Praktik dan Sistem Terbaik Manajemen Log

Mengelola log bisa menjadi upaya yang rumit. Tidak hanya organisasi tipikal yang menghasilkan satu ton dari mereka, tetapi mereka berasal dari berbagai sumber, masing-masing dengan format yang berpotensi berbeda dan berisi informasi yang berbeda. Untuk menempatkan kemiripan ketertiban menjadi sesuatu yang dapat dengan cepat menjadi kacau, manajemen log diciptakan. Hari ini, kita melihat praktik dan sistem terbaik manajemen log. Kami berharap ini akan membantu Anda melihat dengan jelas melalui ini.

Kami akan memulai dengan deskripsi singkat tentang manajemen log. Kemudian, kita akan terjun langsung ke praktik terbaik manajemen log. Kami akan mengeksplorasi apakah Anda harus menggunakan sistem yang sudah jadi atau melakukannya sendiri. Kami juga akan melihat apa—dan apa yang tidak—untuk dipantau, diikuti dengan keamanan dan retensi log serta pertimbangan penyimpanan. Dan sebelum kita meninjau beberapa sistem manajemen log terbaik, kita akan melihat berbagai tugas manajemen, peninjauan dan pemeliharaan log, korelasi sumber data, dan beberapa pertimbangan otomatisasi.

Tentang Manajemen Log

Secara sederhana, log adalah dokumentasi yang diproduksi secara otomatis dan diberi stempel waktu dari suatu peristiwa yang relevan dengan sistem tertentu. Ketika suatu peristiwa terjadi pada suatu sistem, log—atau entri log—dihasilkan. Sistem yang berbeda akan menghasilkan log untuk peristiwa yang berbeda. Adapun manajemen log, umumnya mengacu pada proses dan kebijakan yang digunakan untuk mengelola dan memfasilitasi pembuatan, transmisi, analisis, dan penyimpanan data log. Manajemen log biasanya menyiratkan sistem terpusat di mana log dari berbagai sumber dikumpulkan.

Manajemen log bukan hanya pengumpulan log. Sesuai dengan namanya, bagian manajemen itu penting. Setelah log diterima oleh sistem manajemen log, log tersebut "diterjemahkan" ke dalam format umum. Hal ini diperlukan karena sistem yang berbeda memformat log secara berbeda dan menyertakan data yang berbeda dalam lognya. Untuk mempermudah pencarian dan korelasi peristiwa, salah satu tujuan sistem manajemen log adalah untuk memastikan bahwa semua entri log yang dikumpulkan disimpan dalam format yang seragam.

Berbicara tentang pencarian dan bahkan korelasi, ini adalah fitur utama lainnya dari sebagian besar sistem manajemen log. Sistem manajemen log terbaik memiliki mesin pencari yang kuat. Ini memungkinkan administrator membidik dengan tepat apa yang dibutuhkan. Selanjutnya, korelasi peristiwa akan secara otomatis mengelompokkan peristiwa terkait, meskipun berasal dari sumber yang berbeda.

Praktik Terbaik Manajemen Log

Manajemen log adalah proses yang kompleks, tidak banyak yang bisa kami lakukan untuk itu. Dengan kompleksitas ini muncul risiko melakukan kesalahan. Untuk menghindarinya, kami telah menyusun daftar beberapa praktik terbaik manajemen log. Tujuan kami adalah memberi Anda informasi sebanyak mungkin untuk memilih sistem manajemen log terbaik untuk kebutuhan Anda, tetapi yang lebih penting, untuk memaksimalkannya.

Sistem Manajemen Log Atau DIY?

Untuk beberapa alasan, beberapa orang percaya bahwa mereka dapat secara manual menerapkan "sistem manajemen log". Jika Anda termasuk orang-orang ini, segera berhenti bercanda. Meskipun dimungkinkan untuk menerapkan beberapa bentuk manajemen log secara manual, upaya yang diperlukan jauh lebih besar daripada apa yang diperlukan untuk menerapkan sistem manajemen log yang sebenarnya. Dan dengan beberapa alat gratis dan sumber terbuka yang tersedia, argumen biaya tidak valid.

Hampir selalu masuk akal untuk menggunakan solusi logging terkelola yang dibuat, didukung, dan diskalakan oleh vendor yang bereputasi baik daripada membangun sistem sendiri. Dengan mereka, yang biasanya perlu Anda lakukan adalah menghubungkan sumber dan tujuan Anda dan Anda siap untuk menganalisis log sistem dan aplikasi dengan cara yang mudah. Anda akan bebas menghabiskan lebih banyak waktu untuk memantau dan mencatat daripada membangun infrastruktur pencatatan Anda.

