Les fichiers journaux sont présents sur presque tous les systèmes informatiques ou périphériques réseau. Ils contiennent des détails sur les événements qui se produisent sur chaque système. Ils peuvent s'avérer inestimables lors du dépannage de divers problèmes. Ils peuvent également révéler des activités malveillantes et peuvent donc devenir un moyen utile d'assurer la sécurité. Mais qui a même le temps de regarder les fichiers journaux ? Avec l'administrateur typique gérant des dizaines d'appareils, certains d'entre eux enregistrant plusieurs événements chaque seconde, il n'y a aucun moyen que quiconque puisse suivre. C'est pourquoi les outils de surveillance des journaux ont été inventés. Ils consolident tous les journaux d'événements en un seul endroit et fournissent souvent des outils et des services d'analyse qui parcourent les journaux et déclenchent des alertes chaque fois que quelque chose d'anormal est observé. De nombreux outils de surveillance des journaux différents sont disponibles et choisir le meilleur peut s'avérer être un défi.
Nous commencerons notre discussion en explorant les journaux système, ce qu'ils sont et comment ils fonctionnent. Ensuite, nous parlerons des journaux de surveillance. Tout comme avant, nous verrons ce que cela signifie et comment c'est fait. Nous vous fournirons ensuite plus de détails sur l'analyse des journaux, car c'est la fonctionnalité qui rend les outils de surveillance des journaux les plus utiles. Comme précédemment, nous décrirons ce que c'est et les différentes formes d'analyse qui sont disponibles. Enfin, nous passerons en revue certains des meilleurs outils de surveillance des journaux que nous avons pu trouver et vous parlerons de leurs principales fonctionnalités.
Journaux système en un mot
En une phrase, un fichier journal, ou journal système, est un fichier qui enregistre les événements qui se produisent dans un système d'exploitation ou un autre logiciel. La journalisation est l'acte de tenir un journal du système. Dans les cas les plus simples, les messages sont simplement écrits dans un seul fichier journal. Alors que la plupart des systèmes utilisent principalement des fichiers texte pour enregistrer les événements, certains systèmes modernes utilisent une forme de base de données pour les enregistrer.
Peu importe comment et où les événements sont enregistrés, certains systèmes vous permettent de définir le niveau de journalisation dont vous avez besoin. Cela est particulièrement vrai avec les équipements réseau où chaque événement a un niveau de gravité et les paramètres de journalisation peuvent être définis pour enregistrer uniquement les événements d'un certain niveau de gravité ou plus. D'autres types de systèmes offrent également des fonctionnalités similaires.
À propos des journaux de surveillance
La surveillance des journaux est un processus en deux parties. La première partie, et la plus importante, est la collecte de données de journal à partir de divers systèmes. Ceci est accompli de différentes manières. Certains systèmes peuvent être configurés pour envoyer automatiquement les journaux à un serveur centralisé via le protocole Syslog. Les outils de surveillance des journaux ont généralement un serveur syslog intégré pour recevoir directement les données d'événement. D'autres systèmes, comme Windows par exemple, fonctionnent différemment. Il existe différents moyens d'acquérir des données de journal à partir de ces systèmes, tels que l'utilisation de l'instrumentation de gestion Windows ou l'utilisation d'agents locaux exécutés sur des hôtes Windows. Quelle que soit la manière dont cela est fait, chaque système de surveillance des journaux comprend la fonctionnalité requise pour recevoir et consolider les données des journaux provenant de plusieurs sources.
La prochaine étape - Analyse des journaux
La deuxième tâche de tout outil de surveillance des journaux utile est l'analyse des journaux. C'est là que les outils diffèrent le plus. Certains ne proposeront qu'une analyse très basique comme le déclenchement d'une alerte lorsque le nombre d'événements par unité de temps atteint un seuil donné. Des outils plus avancés examineront chaque événement et rechercheront des indications spécifiques de problèmes. Par exemple, un grand nombre d'échecs de connexion peut être le signe d'une tentative d'intrusion en cours. Nous pourrions passer des pages décrivant les différentes formes d'analyse de log disponibles. Au lieu de cela, nous vous invitons à jeter un œil aux différentes revues de produits ci-dessous pour plus de détails sur ce que chacun offre.
