2021年のLinux用の6つの最高のログ管理ツール

今日のシステムは大量のログデータを生成しているため、管理者が常にログ管理ソリューションを探しているのは当然のことです。デフォルトでは、ログはローカルに保存されることがよくあります。それらをソースにリンクするのが簡単になるので、これは理にかなっています。ただし、問題のトラブルシューティングを行い、その根本的な原因を特定しようとすると、多数のデバイス上の複数のログファイルを確認する必要がある場合があります。すべてのデバイスからのすべてのログが1つの集中管理された場所に保存されていたら素晴らしいと思いませんか？これがログ管理の目的です。また、選択したプラットフォームがLinuxの場合、利用可能なオプションはたくさんあります。Linuxに最適なログ管理のいくつかを発見したので読んでください

まず、ログ管理を定義します。ログストレージを一元化するだけでは不十分であることがわかります。次に、さまざまなロギングテクノロジーについて説明します。それらはログ管理の基礎であり、それらなしでは存在し得ないでしょう。続けて、syslogサーバーをログ管理システムと区別し、それらの間に明確な境界がないことを認識します。次に、一時停止して、セキュリティ情報とイベント管理システムについて説明します。これらは、それぞれの定義がやや不明確なため、ログ管理と混同されることが多い別のタイプのシステムです。そして最後に、Linuxに最適なログ管理を確認します。

ログ管理とは何ですか？

ログ管理について説明する前に、ログとは何かを定義しましょう。簡単に定義すると、ログは、特定のシステムに関連するイベントの自動的に作成され、タイムスタンプが付けられたドキュメントです。つまり、システムでイベントが発生するたびに、ログが生成されます。システムとデバイスはさまざまなタイプのイベントのログを生成します。多くのシステムでは、管理者がログを生成するイベントと生成しないイベントをある程度制御できます。

ログ管理に関しては、大量のログデータの生成、送信、分析、保存、アーカイブ、および最終的な廃棄を管理および促進するために使用されるプロセスとポリシーを単に指します。明確に述べられていませんが、ログ管理は、複数のソースからのログが収集される集中型システムを意味します。ただし、ログ管理は単なるログ収集ではありません。最も重要なのは管理部分です。また、ログ管理システムには多くの場合、複数の機能があり、ログの収集はそのうちの1つにすぎません。

ログがログ管理システムによって受信されると、システムごとにログの形式が異なり、含まれるデータも異なるため、ログを共通の形式に標準化する必要があります。日付と時刻でログを開始するものもあれば、イベント番号でログを開始するものもあります。イベントIDのみが含まれるものもあれば、イベントの全文説明が含まれるものもあります。ログ管理システムの目的の1つは、収集されたすべてのログエントリが統一された形式で保存されるようにすることです。これにより、イベントの相関関係と最終的な検索がはるかに簡単になります。

相関と検索でさえ、いくつかのログ管理システムの2つの追加の主要な機能です。それらの最高のものは、管理者が必要なものに正確に焦点を合わせることができる強力な検索エンジンを備えています。相関関数は、関連するイベントが異なるソースからのものであっても、それらを自動的にグループ化します。さまざまなログ管理システムがそれをどのように、そしてどのように成功させるかが、大きな差別化要因です。

また読む： 15の最高のネットワーク監視ツール（私たち自身のレビュー）

伐採技術

ログプロトコルがなければ、ログ管理ははるかに難しく、おそらく不可能ですらあります。それらのいくつかが存在します。これらは、ログに含まれるデータ、そのフォーマット方法、および場合によってはシステム間での送信方法を定義します。

Syslogは、特にLinuxの世界で、間違いなく最も使用されているロギングプロトコルです。このテクノロジーは80年代初頭に発明され、すべてのUnixライクなシステムの事実上の標準になりました。syslogテクノロジーの最大の利点の1つは、ログを生成するシステムまたはソフトウェア、ログを保存するシステム、およびログを報告および分析するソフトウェアを簡単に分離できることです。Syslogテクノロジーを使用すると、ログ管理がはるかに簡単になります。また、SyslogはUnix専用ではありません。スイッチ、ルーター、および多くのベンダーのあらゆる種類の機器など、多くの非Unixデバイスは、syslogプロトコルのバリアントを使用します。

他のロギングテクノロジーがあります。たとえば、MicrosoftWindowsは別のログシステムを使用しています。これは、Windowsオペレーティングシステムとアプリケーションに、通常Syslogテクノロジで許可されているよりも詳細な情報を含むログがあるという事実に関係している可能性があります。幸い、Windowsイベントコレクター機能は、さまざまなシステムがWindowsホストからイベントを受信するために使用できるログ管理の手段を提供します。この投稿はLinuxのログ管理に関するものなので、Windowsで時間を無駄にしないようにしましょう。

使用されているロギングテクノロジーに関係なく、ログ管理の重要な部分は、ログを管理システムに送信するようにデバイスを構成することです。ネットワーク監視システムなどの他のタイプのツールは、監視するシステムからデータをフェッチできますが、ログ管理では、各デバイスにログの送信先を「通知」する必要があります。ただし、これは比較的単純なタスクであり、多くの場合、単純なコマンドを発行することで実行されます。