Mengetahui Apa yang Harus Dipantau (Dan Apa Yang Tidak)

Mengetahui apa yang harus dicatat itu penting, tetapi lebih penting lagi untuk mengetahui apa yang tidak boleh dicatat. Hanya karena Anda dapat mencatat sesuatu tidak berarti Anda harus melakukannya. Logging terlalu sering tidak lebih dari mempersulit untuk menemukan data yang benar-benar penting. Selain itu, volume log ekstra menambah kerumitan dan biaya pada penyimpanan log dan proses manajemen Anda. Penting untuk berpikir ke depan tentang apa yang akan dan tidak akan dicatat sebelum mulai menerapkan platform manajemen log. Ini akan mencegah kesalahan yang mahal dan memungkinkan Anda untuk mengukur alat Anda dengan lebih baik.

Pertimbangkan dengan cermat apa yang sebenarnya Anda perlukan untuk masuk. Lingkungan produksi yang penting untuk kepatuhan atau untuk tujuan audit kemungkinan besar harus dicatat. Begitu juga data yang membantu Anda memecahkan masalah kinerja, memecahkan masalah pengalaman pengguna, atau memantau kejadian terkait keamanan.

Sebaliknya, ada hal-hal yang tidak perlu Anda catat, misalnya, lingkungan pengujian yang bukan merupakan bagian penting dari proses bisnis Anda. Ada juga data yang akan Anda pilih untuk tidak dicatat karena alasan kepatuhan atau keamanan. Misalnya, jika pengguna telah mengaktifkan setelan jangan lacak, Anda tidak boleh mencatat data yang terkait dengan pengguna tersebut.

Menerapkan Kebijakan Keamanan dan Penyimpanan Log

Log mungkin berisi data sensitif. Untuk alasan itu, Anda perlu memiliki kebijakan keamanan log. Ini akan sangat berharga, misalnya, memastikan bahwa data sensitif dianonimkan atau dienkripsi. Selain itu, pengangkutan data log yang aman ke sistem manajemen log mengamanatkan penggunaan pengangkutan terenkripsi menggunakan TLS atau HTTPS di klien dan di sisi server.

Untuk kebijakan penyimpanan, log dari sumber atau sistem yang berbeda mungkin memerlukan waktu penyimpanan yang berbeda. Misalnya, log yang terutama digunakan untuk pemecahan masalah dapat bekerja dengan waktu penyimpanan yang relatif singkat seperti beberapa hari—atau bahkan beberapa jam. Di sisi lain, log terkait keamanan atau log transaksi bisnis memerlukan waktu penyimpanan yang lebih lama, seringkali untuk kepatuhan terhadap peraturan. Mempertimbangkan hal ini, kebijakan penyimpanan Anda harus fleksibel dan dapat disesuaikan, bergantung pada sumber log atau jenis log.

Pertimbangan Penyimpanan Log

Menyimpan data log menggunakan ruang penyimpanan yang berharga. Saat merencanakan kapasitas penyimpanan untuk log, Anda perlu mempertimbangkan beban puncak yang tinggi. Dalam kebanyakan keadaan, jumlah log data per hari relatif konstan. Ini terutama tergantung pada pemanfaatan sistem dan/atau jumlah transaksi per hari. Namun, ketika terjadi kesalahan, Anda dapat mengharapkan pertumbuhan yang dipercepat dalam volume log. Jika penyimpanan log Anda melebihi batas, Anda bisa kehilangan log terbaru. Untuk mengurangi efek ini, sistem manajemen log terbaik menggunakan buffer siklik. Ini menghapus data terlama terlebih dahulu sebelum batas penyimpanan diterapkan.

Selain itu, penyimpanan log harus memiliki kebijakan keamanannya sendiri. Sebagian besar penyerang akan mencoba menghindari atau menghapus jejak mereka di file log. Untuk menghindarinya, Anda harus mengirimkan log secara real-time ke penyimpanan log pusat—sebaiknya di luar lokasi—dan mengamankannya. Jadi, jika penyerang memiliki akses ke infrastruktur Anda, log di luar situs akan menjaga bukti tetap utuh.

Meninjau Dan Memelihara Log

Pemeliharaan log adalah bagian penting dari manajemen log, jika bukan bagian terpenting. Log yang tidak dirawat dapat menyebabkan pemecahan masalah yang lebih lama, risiko paparan data, dan biaya penyimpanan log yang lebih tinggi. Tinjau log yang dihasilkan oleh sistem Anda dan sesuaikan tingkat logging dengan kebutuhan Anda. Anda harus mempertimbangkan aspek kegunaan, operasional dan keamanan.

