La gestion des journaux peut s'avérer être une entreprise complexe et intimidante. Les choses sont un peu plus simples grâce à la disponibilité de systèmes de gestion des journaux de haute qualité, mais, pour simplifier encore les choses et éliminer une grande partie des frais généraux liés au déploiement et à la maintenance d'un autre système, de nombreux administrateurs et gestionnaires choisissent de se tourner vers le service de journalisation dans le cloud.
Mais tout comme il existe de nombreux systèmes de gestion des journaux, il existe de nombreux services de journalisation dans le cloud et choisir celui qui convient le mieux à vos besoins peut être intimidant. C'est pourquoi, dans cet article, nous sommes heureux de passer en revue certains des meilleurs services de journalisation dans le cloud.
Nous commencerons par présenter la gestion des journaux et discuterons de certaines des différentes technologies de journalisation généralement rencontrées. Nous parlerons ensuite des différences entre les serveurs de journaux, les systèmes de gestion des journaux et les systèmes de gestion des informations de sécurité et des événements. Ensuite, nous discuterons des avantages de l'utilisation des services de journalisation dans le cloud par rapport aux systèmes de gestion des journaux installés localement avant de passer enfin à la meilleure partie, l'examen de certains des meilleurs services de journalisation dans le cloud.
À propos de la gestion des journaux ?
Avant de commencer à discuter des services de journalisation, essayons d'abord de définir ce qu'est la journalisation. Un journal, également parfois appelé entrée de journal, le terme journal faisant référence à l'endroit où ces entrées sont collectées et stockées, est la documentation produite automatiquement et horodatée d'un événement relatif à un système particulier. Chaque fois qu'un événement se produit sur un système, un journal est généré. Les systèmes et les appareils généreront des journaux pour différents types d'événements et nombre d'entre eux donneront aux administrateurs un certain degré de contrôle sur les événements qui généreront un journal et ceux qui ne le feront pas.
Quant à la gestion des journaux, ce sont les processus et les politiques utilisés pour administrer et faciliter la génération, la transmission, l'analyse, le stockage, l'archivage et l'élimination éventuelle de quantités importantes de données de journal. La gestion des journaux implique généralement un système centralisé où les journaux de plusieurs sources sont collectés. Cependant, la gestion des journaux ne se limite pas à la collecte de journaux. C'est la partie gestion qui est la plus importante. Les systèmes de gestion des journaux ont souvent plusieurs fonctionnalités, la collecte des journaux n'étant que l'une d'entre elles.
Et enfin, les services de journalisation font référence à des fournisseurs externes où les organisations peuvent externaliser leurs besoins de gestion des journaux. Il s'agit d'une entreprise de type logiciel en tant que service (SaaS) basée sur le cloud que vous pouvez utiliser à la place des infrastructures de gestion des journaux installées localement. Il y a plusieurs avantages à utiliser les services de journalisation comme nous le verrons bientôt. Pour l'instant, gardez à l'esprit qu'un service de journalisation n'est rien de plus qu'un système de gestion des journaux hors site basé sur le cloud.
Une fois que les journaux sont reçus par le système de gestion des journaux, ils doivent être standardisés sous une forme commune car différents systèmes formatent les journaux différemment et incluent des données différentes. Certains démarrent un journal avec la date et l'heure, d'autres le démarrent avec un numéro d'événement. Certains incluent uniquement un ID d'événement tandis que d'autres incluent une description en texte intégral de l'événement. L'un des objectifs des systèmes de gestion des journaux est de garantir que toutes les entrées de journaux collectées sont stockées dans un format uniforme, quelle que soit leur provenance. Cela facilitera la corrélation des événements et la recherche.
En parlant de corrélation d'événements et de recherche, ce sont deux fonctions très importantes de la plupart des systèmes de gestion de journaux ou des services de journalisation. Certains d'entre eux disposent d'un moteur de recherche puissant qui permet aux administrateurs de se concentrer précisément sur ce dont ils ont besoin. Les fonctions de corrélation regrouperont automatiquement les événements liés, même s'ils proviennent de sources différentes. Comment, mais plus important encore, avec quel succès, les différents systèmes de gestion de journaux y parviennent est un facteur de différenciation majeur.