Les meilleurs outils de surveillance des journaux
Comme nous l'avons indiqué précédemment, il existe de nombreux outils différents disponibles avec divers degrés de fonctionnalité. Tout le monde n'a pas besoin d'un outil doté d'une analyse approfondie et de fonctionnalités de haute sécurité. Nous avons donc inclus un mélange d'outils offrant divers ensembles de fonctionnalités. Certains sont des outils plus simples tandis que d'autres sont plus complexes. A vous de déterminer quel outil est le mieux adapté à vos besoins. Heureusement, tous les outils de notre liste ont un essai gratuit, donc rien ne vous empêche d'en essayer quelques-uns, ce que nous recommandons vivement.
1. SolarWinds Log & Event Manager (essai gratuit)
SolarWinds est un nom commun dans le monde de la surveillance. La société existe depuis plus de 20 ans et son produit phare, appelé Network Performance Monitor, est reconnu par beaucoup comme l'un des meilleurs outils de surveillance SNMP disponibles. Et comme si cela ne suffisait pas, SolarWinds est également connu pour ses nombreux outils gratuits. Il s'agit d'outils plus petits, chacun répondant à un besoin spécifique des administrateurs réseau. Le calculateur de sous-réseau avancé et le serveur SolarWinds TFTP sont deux excellents exemples de ces outils gratuits.
Quant au SolarWinds Log & Event Manager (LEM) , c'est exactement ce que son nom l'indique. L'outil est si riche en fonctionnalités que beaucoup le considèrent comme un outil à part entière de gestion des informations de sécurité et des événements. En ce qui concerne la surveillance et la gestion des journaux, il s'agit probablement de l'un des outils de gestion des journaux les plus intéressants que vous puissiez trouver. Il possède des fonctionnalités de gestion et de corrélation des journaux très utiles ainsi qu'un moteur de rapport impressionnant.
Le SolarWinds Log & Event Manager peut aider à améliorer la sécurité et la conformité en détectant les activités suspectes et en identifiant les menaces plus rapidement grâce à la détection des activités suspectes au moment de l'événement. Vous pouvez également utiliser l'outil pour mener des enquêtes sur les événements de sécurité et des analyses judiciaires à des fins d'atténuation et de conformité. Cette fonctionnalité est la raison pour laquelle beaucoup considèrent le produit comme un outil SIEM. En outre, cet outil contribue à la préparation à la conformité réglementaire. Vous pouvez l'utiliser pour démontrer la conformité, grâce à ses rapports éprouvés par audit pour HIPAA, PCI DSS, SOX, DISA STIG, et plus encore.
Les fonctions de réponse aux événements de SolarWinds Log & Event Manager ne laissent rien à désirer. Le système de réponse détaillé en temps réel réagira activement à chaque menace. Être basé sur le comportement plutôt que sur l'analyse des signatures signifie que vous êtes même protégé contre les menaces inconnues ou futures. Mais le tableau de bord de l'outil est peut-être son meilleur atout. Avec une conception simple, vous n'aurez aucun mal à identifier rapidement les anomalies.
La tarification de SolarWinds Log & Event Manager est basée sur le nombre de nœuds surveillés. Différents niveaux de licences de 30 à 2500 nœuds sont disponibles à partir de 4 665 $. Et si vous souhaitez essayer le produit avant de l'acheter, une version d'essai gratuite de 30 jours entièrement fonctionnelle est disponible en téléchargement .
2. SolarWinds Log Manager pour Orion (essai gratuit)
Le prochain sur notre liste est un autre produit de SolarWinds appelé Log Manager for Orion . Orion, au cas où vous ne seriez pas familiarisé avec les produits de SolarWinds, était la principale plate-forme de l'entreprise il y a quelques années. C'est toujours l'architecture sous-jacente sur laquelle sont construits bon nombre des meilleurs produits de SolarWinds. Si vous utilisez l'un des Network Performance Monitor, NetFlow Traffic Analyzer, Network Configuration Manager, Virtualization Manager, Server and Application Monitor ou Storage Resource Monitor, vous utilisez Orion.
Le gestionnaire de journaux SolarWinds pour Orion ajoute des capacités de gestion des journaux à tous les outils de surveillance et de gestion basés sur Orion. En résumé, le produit propose une agrégation de journaux, un balisage, un filtrage et des alertes puissants et intuitifs. Son intégration avec les produits de la plate-forme Orion offre une vue unifiée de la surveillance de l'infrastructure informatique et des journaux associés. Le produit a été créé en collaboration avec des ingénieurs réseau et système pour s'assurer que leurs problèmes - et comment les résoudre - étaient compris.
