La gestione dei log può essere un'impresa complessa. Non solo una tipica organizzazione ne genera una tonnellata, ma provengono da una varietà di fonti, ognuna con un formato potenzialmente diverso e contenente informazioni diverse. Per mettere una parvenza di ordine in qualcosa che può diventare rapidamente caotico, è stata inventata la gestione dei registri. Oggi diamo uno sguardo alle best practice e ai sistemi di gestione dei log. Speriamo che ti aiuti a vedere chiaramente attraverso questo.
Inizieremo con una breve descrizione della gestione dei log. Quindi, ci immergeremo direttamente nelle migliori pratiche di gestione dei registri. Esploreremo se dovresti usare un sistema già pronto o farlo da solo. Daremo anche un'occhiata a cosa (e cosa no) monitorare, seguito da sicurezza e conservazione dei log e considerazioni sullo storage. E prima di esaminare alcuni dei migliori sistemi di gestione dei log, esamineremo le varie attività di gestione, la revisione e la manutenzione dei log, la correlazione delle origini dati e alcune considerazioni sull'automazione.
Informazioni sulla gestione dei registri
Semplicemente definito, un registro è la documentazione prodotta automaticamente e con data e ora di un evento rilevante per un particolare sistema. Quando si verifica un evento su un sistema, viene generato un registro, o una voce di registro. Sistemi diversi genereranno registri per eventi diversi. Per quanto riguarda la gestione dei registri, generalmente si riferisce ai processi e alle politiche utilizzati per amministrare e facilitare la generazione, la trasmissione, l'analisi e l'archiviazione dei dati di registro. La gestione dei registri in genere implica un sistema centralizzato in cui vengono aggregati i registri da più origini.
Tuttavia, la gestione dei registri non è solo raccolta di registri. Come suggerisce il nome, la parte di gestione è importante. Una volta ricevuti dal sistema di gestione dei log, i log vengono "tradotti" in un formato comune. È necessario poiché diversi sistemi formattano i registri in modo diverso e includono dati diversi nei loro registri. Per facilitare la ricerca e la correlazione degli eventi, uno degli scopi dei sistemi di gestione dei registri è garantire che tutte le voci di registro raccolte siano archiviate in un formato uniforme.
Parlando di ricerca e persino di correlazione, questa è un'altra caratteristica importante della maggior parte dei sistemi di gestione dei log. I migliori sistemi di gestione dei log dispongono di un potente motore di ricerca. Consente agli amministratori di concentrarsi esattamente su ciò che è necessario. Inoltre, la correlazione degli eventi raggrupperà automaticamente gli eventi correlati, anche se provengono da fonti diverse.
Best practice per la gestione dei registri
La gestione dei log è un processo complesso, non c'è molto che possiamo fare al riguardo. Con questa complessità si corre il rischio di sbagliare. Per evitare ciò, abbiamo compilato un elenco di alcune delle migliori pratiche di gestione dei log. Il nostro obiettivo è darti quante più informazioni possibili per scegliere il miglior sistema di gestione dei log per le tue esigenze ma, soprattutto, per ottenere il massimo da esso.
Sistema di gestione dei registri o fai da te?
Per qualche ragione, alcune persone credono di poter implementare manualmente un "sistema di gestione dei registri". Se sei tra queste persone, smettila subito di prenderti in giro. Sebbene sia possibile implementare manualmente una qualche forma di gestione dei log, gli sforzi necessari superano di gran lunga quelli necessari per implementare un vero sistema di gestione dei log. E con diversi strumenti gratuiti e open source disponibili, l'argomento del costo non è valido.
Ha quasi sempre senso utilizzare una soluzione di registrazione gestita creata, supportata e ridimensionata da un fornitore affidabile piuttosto che creare un sistema da soli. Con loro, tutto ciò che devi fare in genere è connettere le tue origini e destinazioni e sei pronto per analizzare i registri di sistema e applicazioni nel modo più semplice. Sarai libero di dedicare più tempo al monitoraggio e alla registrazione piuttosto che alla creazione della tua infrastruttura di registrazione.
Sapere cosa monitorare (e cosa no)
Sapere cosa registrare è importante, ma è ancora più importante sapere cosa non registrare. Solo perché puoi registrare qualcosa non significa necessariamente che dovresti. Registrare troppo spesso non fa altro che rendere più difficile trovare dati che contano davvero. Inoltre, il volume aggiuntivo dei registri aggiunge complessità e costi ai processi di archiviazione e gestione dei registri. È importante pensare in anticipo a ciò che verrà e non verrà registrato prima di iniziare a implementare una piattaforma di gestione dei registri. Eviterà errori costosi e ti permetterà di dimensionare meglio il tuo utensile.