CONNEXES : meilleurs outils de gestion des journaux pour Linux
Technologies de journalisation
La gestion des journaux, à la fois locale et basée sur le cloud, serait beaucoup plus difficile, voire impossible, sans les protocoles de journalisation. Quelques-uns d'entre eux existent. Ils définissent quelles données doivent être incluses dans les journaux, comment elles doivent être formatées et, parfois, comment elles doivent être transmises entre les systèmes.
Syslog est l'un des protocoles de journalisation les plus utilisés, en particulier dans le monde Linux/Unix. La technologie a été inventée au début des années 80 et est devenue la norme de facto pour tous les systèmes de type Unix. C'est également la technologie qui est généralement privilégiée par la plupart des fabricants d'équipements réseau. L'un de ses plus grands atouts est de faciliter la séparation entre le système ou le logiciel qui génère les journaux, le système qui les stocke et le logiciel qui les rapporte et les analyse. L'utilisation de la technologie Syslog facilite grandement la gestion des journaux.
D'autres technologies de journalisation sont également couramment utilisées. Par exemple, Windows utilise un système de journalisation propriétaire. L'une des raisons à cela est que les systèmes d'exploitation et les applications Microsoft génèrent des journaux qui contiennent généralement des informations beaucoup plus détaillées que ne le permet la technologie Syslog. Bien sûr, tout système de gestion de journal ou service de journalisation décent prendra en charge plusieurs protocoles et technologies de journalisation de manière transparente.
Que vous utilisiez un outil de gestion des journaux installé localement ou un service de journalisation, l'une des étapes de déploiement les plus importantes consiste à configurer vos appareils pour qu'ils envoient leurs journaux au système. Ceci est différent des autres types d'outils tels que les systèmes de surveillance de réseau qui peuvent récupérer les données des systèmes qu'ils surveillent. Cette configuration est généralement une tâche relativement simple qui est souvent accomplie en émettant une simple commande. De plus, la plupart des systèmes de gestion lo et des services de journalisation fourniront des instructions détaillées sur la façon de procéder.
Gestion des journaux vs serveurs de journaux
Comme il est disponible sur tous les systèmes de type Unix depuis un certain temps, Syslog est souvent utilisé comme serveur de journaux avec un ordinateur recevant les données Syslog de plusieurs autres. Si ce stockage centralisé des logs présente des avantages certains, il ne suffit pas de l'appeler gestion des logs.
Les vrais systèmes de gestion des journaux doivent inclure au moins certaines des fonctions les plus avancées. Selon Wikipedia, « la gestion des journaux comprend les fonctions suivantes : collecte de journaux, agrégation centralisée des journaux, stockage et conservation à long terme des journaux, rotation des journaux, analyse des journaux, recherche de journaux et création de rapports ». D'un autre côté, les serveurs de journaux n'offrent généralement que la collecte et le stockage des journaux et rien de plus.
A LIRE AUSSI: Meilleurs outils de surveillance des journaux pour vous aider
Et SIEM ?
Une autre technologie populaire associée aux journaux et souvent confondue avec la gestion des journaux est la gestion des informations et des événements de sécurité, ou SIEM . C'est une technologie étroitement liée, mais elle est légèrement différente de la gestion des journaux, mais la frontière entre les deux est si mince qu'elles sont souvent confondues et certains produits annoncés comme des systèmes de gestion des journaux sont en fait des systèmes SIEM d'entrée de gamme alors que certains systèmes SIEM de base ne sont rien. plus que des systèmes avancés de gestion des journaux.
Cette confusion provient du fait que l'analyse des journaux, un composant de base de la gestion des journaux, est également un composant des systèmes SIEM qui se distinguent par le fait qu'ils effectuent une analyse des journaux dans le but spécifique d'identifier les problèmes de sécurité. Ils rechercheront, par exemple, des signes de connexions infructueuses qui pourraient être le signe révélateur d'une tentative d'intrusion non autorisée. Alors que certains systèmes SIEM incluent des fonctionnalités étendues de gestion des journaux, d'autres utilisent un système de gestion des journaux externe et il n'est pas rare de voir les deux fonctionner côte à côte. Si vous avez un système SIEM, vous voudrez choisir un service de journalisation qui peut fonctionner avec.