さらに読む： 最高のネットワーク図マッピングおよびトポロジーソフトウェア

ログサーバーまたはログ管理？

Linuxを含むすべてのUnixライクなシステムでかなり長い間利用可能であったため、Syslogは、1台のコンピュータが他の複数のコンピュータからSyslogデータを受信するログサーバーとしてよく使用されます。このログの集中ストレージには明確な利点がありますが、ログ管理と呼ぶには十分ではありません。

ログ管理システムの名前に値するためには、製品に少なくともいくつかのより高度な機能が含まれている必要があります。ウィキペディアによると、「ログ管理は、ログ収集、集中ログ集約、長期ログ保存と保持、ログローテーション、ログ分析、ログ検索、レポートの機能で構成されています」とのことです。わお！それはたくさんの機能です。一方、ログサーバーは、ログの収集と保存のみを提供することが多く、それ以上のことはめったにありません。

SIEMについての一言（または2つ）

ログに関連付けられ、ログ管理システムと混同されることが多いもう1つの一般的なテクノロジは、セキュリティ情報およびイベント管理（SIEM）です。これはログ管理とは異なりますが、密接に関連しています。それらの間の境界線は非常に細いため、ログ管理システムとして宣伝されている製品の中には実際にはSIEMシステムであるものもあれば、基本的なSIEMシステムの中には高度なログ管理システムにすぎないものもあります。

混乱は、ログ管理、または少なくともログ分析がSIEMシステムの重要なコンポーネントであるという事実から生じています。SIEMシステムの違いは、セキュリティの問題を特定するという最終的な目標を持ってログ分析を実行することです。たとえば、ログインに失敗した兆候を探します。これは、不正な侵入の試みの兆候である可能性があります。これらのシステムは、ログエントリを継続的にスキャンして、通常とは異なるものを探します。一部のSIEMシステムには広範なログ管理機能が含まれていますが、一部のシステムは外部ログ管理システムを使用しており、両方のシステムが並行して実行されているのを見るのは珍しいことではありません。

関連資料： Mac用の最高のIPスキャナー

Linuxに最適なログ管理

うまくいけば、ログ管理とは何か、そうでないものについては、共通の理解が得られたと思います。それでは、Linuxで利用できるものを見てみましょう。しかし、最初に、何かを明確にしましょう。Linuxログ管理とは、Linuxログに対応でき、Linuxプラットフォームまたはクラウドで実行されるログ管理システムのことです。一部の選択肢（特にクラウドベースのシステム）は、他のプラットフォームのログでも機能します。

1. SolarWinds Papertrail（無料プランあり）

SolarWindsは、ネットワーク管理者の間で一般的な名前になっています。ほぼ20年間、最高のツールのいくつかを作成しており、優れた帯域幅監視ツールと、最高のNetFlowアナライザーおよびコレクターの1つを提供しています。同社はまた、サブネット計算機やsyslogサーバーなどのネットワーク管理者の特定のニーズに対応するいくつかの無料ツールを公開していることでもよく知られています。

• 無料プラン：SolarWinds Papertrail
• 公式ダウンロードリンク：https：//papertrailapp.com/plans

少し前に、SolarWindsは人気のあるログ管理システムであるPapertrailを買収しました。ApacheやMySQL、Ruby on Railsアプリ、さまざまなクラウドホスティングサービス、その他の標準的なsyslogおよびテキストベースのログファイルなど、さまざまな人気のある製品からのログファイルを集約します。Papertrailユーザーは、Webベースの検索インターフェイスまたはコマンドラインツールを使用してこれらのファイルを検索し、さまざまな問題の診断に役立てることができます。Papertrailは、LibratoやGeckoboardなどの他のSolarWinds製品とも統合して、結果をグラフ化します。

Papertrailは、SolarWindsが提供するクラウドベースのサービスとしてのソフトウェア（SaaS）です。クラウドベースであるということは、すべてLinux環境で正常に機能することを意味します。このプラットフォームは、実装、使用、および理解が容易であり、すべてのシステムを数分以内に即座に可視化できます。さらに、この製品には、保存されたログとストリーミングログの両方を検索できる非常に効果的な検索エンジンがあります。そして、それは非常に速いです。

Papertrailは、無料プランを含むいくつかのプランで利用できます。ただし、多少制限があり、毎月100MBのログしか許可されません。ただし、最初の1か月で16 GBのログが許可されます。これは、 30日間の無料試用に相当します。有料プランは、1GB /月のログ、1年間のアーカイブ、1週間のインデックスで$ 7 /月から始まります。ノイズフィルタリングにより、ツールは無駄なログを保存しないことでデータを保存できます。

2. Loggly

Logglyは、もう1つのクラウドベースのオンラインサービスです。主にログ統合機能であり、ログ分析機能も提供します。クラウドベースであるため、このシステムはインストールを必要とせず、サブスクライブした分にすぐに使用できます。もちろん、システムとデバイスは、標準のログファイルを定期的にオンラインサーバーにアップロードするように構成する必要があります。