Considera attentamente ciò di cui hai effettivamente bisogno per accedere. Molto probabilmente gli ambienti di produzione critici per la conformità o per scopi di controllo dovrebbero essere registrati. Lo stesso vale per i dati che ti aiutano a risolvere i problemi di prestazioni, a risolvere i problemi relativi all'esperienza utente o a monitorare gli eventi relativi alla sicurezza.
Al contrario, ci sono cose che non è necessario registrare come, ad esempio, ambienti di test che non sono una parte essenziale dei processi aziendali. Ci sono anche dati che sceglierai di non registrare per motivi di conformità o sicurezza. Ad esempio, se un utente ha abilitato un'impostazione di non tracciamento, non dovresti registrare i dati associati a quell'utente.
Implementazione di una politica di sicurezza e conservazione dei registri
I log possono contenere dati sensibili. Per questo motivo, è necessario disporre di una politica di sicurezza del registro. Sarà prezioso, ad esempio, per garantire che i dati sensibili vengano resi anonimi o crittografati. Inoltre, il trasporto sicuro dei dati di registro ai sistemi di gestione dei registri impone l'uso del trasporto crittografato tramite TLS o HTTPS sul lato client e server.
Per quanto riguarda i criteri di conservazione, i log di origini o sistemi diversi potrebbero richiedere tempi di conservazione diversi. Ad esempio, i log utilizzati principalmente per la risoluzione dei problemi possono funzionare con tempi di conservazione relativamente brevi, come alcuni giorni o anche poche ore. D'altro canto, i registri relativi alla sicurezza oi registri delle transazioni aziendali richiedono tempi di conservazione più lunghi, spesso per la conformità alle normative. Considerando ciò, i criteri di conservazione dovrebbero essere flessibili e adattabili, a seconda dell'origine del registro o del tipo di registro.
Considerazioni sull'archiviazione dei registri
La conservazione dei dati di registro consuma prezioso spazio di archiviazione. Quando si pianifica la capacità di archiviazione dei log, è necessario considerare picchi di carico elevati. Nella maggior parte dei casi, la quantità di log di dati al giorno è relativamente costante. Dipende principalmente dall'utilizzo del sistema e/o dal numero di transazioni giornaliere. Tuttavia, quando qualcosa va storto, puoi aspettarti una crescita accelerata del volume di log. Se l'archiviazione dei registri ha limiti che superi, potresti perdere i registri più recenti. Per mitigare questo effetto, i migliori sistemi di gestione dei log utilizzano un buffer ciclico. Elimina i dati più vecchi prima che venga applicato qualsiasi limite di archiviazione.
Inoltre, l'archiviazione dei registri dovrebbe avere una propria politica di sicurezza. La maggior parte degli aggressori cercherà di evitare o eliminare le proprie tracce nei file di registro. Per evitare ciò, è necessario inviare i registri in tempo reale all'archiviazione centrale dei registri, preferibilmente fuori sede, e proteggerli. Pertanto, se un utente malintenzionato ha accesso alla tua infrastruttura, i registri esterni manterranno le prove inalterate.
Revisione e mantenimento dei registri
La manutenzione dei registri è una parte importante della gestione dei registri, se non la parte più importante. I log non mantenuti possono comportare tempi di risoluzione dei problemi più lunghi, rischi di esposizione dei dati e costi di archiviazione dei log più elevati. Esamina i registri generati dai tuoi sistemi e adatta il livello di registrazione alle tue esigenze. Dovresti considerare gli aspetti di usabilità, operativi e di sicurezza.
Rendi configurabile il livello di registro
Alcuni log di sistema sono troppo dettagliati mentre altri non forniscono informazioni sufficienti. Sfortunatamente, non c'è sempre qualcosa che puoi fare al riguardo. La maggior parte dei sistemi fornisce livelli di registro regolabili. Sono la chiave per configurare la verbosità dei registri e garantire che ciò che deve essere registrato sia e ciò che non è importante non lo sia.
Ispezionare frequentemente i registri di controllo
Agire sui problemi di sicurezza è fondamentale. Questo è il motivo per cui si dovrebbe sempre tenere d'occhio i log. Se il tuo sistema di gestione dei registri non dispone di tale funzionalità, molti di loro lo fanno, utilizza strumenti di sicurezza esterni come auditd o OSSEC. Implementano l'analisi dei log in tempo reale e generano log di avvisi che indicano potenziali problemi di sicurezza. E in aggiunta a ciò, dovresti definire avvisi su eventi critici per essere avvisato rapidamente su qualsiasi attività sospetta.
