrégation centralisée des journaux, stockage et conservation à long terme des journaux, rotation des journaux, analyse des journaux, recherche de journaux et création de rapports ». Wow! C'est beaucoup de fonctionnalités. Les serveurs de journaux, en revanche, n'offrent souvent que la collecte et le stockage des journaux et rarement plus que cela.
Un mot (ou deux) sur SIEM
Une autre technologie populaire associée aux journaux et souvent confondue avec les systèmes de gestion des journaux est la gestion des informations et des événements de sécurité, ou SIEM. Ceci est différent de la gestion des journaux, mais il est étroitement lié. La ligne est si mince entre eux que certains produits annoncés comme des systèmes de gestion de journaux sont en fait des systèmes SIEM tandis que certains systèmes SIEM de base ne sont rien de plus que des systèmes avancés de gestion de journaux.
La confusion vient du fait que la gestion des journaux - ou, à tout le moins, l'analyse des journaux - est un composant important des systèmes SIEM. Ce qui différencie les systèmes SIEM, c'est qu'ils effectuent une analyse des journaux dans le but ultime d'identifier les problèmes de sécurité. Ils rechercheront, par exemple, des signes de connexions infructueuses qui pourraient être le signe révélateur d'une tentative d'intrusion non autorisée . Ces systèmes analysent en permanence les entrées de journal à la recherche de tout ce qui sort de l'ordinaire . Alors que certains systèmes SIEM incluent des fonctionnalités étendues de gestion des journaux, certains utilisent un système de gestion des journaux externe et il n'est pas rare de voir les deux systèmes fonctionner côte à côte.
LECTURE CONNEXE : Meilleurs scanners IP pour Mac
La meilleure gestion des journaux pour Linux
Espérons que nous ayons maintenant une compréhension commune de ce qu'est la gestion des journaux et de ce qu'elle n'est pas. Voyons donc ce qui est disponible pour Linux. Mais d'abord, clarifions quelque chose. Lorsque nous nous référons à la gestion des journaux Linux, nous entendons par là des systèmes de gestion des journaux pouvant accueillir les journaux Linux et qui s'exécuteront soit sur la plate-forme Linux, soit dans le cloud. Certaines de nos sélections, en particulier les systèmes basés sur le cloud, fonctionneront également avec les journaux d'autres plates-formes.
1. SolarWinds Papertrail (UN PLAN GRATUIT DISPONIBLE)
SolarWinds est devenu un nom familier parmi les administrateurs de réseau. Il fabrique certains des meilleurs outils depuis près de 20 ans, nous apportant d'excellents outils de surveillance de la bande passante et l'un des meilleurs analyseurs et collecteurs NetFlow. La société est également connue pour publier plusieurs outils gratuits qui répondent à certains besoins spécifiques des administrateurs réseau, tels qu'un calculateur de sous-réseau ou un serveur syslog.
Il n'y a pas si longtemps, SolarWinds a acquis Papertrail , un système de gestion de journaux populaire. Il agrège les fichiers journaux d'une grande variété de produits populaires comme Apache ou MySQL ainsi que les applications Ruby on Rails, différents services d'hébergement cloud et d'autres fichiers journaux syslog et textuels standard. Les utilisateurs de Papertrail peuvent ensuite utiliser l'interface de recherche Web ou les outils de ligne de commande pour rechercher dans ces fichiers afin de diagnostiquer divers problèmes. Papertrail s'intègre également à d'autres produits SolarWinds tels que Librato et Geckoboard pour la représentation graphique des résultats.
Papertrail est une offre de logiciel en tant que service (SaaS) basée sur le cloud de SolarWinds. Être basé sur le cloud signifie qu'il fonctionnera correctement dans un environnement entièrement Linux. La plate-forme est facile à mettre en œuvre, à utiliser et à comprendre, et elle vous donnera une visibilité instantanée sur tous les systèmes en quelques minutes. De plus, le produit dispose d'un moteur de recherche très efficace qui peut rechercher à la fois les journaux stockés et les journaux en streaming. Et c'est rapide comme l'éclair.
Papertrail est disponible sous plusieurs plans dont un plan gratuit . Il est cependant quelque peu limité et n'autorise que 100 Mo de journaux par mois. Il autorisera cependant 16 Go de journaux le premier mois, ce qui équivaut à vous offrir un essai gratuit de 30 jours . Les forfaits payants commencent à 7 $/mois pour 1 Go/mois de journaux, 1 an d'archive et 1 semaine d'index. Le filtrage du bruit permet à l'outil de préserver les données en n'enregistrant pas les journaux inutiles.