Malgré son intégration avec la plate-forme Orion, le Log Manager peut être installé seul et ne nécessite l'installation d'aucun autre outil Orion. Le prix commence à 1 495 $ et une version d'essai gratuite de 30 jours est disponible si vous souhaitez tester le produit et voir comment il répond à vos besoins.
3. PaperTrail (Plan gratuit disponible)
Vient ensuite un autre produit de SolarWinds appelé Papertrail . Celui-ci est très différent des deux précédents car il s'agit d'une offre de logiciel en tant que service (SaaS) basée sur le cloud. L'outil puissant jouissait déjà d'une certaine popularité lorsque SolarWinds l'a acquis, il y a quelques années. Il agrège les fichiers journaux d'une multitude de produits tels qu'Apache ou MySQL ainsi que les applications Ruby on Rails, plusieurs services d'hébergement cloud et d'autres fichiers journaux de texte standard.
Pour aider à diagnostiquer les bogues et les problèmes de performances, vous pouvez utiliser le moteur de recherche Papertrail très efficace et ultra- rapide qui peut rechercher à la fois les journaux stockés et les journaux en streaming. Le produit s'intègre à quelques autres produits SolarWinds tels que Librato et Geckoboard pour la représentation graphique des résultats. Papertrail est également facile à mettre en œuvre, à utiliser et à comprendre. Il vous offrira une visibilité instantanée sur tous les systèmes en quelques minutes.
Papertrail est disponible sous plusieurs plans, dont un plan gratuit. Il est quelque peu limité et n'autorise que 50 Mo de journaux par mois. Il autorisera cependant 16 Go de journaux le premier mois, ce qui équivaut à vous offrir un essai gratuit et illimité de 30 jours. Les forfaits payants commencent à 7 $/mois pour 1 Go/mois de journaux, 1 an d'archive et 1 semaine d'index. Le forfait à 75 $/mois avec 8 Go de journaux est le plus populaire . Le filtrage du bruit permet à l'outil de préserver les données en n'enregistrant pas les journaux inutiles.
4. Moniteur réseau PRTG
Le moniteur de réseau PRTG de Paessler AG est un système de surveillance intégré tout-en-un qui peut être utilisé pour surveiller presque tout, grâce à son architecture intelligente basée sur des capteurs. L'une des meilleures caractéristiques de ce produit d'entreprise est certainement sa vitesse d'installation. Selon Paessler, le PRTG Network Monitor peut être configuré en quelques minutes seulement. Bien qu'il ne soit peut-être pas aussi rapide pour tout le monde, il reste l'un des outils de surveillance les plus simples et les plus rapides à configurer, en partie grâce à son processus de détection automatique.
Le PRTG Network Monitor est un produit riche en fonctionnalités. À la base, il s'agit principalement d'un outil de surveillance réseau qui utilise SNMP pour interroger les périphériques et afficher l'utilisation de leurs interfaces sur des graphiques chronologiques. Cependant, grâce à l'utilisation de capteurs supplémentaires, PRTG peut surveiller à peu près n'importe quoi. Les capteurs sont quelque peu similaires aux modules complémentaires, sauf qu'ils sont inclus avec le produit. Et il existe des capteurs disponibles pour divers serveurs, services et applications. Au total, le produit comprend plus de 200 capteurs.
Pour la surveillance et la gestion des journaux, deux capteurs différents sont disponibles. Le capteur de l' API Windows du journal des événements capture tous les messages de journal générés par Windows. Ce capteur surveille le taux de messages du journal plutôt que leur contenu et il génère une alarme si le taux de messages du journal des événements atteint un seuil critique.
L'autre capteur intéressant, le capteur Syslog Receiver , reçoit, surveille et enregistre les messages syslog de n'importe quel appareil. Cependant, il ne se contentera pas d'agréger les journaux de diverses sources. Sa fonctionnalité de surveillance déclenchera des alarmes chaque fois que des conditions préoccupantes se présenteront, telles qu'une augmentation du taux de réception des journaux.