Jadikan level log dapat dikonfigurasi

Beberapa log sistem terlalu bertele-tele sementara yang lain tidak memberikan informasi yang cukup. Sayangnya, tidak selalu ada sesuatu yang dapat Anda lakukan untuk itu. Sebagian besar sistem menyediakan tingkat log yang dapat disesuaikan. Mereka adalah kunci untuk mengkonfigurasi verbositas log dan memastikan bahwa apa yang harus dicatat dan apa yang tidak penting tidak.

Periksa log audit sesering mungkin

Bertindak pada masalah keamanan sangat penting. Inilah sebabnya mengapa seseorang harus selalu memperhatikan log. Jika sistem manajemen log Anda tidak memiliki fitur tersebut—banyak di antaranya memiliki fitur tersebut, gunakan alat keamanan eksternal seperti auditd atau OSSEC. Mereka menerapkan analisis log waktu nyata dan menghasilkan log peringatan yang menunjukkan potensi masalah keamanan. Dan selain itu, Anda harus menentukan peringatan pada peristiwa penting agar diberitahu dengan cepat pada setiap aktivitas yang mencurigakan.

Sumber Data Berkorelasi

Penebangan hanyalah salah satu elemen dari strategi pemantauan global. Untuk pemantauan yang benar-benar efektif, Anda perlu melengkapi manajemen log dengan jenis pemantauan lain seperti pemantauan berdasarkan peristiwa, peringatan, dan pelacakan. Melakukan itu adalah cara terbaik untuk mendapatkan gambaran utuh tentang apa yang terjadi kapan saja. Meskipun log bagus untuk memberikan detail definisi tinggi tentang masalah, ini paling berguna saat Anda mengambil jarak untuk melihat hutan sebelum memperbesar ke pepohonan.

Manajemen log tidak bekerja dengan baik dalam silo. Tidak ada. Anda pasti harus melengkapinya dengan jenis pemantauan lain seperti pemantauan jaringan, pemantauan infrastruktur, dan banyak lagi. Dan di dunia yang ideal, solusi pemantauan Anda harus cukup komprehensif untuk menyediakan semua informasi pemantauan Anda di satu tempat. Atau, itu bisa berintegrasi dengan alat lain yang menyediakan informasi ini. Tujuannya di sini adalah untuk memiliki, sebanyak mungkin, tampilan panel tunggal dari seluruh lingkungan.

Manajemen dan Otomatisasi Log

Manajemen log dapat membantu Anda mengetahui masalah sejak dini sehingga menghemat waktu dan energi Anda dan tim Anda yang berharga. Ini juga dapat membantu Anda menemukan peluang untuk otomatisasi. Sebagian besar alat manajemen log akan memungkinkan Anda mengatur lansiran khusus yang terpicu ketika sesuatu terjadi. Beberapa bahkan akan membiarkan Anda mengatur tindakan otomatis untuk dimulai ketika peringatan ini dipicu. Anda harus menggunakan otomatisasi sebanyak yang dimungkinkan oleh alat manajemen Anda. Terlepas dari waktu yang Anda habiskan untuk menyiapkan otomatisasi ini, Anda akan menemukan bahwa itu sangat berharga saat pertama kali Anda mengalami insiden.

6 Alat Manajemen Log Teratas

Kami telah menjelajahi pasar untuk mencoba menemukan alat manajemen log terbaik. Kami telah mencoba menyusun daftar yang mencakup berbagai jenis alat. Lagi pula, kebutuhan setiap orang berbeda dan alat terbaik untuk seseorang belum tentu yang terbaik untuk orang lain.

1. Manajer Acara Keamanan SolarWinds (UJI COBA GRATIS)

SolarWinds adalah nama umum di bidang alat administrasi jaringan. Sudah ada selama sekitar dua dekade dan telah memberi kami beberapa alat pemantauan bandwidth terbaik dan penganalisis dan pengumpul NetFlow. Perusahaan ini juga terkenal karena menerbitkan beberapa alat gratis yang memenuhi beberapa kebutuhan khusus administrator jaringan seperti kalkulator subnet atau server syslog.

Ketika datang ke manajemen log, penawaran perusahaan sekarang disebut SolarWinds Security Event Manager . Baru-baru ini diganti namanya dari Log & Event Manager , mungkin untuk lebih mencerminkan fakta bahwa ini sebenarnya lebih dari sekadar sistem manajemen log. Banyak fitur canggihnya yang memasukkannya ke dalam rangkaian Informasi Keamanan dan Manajemen Acara (SIEM). Ini memiliki, misalnya, korelasi peristiwa waktu-nyata dan perbaikan waktu-nyata, dua fitur mirip SIEM.