2. Logiquement
Loggly est un autre service en ligne basé sur le cloud. Principalement un consolidateur de journaux, il offre également une fonctionnalité d'analyse de journaux. En raison d'être basé sur le cloud, ce système ne nécessite aucune installation et est prêt à être utilisé dès que vous vous abonnez. Bien entendu, vos systèmes et appareils devront être configurés pour télécharger périodiquement leurs fichiers journaux standard sur le serveur en ligne.
Loggly convertit ensuite les données de journal reçues dans un format standard, permettant ainsi à l'analyseur de traiter les enregistrements provenant de diverses sources et permettant le suivi et la corrélation des événements sur tous les systèmes, quel que soit leur système d'exploitation ou leur technologie de journalisation. Les sources de données de journal ne se limitent pas à vos serveurs sur site. Le système est, bien sûr, capable de traiter les journaux générés par les serveurs en ligne, tels que AWS d'Amazon et il peut inclure des messages créés par des applications spécifiques telles que Docker et Logstash, pour n'en nommer que quelques-uns.
Le service Loggly est disponible sous trois plans différents, avec des limites de traitement des données et des durées de conservation croissantes. Vous devez choisir le bon pour vous donner suffisamment d'espace pour vos données de journal. Le plan d'entrée de gamme s'appelle Loggly Lite. C'est gratuit à utiliser. Dans le cadre de ce plan, vous pouvez télécharger 200 Mo de données de journal par jour et le système conservera chaque enregistrement pendant sept jours. Vient ensuite le forfait Standard qui vous offre une allocation de téléchargement de 1 Go par jour et conserve les enregistrements pendant 30 jours. Les forfaits payants vous permettent également d'utiliser plusieurs comptes d'utilisateurs. Avec le forfait Standard, vous pouvez avoir trois comptes d'utilisateurs. Le niveau supérieur s'appelle Loggly Enterprise. Il n'y a pas de limite au nombre de comptes d'utilisateurs que vous pouvez configurer et les prix varient en fonction de la capacité de téléchargement et de la période de rétention dont vous avez besoin. Le paiement de tous les forfaits payants peut être mensuel ou annuel et un essai gratuit de 14 jours est disponible sur le forfait Standard .
3. Splunk
Splunk est un système de gestion de journaux complet bien connu, au sein de la communauté des administrateurs système, pour Linux, Mac OS et Windows. Plus qu'un simple système de gestion de journaux de base, certains le considèrent comme un système de prévention des intrusions à part entière. Le produit est disponible en trois versions. Au sommet se trouve Splunk Enterprise, qui est plus un système de gestion de réseau qu'un simple outil de gestion de journaux. Le prix commence à 173 $ par mois et vous obtenez de nombreuses fonctionnalités.
Il existe également une version gratuite de Splunk qui est essentiellement le même outil sans certaines de ses fonctionnalités les plus avancées. En substance, il est limité à l'analyse des fichiers journaux. Vous pouvez alimenter n'importe lequel de vos fichiers journaux standard ou lui envoyer des données en direct via un fichier dans l'analyseur. La version gratuite a quelques limitations. Il peut, par exemple, n'avoir qu'un seul compte utilisateur et son débit de données est limité à 500 Mo de journaux par jour. La fonctionnalité de tri et de filtrage des données est intégrée à Splunk, facilitant vos efforts de dépannage. Vous pouvez utiliser ces fonctionnalités pour diviser les enregistrements de journal par date et écrire chaque groupe dans de nouveaux fichiers. En fait, cette fonctionnalité est très flexible.
4. Serveur de journaux Nagios
Nagios est surtout connu pour son excellent logiciel de surveillance de réseau mais son Log Server est tout aussi intéressant. Le produit s'appelle simplement Nagios Log Server et offre une gestion, une surveillance et une analyse centralisées des journaux. Cet outil peut grandement simplifier le processus de recherche de vos données de journal. Il vous permet également de définir des alertes pour être averti des menaces potentielles. De plus, le logiciel intègre une haute disponibilité et un basculement. De plus, ses assistants de configuration de source faciles vous aideront à configurer rapidement les serveurs pour envoyer toutes les données de journal et commencer à surveiller vos journaux en quelques minutes.
Le serveur de journaux Nagios permet une corrélation facile des événements de journaux sur tous les serveurs en quelques clics. Le système vous permettra d'afficher les données du journal en temps réel, vous donnant la possibilité d'analyser et de résoudre les problèmes au fur et à mesure qu'ils surviennent. Le produit offre une évolutivité impressionnante et il continuera de répondre à vos besoins au fur et à mesure que votre organisation se développe. Des instances supplémentaires de Nagios Log Server peuvent être ajoutées à un cluster de surveillance, vous permettant d'ajouter rapidement plus de puissance, de vitesse, de stockage et de fiabilité.