Correlare le origini dati
La registrazione è solo un elemento di una strategia di monitoraggio globale. Per un monitoraggio veramente efficace, è necessario integrare la gestione dei registri con altri tipi di monitoraggio come il monitoraggio basato su eventi, avvisi e traccia. Questo è il modo migliore per avere un quadro completo di ciò che sta accadendo in qualsiasi momento. Sebbene i registri siano utili per fornire dettagli ad alta definizione sui problemi, questo è molto utile quando si prende una certa distanza per guardare la foresta prima di ingrandire gli alberi.
La gestione dei registri non funziona bene in un silo. Niente lo fa. Dovresti assolutamente integrarlo con altri tipi di monitoraggio come il monitoraggio della rete, il monitoraggio dell'infrastruttura e altro ancora. E in un mondo ideale, la tua soluzione di monitoraggio dovrebbe essere sufficientemente completa da fornire tutte le informazioni di monitoraggio in un unico posto. In alternativa, potrebbe integrarsi con altri strumenti che forniscono queste informazioni. L'obiettivo qui è quello di avere, per quanto possibile, una visione unificata dell'intero ambiente.
Gestione e automazione dei registri
La gestione dei registri può aiutarti a individuare i problemi in anticipo, consentendo a te e al tuo team di risparmiare tempo ed energia preziosi. Può anche aiutarti a trovare opportunità per l'automazione. La maggior parte degli strumenti di gestione dei registri ti consente di impostare avvisi personalizzati che si attivano quando succede qualcosa. Alcuni ti permetteranno persino di impostare azioni automatizzate da avviare quando questi avvisi vengono attivati. Dovresti utilizzare tutta l'automazione consentita dal tuo strumento di gestione. Nonostante il tempo che impiegherai a configurare questa automazione, scoprirai che ne è valsa la pena la prima volta che incontri un incidente.
I 6 migliori strumenti di gestione dei registri
Abbiamo setacciato il mercato cercando di trovare il miglior strumento di gestione dei log. Abbiamo cercato di mettere insieme un elenco che include vari tipi di strumenti. Dopotutto, le esigenze di ognuno sono diverse e lo strumento migliore per uno non è necessariamente il migliore per qualcun altro.
1. SolarWinds Security Event Manager (PROVA GRATUITA)
SolarWinds è un nome comune nel campo degli strumenti di amministrazione di rete. È in circolazione da circa due decenni e ci ha portato alcuni dei migliori strumenti di monitoraggio della larghezza di banda e analizzatori e raccoglitori NetFlow. L'azienda è anche nota per la pubblicazione di diversi strumenti gratuiti che soddisfano alcune esigenze specifiche degli amministratori di rete come il calcolatore di sottorete o un server syslog.
Quando si tratta di gestione dei registri, l'offerta dell'azienda si chiama ora SolarWinds Security Event Manager . È stato recentemente rinominato da Log & Event Manager , probabilmente per riflettere meglio il fatto che in realtà è molto più di un semplice sistema di gestione dei registri. Molte delle sue funzionalità avanzate lo inseriscono nella gamma SIEM (Security Information and Event Management). Ha, ad esempio, la correlazione degli eventi in tempo reale e la correzione in tempo reale, due funzionalità simili a SIEM.
Diamo un'occhiata ad alcune delle caratteristiche principali di SolarWinds Security Event Manager . Lo strumento può eliminare rapidamente le minacce utilizzando il rilevamento istantaneo di attività sospette e risposte automatizzate. Può anche eseguire indagini sugli eventi di sicurezza e analisi forensi per mitigazione e conformità. E parlando di conformità, il prodotto ti consentirà di dimostrarlo, grazie alla sua reportistica verificata per HIPAA, PCI DSS e SOX, tra gli altri. Questo strumento ha anche il monitoraggio dell'integrità dei file e il monitoraggio del dispositivo USB, due funzionalità che sono molto al di sopra di ciò che vediamo comunemente nei sistemi di gestione dei registri.
I prezzi per SolarWinds Security Event Manager partono da $ 4.585 per un massimo di 30 nodi monitorati. È possibile acquistare licenze fino a 2500 nodi, rendendo il prodotto altamente scalabile. E se vuoi verificare direttamente che il prodotto è giusto per te, è disponibile una prova gratuita completa di 30 giorni .