• UJI COBA GRATIS: Manajer Acara Keamanan SolarWinds
• Tautan Unduhan Resmi: https://www.solarwinds.com/security-event-manager/registration

Mari kita lihat beberapa fitur utama SolarWinds Security Event Manager . Alat ini dapat menghilangkan ancaman dengan cepat menggunakan deteksi instan aktivitas mencurigakan dan respons otomatis. Itu juga dapat melakukan penyelidikan peristiwa keamanan dan forensik untuk mitigasi dan kepatuhan. Dan berbicara tentang kepatuhan, produk akan memungkinkan Anda untuk mendemonstrasikannya, berkat pelaporan yang telah terbukti audit untuk HIPAA, PCI DSS, dan SOX, antara lain. Alat ini juga memiliki pemantauan integritas file dan pemantauan perangkat USB, dua fitur yang jauh di atas apa yang biasa kita lihat di sistem manajemen log.

Harga untuk SolarWinds Security Event Manager mulai dari $4.585 untuk hingga 30 node yang dipantau. Lisensi hingga 2500 node dapat dibeli sehingga produk ini sangat skalabel. Dan jika Anda ingin memverifikasi langsung bahwa produk tersebut tepat untuk Anda, tersedia uji coba gratis berfitur lengkap selama 30 hari .

2. SolarWinds Papertrail (TERSEDIA RENCANA GRATIS)

Di tempat kedua, kami memiliki produk hebat lain yang disebut Papertrail , akuisisi baru-baru ini oleh SolarWinds . Papertrail adalah sistem manajemen log berbasis cloud yang populer. Ini mengumpulkan file log dari berbagai macam produk populer seperti Apache atau MySQL serta aplikasi Ruby on Rails, layanan hosting cloud yang berbeda, dan file log teks standar lainnya. Pengguna Papertrail kemudian dapat menggunakan antarmuka pencarian berbasis web atau alat baris perintah untuk mencari melalui file-file ini untuk membantu mendiagnosis bug dan masalah kinerja. Alat ini juga terintegrasi dengan produk SolarWinds lainnya seperti Librato dan Geckoboard untuk hasil grafik.

• RENCANA GRATIS TERSEDIA: SolarWinds Papertrail
• Tautan Unduhan Resmi: https://papertrailapp.com/plans

Papertrail adalah penawaran perangkat lunak sebagai layanan (SaaS) berbasis cloud dari SolarWinds . Mudah diterapkan, digunakan, dan dipahami. Dan itu akan memberi Anda visibilitas instan di semua sistem dalam hitungan menit. Alat ini memiliki mesin pencari yang sangat efektif yang dapat mencari log yang disimpan dan streaming. Dan itu secepat kilat.

Papertrail tersedia dalam beberapa paket termasuk paket gratis. Ini agak terbatas, dan hanya memungkinkan 100 MB log setiap bulan. Namun, ini akan memungkinkan 16 GB log di bulan pertama yang setara dengan memberi Anda uji coba gratis selama 30 hari . Paket berbayar mulai dari $7/bulan untuk log 1GB/bulan, arsip 1 tahun, dan indeks 1 minggu. Pemfilteran kebisingan memungkinkan alat untuk menyimpan data dengan tidak menyimpan log yang tidak berguna.

3. ManageEngine EventLog Analyzer

ManageEngine , nama umum lainnya dengan administrator jaringan, membuat sistem manajemen log yang sangat baik yang disebut ManageEngine EventLog Analyzer . Produk akan mengumpulkan, mengelola, menganalisis, menghubungkan, dan mencari melalui data log lebih dari 700 sumber menggunakan kombinasi pengumpulan log tanpa agen dan berbasis agen serta impor log.

Kecepatan adalah salah satu kekuatan dari ManageEngine EventLog Analyzer . Ini dapat memproses data log dengan kecepatan 25.000 log/detik yang mengesankan dan mendeteksi serangan secara real-time. Itu juga dapat melakukan analisis forensik cepat untuk mengurangi dampak pelanggaran. Kemampuan audit sistem meluas ke log perangkat perimeter jaringan, aktivitas pengguna, perubahan akun server, akses pengguna, dan banyak lagi, membantu Anda memenuhi kebutuhan audit keamanan.

The ManageEngine EventLog Analyzer tersedia dalam fitur-berkurang edisi gratis yang hanya mendukung 5 sumber log atau dalam edisi premium yang dimulai pada $ 595 dan bervariasi sesuai dengan jumlah perangkat dan aplikasi. Versi uji coba 30 hari berfitur lengkap gratis juga tersedia.