Le prix d'une instance unique pour Nagios Log Server est de 3 995 $ et bien qu'un essai gratuit ne semble pas être disponible, une démo en ligne gratuite l'est, si vous préférez avoir un aperçu du produit.
5. Graylog
Le prochain sur notre liste est un produit appelé Graylog . Le produit offre de nombreuses fonctionnalités intéressantes. L'outil analysera et enrichira les journaux et les données d'événements à partir de n'importe quelle source de données. Ses pipelines de traitement permettent une certaine flexibilité dans le routage, la mise sur liste noire, la modification et l'enrichissement des messages en temps réel. Graylog recherchera dans des téraoctets de données de journal pour découvrir et analyser les informations importantes. La puissante syntaxe de recherche vous permet de trouver exactement ce que vous recherchez.
Avec Graylog , vous pouvez créer des tableaux de bord pour visualiser les métriques et observer les tendances dans un emplacement central. Vous pouvez utiliser les statistiques de champ, les valeurs rapides et les graphiques de la page des résultats de recherche pour vous plonger dans une analyse plus approfondie de vos données. Le système a également la possibilité de déclencher des actions ou d'émettre des notifications sur des événements tels que des tentatives de connexion infructueuses, des exceptions ou une dégradation des performances.
Graylog est un système gratuit et open source basé sur des fichiers journaux qui peut vous offrir beaucoup plus de fonctionnalités qu'un simple utilitaire d'archivage de journaux. Cet analyseur de journaux a une interface utilisateur graphique et peut fonctionner sur Ubuntu, Debian, CentOS et SUSE Linux. Vous pouvez également l'exécuter sur une machine virtuelle sous Microsoft Windows et vous pouvez installer le système Graylog sur Amazon AWS.
6. Analyseur de journaux d'événements ManageEngine
ManageEngine , un autre nom commun parmi les administrateurs réseau, constitue un excellent système de gestion des journaux appelé ManageEngine EventLog Analyzer . Le produit collectera, gérera, analysera, mettra en corrélation et recherchera dans les données de journal de plus de 700 sources en utilisant une combinaison de collecte de journaux sans agent et avec agent ainsi que l'importation de journaux.
La vitesse est l'un des points forts de ManageEngine EventLog Analyzer . Il peut traiter les données des journaux à un taux impressionnant de 25 000 journaux/seconde et détecter les attaques en temps réel. Il peut également effectuer une analyse médico-légale rapide pour réduire l'impact d'une violation. Les capacités d'audit du système s'étendent aux journaux des périphériques du périmètre réseau, aux activités des utilisateurs, aux modifications de compte de serveur, aux accès des utilisateurs, etc., vous aidant à répondre aux besoins d'audit de sécurité.
Le ManageEngine EventLog Analyzer est disponible dans une version gratuite fonctionnalité réduite qui ne supporte que 5 sources de journal ou dans une édition premium qui commence à 595 $ et varie en fonction du nombre de dispositifs et d' applications. Une version d'essai gratuite et complète de 30 jours est également disponible.
Les balayages de ping peuvent être utilisés à votre avantage de nombreuses façons. Continuez à lire pendant que nous discutons de la façon dont nous présentons les 10 meilleurs outils de balayage Ping que vous pouvez trouver.
Les sites Web sont importants et doivent être constamment surveillés de près pour des performances adéquates. Voici quelques-uns des meilleurs outils de surveillance des sites Web.
Le marché des logiciels de gestion de réseau est très encombré. Raccourcissez votre recherche en suivant nos recommandations des meilleurs outils de gestion de réseau.
Voici un aperçu de certains des meilleurs outils de déploiement de logiciels pour faciliter la gestion d'un nombre illimité de machines
Si vous êtes dans l'industrie de la santé ou si vous êtes impliqué d'une manière ou d'une autre dans l'informatique dans cette industrie, il y a de fortes chances que vous ayez entendu parler de la HIPAA. La portabilité de l'assurance maladie
sFlow est un protocole d'analyse de flux intégré à de nombreux périphériques réseau. Nous passons en revue les cinq meilleurs collecteurs et analyseurs sFlow gratuits.
Pour vous aider à choisir le bon, nous avons présenté les meilleurs outils de surveillance d'infrastructure sans agent et vous ont donné un aperçu rapide de chacun.
Si vous êtes un utilisateur expérimenté de Windows, vous savez probablement et comprenez comment effectuer diverses opérations sur votre PC peut avoir plus d'une approche et
La latence semble être l'ennemi numéro un des réseaux. Ces outils de mesure de la latence vous apprendront comment tester la latence pour détecter, localiser et résoudre les problèmes.
Le moniteur de réseau Windows nécessite des outils avec des exigences limitées. Aujourd'hui, nous examinions les meilleurs outils de surveillance réseau pour Windows 10.