Le moniteur de réseau PRTG est disponible en deux versions. La version gratuite est complète mais elle limitera votre capacité de surveillance à 100 capteurs. Lors de l'utilisation de SNMP, chaque paramètre surveillé compte comme un capteur. Par exemple, si vous surveillez deux interfaces sur un routeur, cela comptera comme deux capteurs. Chaque instance d'un capteur de surveillance spécifique compte également pour une. Si vous avez besoin de plus de 100 capteurs, vous devrez acheter une licence qui commence à 1 600 $ pour 500 capteurs. Une version d'essai gratuite, illimitée et complète de 30 jours est disponible.
5. Analyseur de journaux d'événements ManageEngine
ManageEngine est un autre fabricant bien connu d'outils d'administration de réseau parmi les professionnels de l'informatique. La société propose un système de gestion des journaux appelé ManageEngine EventLog Analyzer . Le produit collecte, gère, analyse, corrèle et recherche dans les données de journaux de plus de 700 sources à l'aide d'une combinaison ou d'une collecte de journaux sans agent et basée sur un agent, ainsi que d'une importation de journaux.
La capacité de ManageEngine EventLog Analyzer est impressionnante. Il peut traiter les données des journaux à une vitesse allant jusqu'à 25 000 journaux/seconde et détecter les attaques en temps réel. L'outil peut également effectuer rapidement une analyse médico-légale, réduisant ainsi l'impact potentiel d'une violation. Les capacités d'audit du système s'étendent aux journaux des périphériques du périmètre réseau, aux activités des utilisateurs, aux modifications de compte de serveur, aux accès des utilisateurs, etc., vous aidant à répondre aux besoins d'audit de sécurité.
La corrélation du journal des événements en temps réel de l'outil détecte instantanément les tentatives d'attaque et trace les menaces de sécurité potentielles en corrélant les données du journal avec plus de 30 règles prédéfinies pour détecter les attaques par force brute, les verrouillages de compte, le vol de données, les attaques de serveur Web et bien d'autres. Il dispose également d'un analyseur de journal personnalisé qui peut extraire des champs de n'importe quel format de journal lisible par l'homme. Le produit fournit vraiment une console unique pour afficher toutes vos données de journal de sécurité.
Le ManageEngine EventLog Analyzer est disponible dans une version gratuite fonctionnalité réduite qui ne supporte que 5 sources de journal ou dans une édition premium qui commence à 595 $ et varie en fonction du nombre de dispositifs et d' applications. Une version d'essai gratuite et complète de 30 jours est également disponible.
6. Graylog
Graylog est une plate-forme de gestion de journaux gratuite et open source avec de nombreuses fonctionnalités intéressantes. L'outil peut analyser et enrichir les journaux et les données d'événements à partir de presque toutes les sources de données. Ses pipelines de traitement permettent une certaine flexibilité dans le routage, la mise sur liste noire, la modification et l'enrichissement des messages en temps réel. L'outil recherchera dans des téraoctets de données de journal pour découvrir et analyser les informations importantes. Sa syntaxe de recherche puissante et plutôt unique vous permet de trouver exactement ce que vous cherchez.
Avec Graylog , vous avez la possibilité de créer des tableaux de bord personnalisés qui vous permettent de visualiser des métriques spécifiques et d'observer les tendances à partir d'un emplacement central. Vous pouvez utiliser les statistiques de champ, les valeurs rapides et les graphiques de la page des résultats de recherche pour effectuer une analyse plus approfondie de vos données. En outre, le produit offre la possibilité de déclencher des actions ou d'émettre des notifications lors d'événements tels que des tentatives de connexion infructueuses, des exceptions ou une dégradation des performances.
Graylog est disponible en version limitée gratuite et open source qui a également un support limité. Il existe également une version entreprise avec des fonctionnalités étendues et un support illimité. Il est également gratuit jusqu'à 5 Go de journaux par jour. Selon la taille et l'occupation de votre réseau. Cela pourrait suffire à votre besoin. Les prix des licences et de l'assistance peuvent être obtenus en contactant le service commercial Graylog .
7. Suite de gestion des journaux WhatsUp
Le WhatsUp Log Management Suite est un excellent outil de Ipswitch. Ipswitch, est-il besoin de vous le rappeler, est la société derrière WhatsUp Gold, l'outil de surveillance de réseau très populaire. Celui-ci est un outil automatisé qui collecte, stocke, archive et enregistre les journaux système, les événements Windows et les journaux W3C/IIC. Le ne se contente pas d'agréger les journaux et les événements, cependant, sa surveillance et son analyse continues des journaux vous alertent de toute activité anormale.
