Con i sistemi odierni che generano una tonnellata di dati di registrazione, non sorprende che gli amministratori siano sempre alla ricerca di soluzioni per la gestione dei registri. I log sono, per impostazione predefinita, spesso archiviati localmente. Questo ha senso in quanto rende facile collegarli alla loro fonte. Ma quando si cerca di risolvere i problemi e trovare la loro causa principale, a volte dobbiamo esaminare più file di registro su numerosi dispositivi. Non sarebbe bello se tutti i log di tutti i dispositivi fossero archiviati in un unico luogo centralizzato? Questo è lo scopo della gestione dei log . E se la tua piattaforma preferita è Linux, ci sono molte opzioni disponibili. Continua a leggere mentre scopriamo alcuni dei migliori sistemi di gestione dei log per Linux
Inizieremo definendo la gestione dei log. Vedrai che può essere molto più che una semplice centralizzazione dell'archiviazione dei log. Successivamente, discuteremo varie tecnologie di registrazione . Sono la pietra angolare della gestione dei log e probabilmente non esisterebbero senza di loro. Continuando, distingueremo i server syslog dai sistemi di gestione dei log e ci renderemo conto che non c'è una chiara demarcazione tra di loro. Successivamente, faremo una breve pausa e discuteremo dei sistemi di gestione degli eventi e delle informazioni sulla sicurezza . Sono un altro tipo di sistema che spesso viene confuso con la gestione dei log, grazie alla definizione un po' poco chiara di ciascuno. Infine, esamineremo la migliore gestione dei log per Linux.
Che cos'è la gestione dei registri?
Prima di parlare della gestione dei log, definiamo cos'è un log. Semplicemente definito, un registro è la documentazione prodotta automaticamente e con data e ora di un evento rilevante per un particolare sistema. In altre parole, ogni volta che si verifica un evento su un sistema, viene generato un registro. I sistemi e i dispositivi genereranno registri per diversi tipi di eventi e molti sistemi offrono agli amministratori un certo grado di controllo su quale evento genera un registro e quale no.
Per quanto riguarda la gestione dei log, si fa semplicemente riferimento ai processi e alle politiche utilizzate per amministrare e facilitare la generazione, la trasmissione, l'analisi, l'archiviazione, l'archiviazione e l'eventuale smaltimento di grandi volumi di dati di log. Sebbene non sia chiaramente indicato, la gestione dei registri implica un sistema centralizzato in cui vengono raccolti i registri da più fonti. Tuttavia, la gestione dei registri non è solo raccolta di registri. È la parte di gestione che è la più importante. E i sistemi di gestione dei registri hanno spesso più funzionalità, la raccolta dei registri è solo una di queste.
Una volta ricevuti i registri dal sistema di gestione dei registri, è necessario standardizzarli in un formato comune poiché i diversi sistemi formattano i registri in modo diverso e includono dati diversi. Alcuni iniziano un registro con la data e l'ora, altri lo iniziano con un numero di evento. Alcuni includono solo un ID evento, mentre altri includono una descrizione completa dell'evento. Uno degli scopi dei sistemi di gestione dei registri è garantire che tutte le voci di registro raccolte siano archiviate in un formato uniforme. Ciò renderà la correlazione degli eventi e l'eventuale ricerca molto più semplice lungo la linea.
Anche la correlazione e la ricerca sono due importanti funzioni aggiuntive di diversi sistemi di gestione dei log. I migliori dispongono di un potente motore di ricerca che consente agli amministratori di concentrarsi esattamente su ciò di cui hanno bisogno. Le funzioni di correlazione raggrupperanno automaticamente gli eventi correlati, anche se provengono da fonti diverse. Il modo e l'efficacia con cui i diversi sistemi di gestione dei registri riescono a raggiungere questo obiettivo è un importante fattore di differenziazione.
LEGGI ANCHE: 15 migliori strumenti di monitoraggio della rete (la nostra recensione)
Tecnologie di registrazione
La gestione dei registri sarebbe molto più difficile, forse nemmeno possibile, se non fosse per i protocolli di registrazione. Alcuni di loro esistono. Definiscono quali dati devono essere inclusi nei log, come devono essere formattati e, a volte, come devono essere trasmessi tra i sistemi.
Syslog è probabilmente il protocollo di registrazione più utilizzato , soprattutto nel mondo Linux. La tecnologia è stata inventata nei primi anni ottanta ed è diventata lo standard de facto per tutti i sistemi Unix-like. Uno dei maggiori vantaggi della tecnologia syslog è il modo in cui facilita la separazione tra il sistema o il software che genera i registri, il sistema che li memorizza e il software che li riporta e li analizza. L'utilizzo della tecnologia Syslog semplifica notevolmente la gestione dei registri. E Syslog non è un'esclusiva Unix. Molti dispositivi non Unix come switch, router e tutti i tipi di apparecchiature di molti fornitori utilizzano una variante del protocollo syslog.