2. SolarWinds Papertrail (PIANO GRATUITO DISPONIBILE)
In secondo luogo, abbiamo un altro ottimo prodotto chiamato Papertrail , una recente acquisizione di SolarWinds . Papertrail è un popolare sistema di gestione dei log basato su cloud. Aggrega file di registro da un'ampia varietà di prodotti popolari come Apache o MySQL, nonché app Ruby on Rails, diversi servizi di cloud hosting e altri file di registro di testo standard. Gli utenti di Papertrail possono quindi utilizzare l'interfaccia di ricerca basata sul Web o gli strumenti della riga di comando per cercare tra questi file e aiutare a diagnosticare bug e problemi di prestazioni. Lo strumento si integra anche con altri prodotti SolarWinds come Librato e Geckoboard per i risultati grafici.
Papertrail è un'offerta SaaS (Software as a Service) basata su cloud di SolarWinds . È facile da implementare, utilizzare e comprendere. E ti darà visibilità istantanea su tutti i sistemi in pochi minuti. Lo strumento ha un motore di ricerca molto efficace che può cercare sia i registri archiviati che quelli in streaming. Ed è fulmineo.
Papertrail è disponibile con diversi piani, incluso un piano gratuito. È in qualche modo limitato, tuttavia, e consente solo 100 MB di registri ogni mese. Tuttavia, consentirà 16 GB di log nel primo mese, il che equivale a darti una prova gratuita di 30 giorni . I piani a pagamento partono da $7/mese per 1GB/mese di log, 1 anno di archivio e 1 settimana di indice. Il filtraggio del rumore consente allo strumento di preservare i dati non salvando registri inutili.
3. ManageEngine EventLog Analyzer
ManageEngine , un altro nome comune con gli amministratori di rete, crea un eccellente sistema di gestione dei log chiamato ManageEngine EventLog Analyzer . Il prodotto raccoglierà, gestirà, analizzerà, metterà in correlazione e cercherà tra i dati di registro di oltre 700 fonti utilizzando una combinazione di raccolta di registri senza agente e basata su agente, nonché l'importazione di registri.
La velocità è uno dei punti di forza di ManageEngine EventLog Analyzer . Può elaborare i dati di registro a ben 25.000 registri al secondo e rilevare gli attacchi in tempo reale. Può anche eseguire analisi forensi veloci per ridurre l'impatto di una violazione. Le capacità di controllo del sistema si estendono ai registri dei dispositivi perimetrali di rete, alle attività degli utenti, alle modifiche dell'account del server, agli accessi degli utenti e altro ancora, aiutandoti a soddisfare le esigenze di controllo della sicurezza.
Il ManageEngine EventLog Analyzer è disponibile in una versione gratuita di funzionalità ridotta che supporta solo 5 fonti di registro o in un'edizione premio che comincia a $ 595 varia a seconda del numero di dispositivi e applicazioni. È disponibile anche una versione di prova gratuita completa di 30 giorni.
4. Suite di gestione dei registri IPswitch
La Log Management Suite è un prodotto di Ipswitch , la stessa azienda che ci ha portato WhatsUp Gold , uno strumento di monitoraggio della rete immensamente popolare. Questo è uno strumento automatizzato che raccoglie, archivia, archivia e salva i registri di sistema, gli eventi di Windows e i registri W3C/IIC. Inoltre, la sua sorveglianza continua del registro ti avviserà di qualsiasi attività sospetta.
È possibile seguire eventi frequentemente controllati come diritti di accesso e privilegi di file, cartelle e oggetti, generando avvisi secondo necessità e utilizzati per creare report di conformità per la conformità HIPAA, SOX, FISMA, PCI, MiFID o Basilea II. Lo strumento può anche aiutarti a trasformare i tuoi dati di log grezzi in dati significativi per manager o team di sicurezza IT, grazie alle sue funzionalità automatizzate di filtraggio, correlazione, reporting e conversione.
Le informazioni sui prezzi per Log Management Suite non sono immediatamente disponibili da Ipswitch . Il prodotto può essere acquistato direttamente dall'editore o tramite la rete di rivenditori di Ipswitch . È disponibile anche una versione di prova gratuita.
5. Gestione log della logica degli avvisi
L'obiettivo principale di Alert Logic è la sicurezza e la conformità. E poiché la gestione dei log è strettamente correlata a entrambi, non sorprende che l'azienda offra Alert Logic Log Manager . Questo strumento basato su cloud offre una gestione dei log automatizzata e unificata in tutti i tuoi ambienti. Raccoglierà, aggregherà e cercherà i dati di registro dal cloud, dal server, dall'applicazione, dalla sicurezza e dalle risorse di rete.