Le WhatsUp Log Management Suite suivra les événements fréquemment vérifiés tels que les droits d'accès et de fichiers, privilèges de dossier et de l' objet et générer des alertes en fonction des besoins. Il utilise également les événements collectés pour créer des rapports de conformité pour la conformité HIPAA, SOX, FISMA, PCI, MiFID ou Bâle II. Ce logiciel peut également aider à transformer vos données brutes de journal en informations significatives pour les responsables ou les équipes de sécurité informatique, grâce à ses puissantes fonctionnalités automatisées de filtrage, de corrélation, de création de rapports et de conversion.
Le WhatsUp Log Management Suite est en fait un ensemble d'applications qui comprennent les outils suivants:
Les informations sur les prix de Log Management Suite ne sont pas facilement disponibles auprès d'Ipswitch. Le produit peut être acheté soit directement auprès de l'éditeur, soit via le réseau de revendeurs d'Ipswitch. Une version d'essai gratuite est bien entendu également disponible.
8. LogDNA
LogDNA est considéré comme « le système de gestion de journaux le plus rapide, le plus intuitif et le plus rentable ». Cela a tendance à être vrai. Dès le début, l'installation du produit ne prend que quelques minutes avant que vous ne puissiez commencer à collecter et à surveiller les journaux. Quelle que soit la manière dont les journaux sont générés et transmis, des centaines de schémas d'intégration personnalisés sont disponibles dans le produit pour vous aider à centraliser les journaux en un seul emplacement.
LogDNA est disponible dans une version basée sur le cloud ou auto-hébergée, selon vos préférences. C'est un produit hautement évolutif qui peut gérer des centaines de milliers de journaux par seconde et des dizaines de téraoctets par jour tout en offrant la plus grande sécurité ainsi qu'une analyse des journaux en temps réel. La société et ses produits sont tous deux conformes aux normes SOC2, PCI et HIPAA et certifiés Privacy Shield.
Le modèle de tarification simple au Go de LogDNA élimine les contrats et les allocations de données fixes, ce qui en fait l'un des coûts totaux de possession les plus bas de toutes les solutions payantes de surveillance et de gestion des journaux. Plusieurs plans d'abonnement sont disponibles avec des fonctionnalités croissantes. Le forfait de niveau inférieur est gratuit et les prix des forfaits payants varient de 1,50 $/Go/mois à 3 $/Go/mois en fonction de la durée de conservation et du nombre d'utilisateurs. Un essai gratuit, complet et illimité de 14 jours est également disponible.
Les balayages de ping peuvent être utilisés à votre avantage de nombreuses façons. Continuez à lire pendant que nous discutons de la façon dont nous présentons les 10 meilleurs outils de balayage Ping que vous pouvez trouver.
Les sites Web sont importants et doivent être constamment surveillés de près pour des performances adéquates. Voici quelques-uns des meilleurs outils de surveillance des sites Web.
Le marché des logiciels de gestion de réseau est très encombré. Raccourcissez votre recherche en suivant nos recommandations des meilleurs outils de gestion de réseau.
Voici un aperçu de certains des meilleurs outils de déploiement de logiciels pour faciliter la gestion d'un nombre illimité de machines
Si vous êtes dans l'industrie de la santé ou si vous êtes impliqué d'une manière ou d'une autre dans l'informatique dans cette industrie, il y a de fortes chances que vous ayez entendu parler de la HIPAA. La portabilité de l'assurance maladie
sFlow est un protocole d'analyse de flux intégré à de nombreux périphériques réseau. Nous passons en revue les cinq meilleurs collecteurs et analyseurs sFlow gratuits.
Pour vous aider à choisir le bon, nous avons présenté les meilleurs outils de surveillance d'infrastructure sans agent et vous ont donné un aperçu rapide de chacun.
Si vous êtes un utilisateur expérimenté de Windows, vous savez probablement et comprenez comment effectuer diverses opérations sur votre PC peut avoir plus d'une approche et
La latence semble être l'ennemi numéro un des réseaux. Ces outils de mesure de la latence vous apprendront comment tester la latence pour détecter, localiser et résoudre les problèmes.
Le moniteur de réseau Windows nécessite des outils avec des exigences limitées. Aujourd'hui, nous examinions les meilleurs outils de surveillance réseau pour Windows 10.