Esistono altre tecnologie di registrazione. Microsoft Windows, ad esempio, utilizza un sistema di registrazione diverso. Potrebbe dipendere dal fatto che i sistemi operativi e le applicazioni Windows dispongono di registri che in genere contengono informazioni più dettagliate di quelle consentite dalla tecnologia Syslog. Fortunatamente, le funzioni di Windows Event Collector forniscono un mezzo per la gestione dei registri che vari sistemi possono utilizzare per ricevere eventi dagli host Windows. Questo post riguarda la gestione dei log di Linux, quindi non perdiamo troppo tempo su Windows, però.
Indipendentemente dalla tecnologia di registrazione utilizzata, una parte importante della gestione dei registri è la configurazione dei dispositivi per l'invio dei propri registri al sistema di gestione. Altri tipi di strumenti come i sistemi di monitoraggio della rete possono recuperare i dati dai sistemi che monitorano, ma con la gestione dei registri, a ogni dispositivo deve essere "detto" dove inviare i propri registri. Si tratta, tuttavia, di un'attività relativamente semplice che spesso viene eseguita impartendo un semplice comando.
ULTERIORI LETTURE: miglior software di mappatura e topologia dei diagrammi di rete
Server di log o gestione dei log?
Poiché è disponibile da un po' di tempo su tutti i sistemi simili a Unix, compreso Linux, Syslog viene spesso utilizzato come server di log con un computer che riceve i dati Syslog da molti altri. Sebbene questa memorizzazione centralizzata dei registri abbia vantaggi definiti, non è sufficiente chiamarla gestione dei registri.
Per meritare il nome di Log Management System, un prodotto deve includere almeno alcune delle funzioni più avanzate. Secondo Wikipedia, "la gestione dei log comprende le seguenti funzioni: raccolta dei log, aggregazione centralizzata dei log, archiviazione e conservazione dei log a lungo termine, rotazione dei log, analisi dei log, ricerca dei log e reportistica". Oh! È un sacco di funzionalità. I server di log, d'altra parte, spesso offrono solo la raccolta e l'archiviazione dei log e raramente di più.
Una parola (o due) su SIEM
Un'altra tecnologia popolare associata ai registri e spesso confusa con i sistemi di gestione dei registri è la gestione delle informazioni e degli eventi di sicurezza o SIEM. Questo è diverso dalla gestione dei log, ma è strettamente correlato. La linea è così sottile tra loro che alcuni prodotti pubblicizzati come sistemi di gestione dei registri sono in realtà sistemi SIEM mentre alcuni sistemi SIEM di base non sono altro che sistemi avanzati di gestione dei registri.
La confusione deriva dal fatto che la gestione dei log, o quanto meno l'analisi dei log, è una componente importante dei sistemi SIEM. Ciò che differenzia i sistemi SIEM è che eseguono l'analisi dei log con l'obiettivo finale di identificare i problemi di sicurezza. Ad esempio, cercheranno segni di accessi non riusciti che potrebbero essere un segno rivelatore di un tentativo di intrusione non autorizzato . Questi sistemi scansionano continuamente le voci di registro alla ricerca di qualsiasi cosa fuori dall'ordinario . Sebbene alcuni sistemi SIEM includano funzionalità estese di gestione dei registri, alcuni utilizzano un sistema di gestione dei registri esterno e non è raro vedere entrambi i sistemi in esecuzione fianco a fianco.
LETTURA CORRELATA: I migliori scanner IP per Mac
La migliore gestione dei log per Linux
Si spera che ora abbiamo una comprensione comune di cosa sia e cosa non sia la gestione dei log. Quindi, diamo un'occhiata a ciò che è disponibile per Linux. Ma prima, chiariamo una cosa. Quando ci riferiamo alla gestione dei log di Linux, intendiamo i sistemi di gestione dei log in grado di ospitare i log di Linux e che verranno eseguiti sulla piattaforma Linux o nel cloud. Alcune delle nostre selezioni, in particolare i sistemi basati su cloud, funzioneranno anche con i log di altre piattaforme.
1. SolarWinds Papertrail (PIANO GRATUITO DISPONIBILE)
SolarWinds è diventato un nome familiare tra gli amministratori di rete. Sta realizzando alcuni dei migliori strumenti da quasi 20 anni, offrendoci ottimi strumenti di monitoraggio della larghezza di banda e uno dei migliori analizzatori e raccoglitori di NetFlow. L'azienda è anche nota per la pubblicazione di diversi strumenti gratuiti che soddisfano alcune esigenze specifiche degli amministratori di rete come il calcolatore di sottorete o un server syslog.