Les avantages de la journalisation basée sur le cloud
L'utilisation de services de journalisation basés sur le cloud présente plusieurs avantages. Ils vont de la sécurité à la commodité et à la perpétuation. Creusons plus profondément. L'un des principaux avantages de la journalisation basée sur le cloud est la sécurité. Outre les erreurs système et divers problèmes, l'une des principales raisons de la journalisation est de conserver une trace de tous les accès aux systèmes et aux données. Cela est particulièrement vrai lorsque vous êtes attaqué par un pirate informatique et que l'analyse des journaux est souvent l'un des principaux moyens de détecter de telles attaques. Les pirates le savent et ils essaieront souvent de brouiller les pistes en effaçant rapidement les journaux relatifs à leur activité. Avec les journaux locaux, ils ont souvent déjà accès à votre environnement, il peut donc être relativement facile de faire disparaître leur présence. Avec la journalisation dans le cloud, les choses sont un peu plus difficiles pour eux. Ils devraient d'abord pirater votre fournisseur de journalisation pour pouvoir supprimer leurs traces. Et les fournisseurs de journalisation ont souvent une sécurité très élevée.
Le facteur de commodité est également important dans la décision d'utiliser les services de journalisation dans le cloud. Tout d'abord, tout est déjà installé. Une fois votre compte configuré, il vous suffit de configurer vos appareils pour envoyer vos logs au fournisseur. Le système est toujours à jour, tous les correctifs nécessaires sont toujours installés, vous disposez toujours de la dernière version. Nous pourrions continuer éternellement avec des avantages similaires.
Le coût peut également être un facteur . Selon votre niveau de journalisation, le stockage des journaux localement peut finir par prendre beaucoup d'espace de stockage et, comme vous le savez, l'espace de stockage est coûteux. Bien sûr, les coûts de journalisation dans le cloud augmentent également à mesure que vous utilisez plus de stockage, mais il s'agit généralement d'une option plus flexible.
Les meilleurs services de journalisation dans le cloud
Nous avons effectué des recherches sur le marché et trouvé quelques-uns des meilleurs services de journalisation disponibles. Leur ensemble de fonctionnalités varie considérablement et vous devez absolument porter une attention particulière à leurs spécifications détaillées avant de choisir l'une par rapport à l'autre. Comme pour la plupart des autres systèmes, le meilleur système sera celui qui correspond le mieux à vos besoins spécifiques. N'hésitez pas à profiter des offres d'essai gratuites car elles vous permettront de voir de première main comment chaque outil interagit avec votre environnement.
1. SolarWinds Loggly (ESSAI GRATUIT)
SolarWinds est devenu un nom familier parmi les administrateurs de réseau. Il fabrique certains des meilleurs outils depuis près de 20 ans, nous apportant un excellent outil de surveillance de la bande passante et l'un des meilleurs analyseurs et collecteurs NetFlow. Le portefeuille de produits et services de l'entreprise s'est considérablement élargi au cours des dernières années grâce à l'acquisition de plusieurs excellents produits.
Loggly est l'une de cesacquisitions de SolarWinds . Principalement un consolidateur de journaux, il offre également une fonctionnalité d'analyse de journaux. En tant que service basé sur le cloud, ce système ne nécessite aucune installation et est prêt à être utilisé dès votre abonnement. La seule chose que vous avez à faire est de configurer vos systèmes et appareils pour télécharger leurs journaux sur le serveur en ligne.
SolarWinds Loggly convertit les données de journal reçues dans un format standard, permettant ainsi à son analyseur de traiter les enregistrements provenant de diverses sources et permettant le suivi et la corrélation des événements sur tous les systèmes, quel que soit leur système d'exploitation ou leur technologie de journalisation. Les sources de données de journal ne se limitent pas à vos serveurs sur site. Le service est également capable de traiter les journaux générés par des services hébergés dans le cloud tels que AWS d'Amazon ou Microsoft Azure et il peut inclure des messages créés par des applications spécifiques telles que Docker et Logstash, pour n'en nommer que quelques-uns.
Le service SolarWinds Loggly est disponible sous trois plans différents, avec des limites de traitement des données et des durées de conservation croissantes. Vous devez choisir le bon pour vous donner suffisamment d'espace pour vos données de journal. Le plan d'entrée de gamme s'appelle Loggly Lite . C'est gratuit à utiliser. Dans le cadre de ce plan, vous pouvez télécharger 200 Mo de données de journal par jour et le système conservera chaque enregistrement pendant sept jours. Vient ensuite le forfait Standard qui vous offre une allocation de téléchargement de 1 Go par jour et conserve les enregistrements pendant 30 jours. Les forfaits payants vous permettent également d'utiliser plusieurs comptes d'utilisateurs. Avec le forfait Standard , vous pouvez avoir trois comptes d'utilisateurs. Le niveau supérieur s'appelle Loggly Enterprise. Il n'y a pas de limite au nombre de comptes d'utilisateurs que vous pouvez configurer et les prix varient en fonction de la capacité de téléchargement et de la période de rétention dont vous avez besoin. Le paiement de tous les plans payés peut être soit mensuellement ou annuellement et un essai gratuit de 14 jours est disponible sur le standard Plan .