L'Alert Logic Log Manager include il monitoraggio e l'analisi di log così come recensione di registro che è fatto in diretta dagli analizzatori umani. Gli esperti di Alert Logic ti avviseranno di possibili attività di minaccia 365 giorni all'anno. Il servizio aiuterà anche a soddisfare i requisiti di revisione dei log di SOC 2, HIPAA e SOX e ad alleggerire l'onere della revisione dei log e del follow-up degli eventi, per conformarsi a PCI/DSS 10.6, 10.6.1, 10.6.3
Le informazioni sui prezzi per Alert Logic Log Manager non sono immediatamente disponibili sul Web e sarà necessario contattare le vendite di Alert Logic per ottenere un preventivo formale. Non è inoltre disponibile una prova gratuita, ma è possibile organizzare una demo gratuita contattando Alert Logic .
6. Server di log di Nagios
Potresti già conoscere Nagios come un eccellente pacchetto di monitoraggio della rete. Offrendogli una versione gratuita e open-source, nonché in una versione commerciale, il prodotto ha una solida reputazione. Per la gestione dei log, l'offerta di Nagios è denominata Nagios Log Server . È un pacchetto completo con gestione, monitoraggio e analisi centralizzati dei registri. Questo strumento può semplificare il processo di ricerca dei dati di registro. Consente inoltre di impostare avvisi per la notifica di potenziali minacce. Inoltre, il software ha un'elevata disponibilità e failover integrati. Le sue semplici procedure guidate di configurazione della sorgente possono aiutarti a configurare i tuoi server e altri dispositivi per inviare i loro dati di registro alla piattaforma, consentendoti di iniziare a monitorare i tuoi registri in pochi minuti.
Il Nagios Log Server fornisce una facile correlazione degli eventi di registro su tutte le fonti di registrazione in pochi clic. Il sistema ti consentirà di visualizzare i dati di registro in tempo reale, consentendo di analizzare e risolvere i problemi in tempo reale, man mano che si verificano. Un altro punto di forza del prodotto è la sua impressionante scalabilità. Questo strumento continua a soddisfare le tue esigenze man mano che la tua organizzazione cresce. Se necessario, è possibile aggiungere ulteriori istanze di Nagios Log Server a un cluster di monitoraggio, consentendo di aggiungere rapidamente più potenza, velocità, archiviazione e affidabilità.
Con tutte queste caratteristiche, ci si aspetterebbe un prezzo elevato. Non è il caso e il prezzo per singola istanza per il Nagios Log Server è molto ragionevole di $ 3 995. Nonostante non offra una prova gratuita, è disponibile una demo online gratuita, se preferisci dare un'occhiata di prima mano al prodotto prima di prendere una decisione di acquisto.
Il mercato del software per la gestione della rete è molto affollato. Scorcia la tua ricerca seguendo i nostri consigli sui migliori strumenti di gestione della rete.
I ping sweep possono essere usati a tuo vantaggio in molti modi. Continua a leggere mentre discutiamo di come e introduciamo i 10 migliori strumenti di sweep Ping che puoi trovare.
I siti Web sono importanti e devono essere costantemente monitorati attentamente per prestazioni adeguate. Ecco alcuni dei migliori strumenti per il monitoraggio dei siti web.
Ecco uno sguardo ad alcuni dei migliori strumenti di distribuzione del software per alleviare il dolore di gestire un numero qualsiasi di macchine
sFlow è un protocollo di analisi del flusso integrato in numerosi dispositivi di rete. Esaminiamo i primi cinque migliori raccoglitori e analizzatori sFlow gratuiti.
Per aiutarti a scegliere quello giusto, abbiamo introdotto i migliori strumenti di monitoraggio dell'infrastruttura agentless e ti abbiamo fornito una rapida revisione di ciascuno di essi.
Con Linux che sta diventando sempre più popolare nei data center, stavamo dando un'occhiata al monitoraggio della larghezza di banda su Linux e stiamo anche esaminando i migliori strumenti.
La sicurezza della posta elettronica è un compito importante dei provider di servizi gestiti. Stavamo recensendo SolarWinds Mail Assure, uno dei migliori strumenti per questo scopo.
Se sei un utente esperto di Windows, probabilmente sai e capisci come eseguire varie operazioni sul tuo PC può avere più di un solo approccio e
La latenza sembra essere il nemico numero uno delle reti. Questi strumenti di misurazione della latenza insegneranno come testare la latenza per rilevare, individuare e risolvere i problemi.