Non molto tempo fa, SolarWinds ha acquisito Papertrail , un popolare sistema di gestione dei registri. Aggrega i file di registro da un'ampia varietà di prodotti popolari come Apache o MySQL, nonché le app Ruby on Rails, diversi servizi di cloud hosting e altri file di registro standard e basati su testo. Gli utenti di Papertrail possono quindi utilizzare l'interfaccia di ricerca basata sul Web o gli strumenti della riga di comando per cercare tra questi file e aiutare a diagnosticare vari problemi. Papertrail si integra anche con altri prodotti SolarWinds come Librato e Geckoboard per i risultati grafici.
Papertrail è un'offerta SaaS (Software as a Service) basata su cloud di SolarWinds. Essendo basato su cloud, funzionerà bene in un ambiente completamente Linux. La piattaforma è facile da implementare, utilizzare e comprendere e ti darà visibilità istantanea su tutti i sistemi in pochi minuti. Inoltre, il prodotto ha un motore di ricerca molto efficace in grado di cercare sia i registri archiviati che quelli in streaming. Ed è fulmineo.
Papertrail è disponibile con diversi piani, incluso un piano gratuito . È in qualche modo limitato, tuttavia, e consente solo 100 MB di registri ogni mese. Tuttavia, consentirà 16 GB di log nel primo mese, il che equivale a darti una prova gratuita di 30 giorni . I piani a pagamento partono da $7/mese per 1GB/mese di log, 1 anno di archivio e 1 settimana di indice. Il filtraggio del rumore consente allo strumento di preservare i dati non salvando registri inutili.
2. Loggly
Loggly è un altro servizio online basato su cloud. Principalmente un consolidatore di log, offre anche funzionalità di analisi dei log. Essendo basato su cloud, questo sistema non richiede installazione ed è pronto per l'uso nel momento in cui ti iscrivi. Ovviamente, i tuoi sistemi e dispositivi dovranno essere configurati per caricare periodicamente i loro file di registro standard sul server online.
Loggly converte quindi i dati di registro ricevuti in un formato standard, consentendo in tal modo all'analizzatore di elaborare i record da varie fonti e consentendo il monitoraggio e la correlazione degli eventi su tutti i sistemi, indipendentemente dal sistema operativo o dalla tecnologia di registrazione. Le origini dei dati di registro non sono limitate ai server locali. Il sistema è, ovviamente, in grado di elaborare i log generati da server online, come AWS di Amazon e può includere messaggi creati da applicazioni specifiche come Docker e Logstash, solo per citarne alcuni.
Il servizio Loggly è disponibile in tre differenti piani tariffari , con limiti di elaborazione dati e tempi di conservazione crescenti. Devi scegliere quello giusto per darti spazio sufficiente per i tuoi dati di registro. Il piano entry-level si chiama Loggly Lite. È gratuito. Con questo piano, puoi caricare 200 MB di dati di registro al giorno e il sistema conserverà ogni record per sette giorni. Il prossimo è il piano Standard che ti offre un limite di caricamento di 1 GB al giorno e conserva i record per 30 giorni. I piani a pagamento ti consentono anche di utilizzare più account utente. Con il pacchetto Standard puoi avere tre account utente. Il livello più alto si chiama Loggly Enterprise. Non ha limiti al numero di account utente che puoi configurare e i prezzi variano in base alla quantità di capacità di caricamento e al periodo di conservazione richiesto. Il pagamento per tutti i piani a pagamento può essere mensile o annuale e per il piano Standard è disponibile una prova gratuita di 14 giorni .
3. Splunk
Splunk è un noto sistema completo di gestione dei registri all'interno della comunità di amministrazione di sistema per Linux, Mac OS e Windows. Più che un semplice sistema di gestione dei registri, alcuni lo considerano un vero e proprio sistema di prevenzione delle intrusioni. Il prodotto è disponibile in tre versioni. In cima c'è Splunk Enterprise, che è più un sistema di gestione della rete piuttosto che un semplice strumento di gestione dei registri. Il prezzo parte da $ 173 al mese e ottieni molte funzionalità.
Esiste anche una versione gratuita di Splunk che è fondamentalmente lo stesso strumento senza alcune delle sue funzionalità più avanzate. In sostanza, è limitato all'analisi dei file di registro. Puoi inserire uno qualsiasi dei tuoi file di registro standard o inviarlo dati in tempo reale tramite un file nell'analizzatore. La versione gratuita ha alcune limitazioni. Può, ad esempio, avere un solo account utente e il suo throughput di dati è limitato a 500 MB di registri al giorno. La funzionalità di ordinamento e filtraggio dei dati è integrata in Splunk, facilitando i tuoi sforzi per la risoluzione dei problemi. È possibile utilizzare queste funzionalità per dividere i record di registro per data e scrivere ogni gruppo in nuovi file. In effetti, questa funzionalità è molto flessibile.