2. SolarWinds Papertrail (UN PLAN GRATUIT DISPONIBLE)
Une autre acquisition relativement récente de SolarWinds est Papertrail , un service de journalisation populaire. Il agrège les fichiers journaux d'une grande variété de produits populaires comme Apache ou MySQL ainsi que les applications Ruby on Rails, différents services d'hébergement cloud et d'autres fichiers journaux syslog et textuels standard. Les utilisateurs de Papertrail peuvent ensuite utiliser l'interface de recherche Web ou les outils de ligne de commande pour rechercher dans ces fichiers afin de diagnostiquer divers problèmes. L'outil s'intègre également à d'autres produits SolarWinds tels que Librato et Geckoboard pour la représentation graphique des résultats.
Papertrail est une offre de logiciel en tant que service (SaaS) basée sur le cloud de SolarWinds . Être basé sur le cloud signifie qu'il fonctionnera correctement avec à peu près n'importe quel environnement. Facile à mettre en œuvre, à utiliser et à comprendre, la plate-forme vous offrira une visibilité instantanée sur tous les systèmes en quelques minutes. De plus, le produit dispose d'un moteur de recherche très efficace qui peut rechercher à la fois les journaux stockés et les journaux en streaming. Et c'est rapide comme l'éclair.
Papertrail est disponible sous plusieurs plans, dont un plan gratuit. Il est cependant quelque peu limité et n'autorise que 100 Mo de journaux par mois. Il autorisera cependant 16 Go de journaux le premier mois, ce qui équivaut à vous offrir un essai gratuit de 30 jours. Les forfaits payants commencent à 7 $/mois pour 1 Go/mois de journaux, 1 an d'archive et 1 semaine d'index. Le filtrage du bruit permet à l'outil de préserver les données en n'enregistrant pas les journaux inutiles.
3. LogDNA
LogDNA prétend être « le système de gestion de journaux le plus rapide, le plus intuitif et le plus rentable ». C'est une déclaration audacieuse, mais elle a tendance à être vraie. Dès le départ, l'installation du produit ne prend que quelques minutes avant que vous ne puissiez commencer à collecter et à surveiller les journaux. Quelle que soit la manière dont les journaux sont générés et transmis, des centaines de schémas d'intégration personnalisés sont disponibles dans le produit pour vous aider à centraliser les journaux en un seul emplacement.
LogDNA est différent des entrées précédentes car il est disponible dans un service basé sur le cloud ou dans une version logicielle auto-hébergée, selon vos préférences. C'est un produit hautement évolutif qui peut gérer des centaines de milliers de journaux par seconde et des dizaines de téraoctets par jour tout en offrant la plus grande sécurité ainsi qu'une analyse des journaux en temps réel. La société et ses produits sont tous deux conformes aux normes SOC2, PCI et HIPAA et certifiés Privacy Shield.
Le modèle de tarification simple au Go de LogDNA élimine les contrats et les allocations de données fixes, ce qui en fait l'un des coûts totaux de possession les plus bas de toutes les solutions payantes de surveillance et de gestion des journaux. Plusieurs plans d'abonnement sont disponibles avec des fonctionnalités croissantes. Le forfait de niveau inférieur est gratuit et les prix des forfaits payants varient de 1,50 $/Go/mois à 3 $/Go/mois en fonction de la durée de conservation et du nombre d'utilisateurs. Un essai gratuit, complet et illimité de 14 jours est également disponible.
4. Sumo Logique
Sumo Logic est notre prochain concurrent dans le domaine des services de journalisation dans le cloud. Le produit a été créé pour agréger de gros volumes de données de journal à partir de pratiquement n'importe quelle source. Mais la collecte de données de journal n'est que le début. Le service peut également vous aider à utiliser les données collectées pour surveiller les performances, améliorer les applications et potentiellement même résoudre les problèmes de sécurité et de conformité.