4. Suite Manajemen Log Ipswitch

The Log Management Suite adalah produk dari Ipswitch , perusahaan yang sama yang membawa kita WhatsUp Gold , jaringan pemantauan alat yang sangat populer. Ini adalah alat otomatis yang mengumpulkan, menyimpan, mengarsipkan, dan menyimpan log sistem, peristiwa Windows, dan log W3C/IIC. Selain itu, pengawasan log berkelanjutannya akan memberi tahu Anda tentang aktivitas mencurigakan apa pun.

Peristiwa yang sering diaudit seperti hak akses dan hak akses file, folder, dan objek dapat diikuti, menghasilkan peringatan sesuai kebutuhan dan digunakan untuk membuat laporan kepatuhan untuk kepatuhan HIPAA, SOX, FISMA, PCI, MiFID, atau Basel II. Alat ini juga dapat membantu Anda mengubah data log mentah menjadi data yang berarti bagi manajer atau tim keamanan TI, berkat fitur pemfilteran, korelasi, pelaporan, dan konversi otomatisnya.

Informasi harga untuk Log Management Suite tidak tersedia dari Ipswitch . Produk dapat dibeli langsung dari penerbit atau melalui jaringan pengecer Ipswitch . Sebuah versi percobaan gratis juga tersedia.

5. Manajer Log Logika Peringatan

Fokus utama Alert Logic adalah pada keamanan dan kepatuhan. Dan karena manajemen log terkait erat dengan keduanya, tidak mengherankan jika perusahaan menawarkan Alert Logic Log Manager . Alat berbasis cloud ini menawarkan manajemen log otomatis dan terpadu di semua lingkungan Anda. Ini akan mengumpulkan, menggabungkan, dan mencari data log dari cloud, server, aplikasi, keamanan, dan aset jaringan.

The Siaga Logic Log Manager termasuk log pemantauan dan analisis serta meninjau log yang dilakukan langsung oleh analisa manusia. Pakar Alert Logic akan memberi tahu Anda tentang kemungkinan aktivitas ancaman 365 hari setahun. Layanan ini juga akan membantu memenuhi persyaratan tinjauan log SOC 2, HIPAA, dan SOX dan melepaskan beban tinjauan log dan menindaklanjuti peristiwa, untuk mematuhi PCI/DSS 10.6, 10.6.1, 10.6.3

Informasi harga untuk Alert Logic Log Manager tidak tersedia dari web dan Anda harus menghubungi penjualan Alert Logic untuk mendapatkan penawaran resmi. Uji coba gratis juga tidak tersedia tetapi demo gratis dapat diatur dengan menghubungi Alert Logic .

6. Server Log Nagios

Anda mungkin sudah tahu Nagios sebagai paket pemantauan jaringan yang sangat baik. Ditawarkan gratis dan open-source serta dalam versi komersial, produk ini memiliki reputasi yang solid. Untuk manajemen log, penawaran Nagios disebut Server Log Nagios . Ini adalah paket lengkap dengan manajemen log terpusat, pemantauan, dan analisis. Alat ini dapat menyederhanakan proses pencarian data log Anda. Ini juga memungkinkan Anda mengatur peringatan untuk diberitahu tentang potensi ancaman. Selain itu, perangkat lunak ini memiliki ketersediaan tinggi dan fail-over yang terpasang langsung di dalamnya. Wizard pengaturan sumbernya yang mudah dapat membantu Anda mengonfigurasi server dan perangkat lain untuk mengirim data log mereka ke platform, memungkinkan Anda untuk mulai memantau log Anda dalam hitungan menit.

The nagios Log Server menyediakan korelasi mudah dari peristiwa log di semua sumber logging hanya dalam beberapa klik. Sistem akan memungkinkan Anda melihat data log secara real-time, memungkinkan menganalisis dan memecahkan masalah secara real-time, saat terjadi. Kekuatan lain dari produk ini adalah skalabilitasnya yang mengesankan. Alat ini terus memenuhi kebutuhan Anda seiring pertumbuhan organisasi Anda. Jika perlu, instans Nagios Log Server tambahan dapat ditambahkan ke cluster pemantauan, memungkinkan Anda untuk dengan cepat menambahkan lebih banyak daya, kecepatan, penyimpanan, dan keandalan.

Dengan semua fitur ini, orang akan mengharapkan label harga yang lumayan. Tidak demikian halnya dan harga satu-instans untuk Server Log Nagios adalah sangat masuk akal $3 995. Meskipun tidak menawarkan uji coba gratis, demo online gratis tersedia, jika Anda lebih suka melihat langsung produk tersebut. sebelum membuat keputusan pembelian.