4. Server di log di Nagios
Nagios è meglio conosciuto per il suo eccellente software di monitoraggio della rete, ma il suo Log Server è altrettanto interessante. Il prodotto si chiama semplicemente Nagios Log Server e offre la gestione, il monitoraggio e l'analisi centralizzati dei log. Questo strumento può semplificare notevolmente il processo di ricerca dei dati di registro. Consente inoltre di impostare avvisi per la notifica di potenziali minacce. Inoltre, il software ha un'elevata disponibilità e failover integrati. Inoltre, le sue semplici procedure guidate di configurazione della sorgente ti aiuteranno a configurare rapidamente i server per inviare tutti i dati di registro e iniziare a monitorare i tuoi registri in pochi minuti.
Il Nagios Log Server consente una facile correlazione degli eventi di log su tutti i server in pochi clic. Il sistema ti consentirà di visualizzare i dati di registro in tempo reale, dandoti la possibilità di analizzare e risolvere i problemi non appena si verificano. Il prodotto offre una scalabilità impressionante e continuerà a soddisfare le tue esigenze man mano che la tua organizzazione cresce. Ulteriori Nagios Log Server istanze possono essere aggiunti a un cluster di monitoraggio, che consente di aggiungere rapidamente più potenza, la velocità, lo stoccaggio e l'affidabilità.
Il prezzo per singola istanza per Nagios Log Server è di $ 3 995 e, sebbene non sembri disponibile una prova gratuita, è disponibile una demo online gratuita, se preferisci dare un'occhiata di prima mano al prodotto.
5. Graylog
Il prossimo sulla nostra lista è un prodotto chiamato Graylog . Il prodotto offre molte caratteristiche interessanti. Lo strumento analizzerà e arricchirà i registri e i dati degli eventi da qualsiasi origine dati. Le sue pipeline di elaborazione consentono una certa flessibilità nell'instradamento, nella blacklist, nella modifica e nell'arricchimento dei messaggi in tempo reale. Graylog cercherà tra terabyte di dati di registro per scoprire e analizzare informazioni importanti. La potente sintassi di ricerca ti consente di trovare esattamente ciò che stai cercando.
Con Graylog puoi creare dashboard per visualizzare le metriche e osservare le tendenze in un'unica posizione centrale. Puoi utilizzare le statistiche dei campi, i valori rapidi e i grafici dalla pagina dei risultati di ricerca per approfondire l'analisi dei tuoi dati. Il sistema ha anche la possibilità di attivare azioni o inviare notifiche su eventi come tentativi di accesso non riusciti, eccezioni o degrado delle prestazioni.
Graylog è un sistema gratuito e open source basato su file di registro che può darti molte più funzionalità di una semplice utility di archiviazione dei registri. Questo analizzatore di log ha un'interfaccia utente grafica e può essere eseguito su Ubuntu, Debian, CentOS e SUSE Linux. Puoi anche eseguirlo su una macchina virtuale su Microsoft Windows e puoi installare il sistema Graylog su Amazon AWS.
6. ManageEngine EventLog Analyzer
ManageEngine , un altro nome comune tra gli amministratori di rete, crea un eccellente sistema di gestione dei registri chiamato ManageEngine EventLog Analyzer . Il prodotto raccoglierà, gestirà, analizzerà, metterà in correlazione e cercherà tra i dati di registro di oltre 700 fonti utilizzando una combinazione di raccolta di registri senza agente e basata su agente, nonché l'importazione di registri.
La velocità è uno dei punti di forza di ManageEngine EventLog Analyzer . Può elaborare i dati di registro a ben 25.000 registri al secondo e rilevare gli attacchi in tempo reale. Può anche eseguire analisi forensi veloci per ridurre l'impatto di una violazione. Le capacità di controllo del sistema si estendono ai registri dei dispositivi perimetrali di rete, alle attività degli utenti, alle modifiche dell'account del server, agli accessi degli utenti e altro ancora, aiutandoti a soddisfare le esigenze di controllo della sicurezza.
Il ManageEngine EventLog Analyzer è disponibile in una versione gratuita di funzionalità ridotta che supporta solo 5 fonti di registro o in un'edizione premio che comincia a $ 595 varia a seconda del numero di dispositivi e applicazioni. È disponibile anche una versione di prova gratuita completa di 30 giorni.