Le service de gestion des journaux et d'analyse des données machine de nouvelle génération de Sumo Logic fournit des informations exploitables sur les opérations des applications et de l'infrastructure tout en réduisant considérablement la complexité et les coûts. Sumo Logic prétend fournir la seule plate-forme d'analyse de données machine en temps réel et native du cloud qui fournit une intelligence continue.
Sumo Logic est disponible sous trois plans différents. Il y a le plan gratuit qui cible les individus et les équipes qui cherchent à essayer Sumo Logic pour des projets plus petits, pour une durée illimitée. Vient ensuite le plan professionnel à 90 $/mois pour 1 Go de données de journal quotidiennes moyennes. Et en haut, vous avez le plan d' entreprise complet à 150 $/mois par 1 Go de données de journal quotidiennes en moyenne. Notez qu'un essai de 30 jours est disponible sur les deux forfaits payants.
5. Datadog
Le dernier sur notre liste est Datadog , un outil de journalisation cloud hybride qui peut vous aider à rassembler les métriques dont vous avez besoin et vous offrir une meilleure visibilité sur votre environnement. L'une des meilleures fonctionnalités de l'outil est sa politique d'indexation dynamique. Ils facilitent et accélèrent considérablement l'inspection et la gestion de gros volumes de journaux.
Bien que Datadog soit principalement destiné aux équipes de développement et d'exploitation qui préparent des applications pour le marché, il s'agit également d'un excellent service à utiliser pour la surveillance des journaux d'environnements commerciaux typiques. L'un des inconvénients du produit, selon certains de ses utilisateurs, est la complexité de la configuration initiale. Mais tant que vous définissez correctement vos attentes et que vous ne prévoyez pas de commencer à utiliser le service quelques minutes après le début, tout devrait bien se passer. Quoi qu'il en soit et malgré ses petites bizarreries, c'est une excellente solution fiable.
Datalog offre une surveillance de l'infrastructure ainsi qu'une surveillance des performances des applications en plus des services de gestion des journaux. Le composant de gestion des journaux est proposé à un prix compétitif et se décline en trois versions. 1,91 $/mois par million d'événements de journal vous offrira 7 jours de rétention des données, 2,55 $/mois par million d'événements de journal porte la rétention jusqu'à 15 jours tandis que le niveau supérieur, à 375 $/mois par million d'événements de journal, a une durée de rétention de 30 jours. Ces prix sont considérablement moins chers lorsque vous choisissez la facturation annuelle et un essai gratuit de 30 jours est également disponible.
Les balayages de ping peuvent être utilisés à votre avantage de nombreuses façons. Continuez à lire pendant que nous discutons de la façon dont nous présentons les 10 meilleurs outils de balayage Ping que vous pouvez trouver.
Les sites Web sont importants et doivent être constamment surveillés de près pour des performances adéquates. Voici quelques-uns des meilleurs outils de surveillance des sites Web.
Le marché des logiciels de gestion de réseau est très encombré. Raccourcissez votre recherche en suivant nos recommandations des meilleurs outils de gestion de réseau.
Voici un aperçu de certains des meilleurs outils de déploiement de logiciels pour faciliter la gestion d'un nombre illimité de machines
Si vous êtes dans l'industrie de la santé ou si vous êtes impliqué d'une manière ou d'une autre dans l'informatique dans cette industrie, il y a de fortes chances que vous ayez entendu parler de la HIPAA. La portabilité de l'assurance maladie
sFlow est un protocole d'analyse de flux intégré à de nombreux périphériques réseau. Nous passons en revue les cinq meilleurs collecteurs et analyseurs sFlow gratuits.
Pour vous aider à choisir le bon, nous avons présenté les meilleurs outils de surveillance d'infrastructure sans agent et vous ont donné un aperçu rapide de chacun.
Si vous êtes un utilisateur expérimenté de Windows, vous savez probablement et comprenez comment effectuer diverses opérations sur votre PC peut avoir plus d'une approche et
La latence semble être l'ennemi numéro un des réseaux. Ces outils de mesure de la latence vous apprendront comment tester la latence pour détecter, localiser et résoudre les problèmes.
Le moniteur de réseau Windows nécessite des outils avec des exigences limitées. Aujourd'hui, nous examinions les meilleurs outils de surveillance réseau pour Windows 10.