• 無料トライアル：Logglyプラン
• 公式リンク：https：//www.loggly.com

次に、Logglyは受信したログデータを標準形式に変換します。これにより、アナライザーはさまざまなソースからのレコードを処理でき、オペレーティングシステムやログテクノロジーに関係なく、すべてのシステムでイベントの追跡と相関が可能になります。ログデータのソースは、オンプレミスサーバーに限定されません。もちろん、このシステムは、AmazonのAWSなどのオンラインサーバーによって生成されたログを処理でき、DockerやLogstashなどの特定のアプリケーションによって作成されたメッセージを含めることができます。

Logglyサービスは、データ処理の限界と保持時間の増加に伴って、三つの異なるプランで利用することができます。ログデータ用に十分なスペースを確保するには、適切なものを選択する必要があります。エントリーレベルのプランはLogglyLiteと呼ばれます。無料でご利用いただけます。このプランでは、1日あたり200 MBのログデータをアップロードでき、システムは各レコードを7日間保持します。次は、1日あたり1 GBのアップロード許容量を提供し、30日間レコードを保持する標準プランです。有料プランでは、複数のユーザーアカウントを使用することもできます。標準パッケージでは、3つのユーザーアカウントを持つことができます。トップ階層が呼び出されLogglyエンタープライズ。設定できるユーザーアカウントの数に制限はなく、アップロード容量と必要な保存期間によって価格が異なります。すべての有料プランの支払いは月次または年次のいずれかであり、標準プランでは14日間の無料トライアルを利用できます。

3. Splunk

Splunkは、システム管理コミュニティ内でよく知られている、Linux、Mac OS、およびWindows用の包括的なログ管理システムです。単なる基本的なログ管理システムではなく、本格的な侵入防止システムだと考える人もいます。この製品には3つのバージョンがあります。上部にはあるのSplunkエンタープライズネットワーク管理システムのより多くのだけではなく、ログ管理ツールです。価格は月額173ドルからで、多くの機能を利用できます。

Splunkの無料バージョンもあります。これは基本的に同じツールであり、最先端の機能がいくつかありません。本質的に、それはログファイル分析に制限されています。標準のログファイルをフィードするか、ファイルを介してアナライザーにライブデータを送信できます。無料版にはいくつかの制限があります。たとえば、1つのユーザーアカウントしか持てず、データスループットは1日あたり500MBのログに制限されています。データの並べ替えとフィルタリングの機能がSplunkに組み込まれているため、トラブルシューティングが容易になります。これらの機能を使用して、ログレコードを日付で分割し、各グループを新しいファイルに書き出すことができます。実際、この機能は非常に柔軟です。

4.Nagiosログサーバー

Nagiosは、その優れたネットワーク監視ソフトウェアで最もよく知られていますが、そのログサーバーも同様に興味深いものです。この製品は単にNagiosLog Serverと呼ばれ、一元化されたログ管理、監視、および分析を提供します。このツールを使用すると、ログデータの検索プロセスを大幅に簡素化できます。また、潜在的な脅威を通知するアラートを設定することもできます。さらに、ソフトウェアには高可用性とフェイルオーバーが組み込まれています。さらに、その簡単なソースセットアップウィザードは、すべてのログデータを送信し、数分でログの監視を開始するようにサーバーをすばやく構成するのに役立ちます。

Nagiosのログサーバは、わずか数回のクリックですべてのサーバー間でのログイベントを簡単に相関することができます。このシステムでは、ログデータをリアルタイムで表示できるため、問題が発生したときに分析して解決することができます。この製品は優れたスケーラビリティを備えており、組織の成長に合わせてニーズを満たし続けます。追加のNagiosLog Serverインスタンスを監視クラスターに追加して、電力、速度、ストレージ、および信頼性をすばやく追加できます。

Nagios LogServerのシングルインスタンス価格は$ 3 995で、無料トライアルは利用できないようですが、製品を直接見てみたい場合は、無料のオンラインデモを利用できます。

5.グレイログ

次のリストはGraylogという製品です。この製品は多くの興味深い機能を提供します。このツールは、任意のデータソースからのログとイベントデータを解析して強化します。その処理パイプラインにより、リアルタイムでのメッセージのルーティング、ブラックリスト化、変更、および強化にある程度の柔軟性がもたらされます。Graylogは、テラバイト単位のログデータを検索して、重要な情報を検出および分析します。強力な検索構文により、探しているものを正確に見つけることができます。

ではGraylog、あなたはメトリックを視覚化し、1か所の傾向を観察するためにダッシュボードを作成することができます。検索結果ページのフィールド統計、クイック値、およびグラフを使用して、データをより深く分析することができます。システムには、ログイン試行の失敗、例外、パフォーマンスの低下などのイベントに対してアクションをトリガーしたり、通知を発行したりするオプションもあります。

Graylogは、無料のオープンソースのログファイルベースのシステムであり、単なるログアーカイブユーティリティよりもはるかに多くの機能を提供できます。このログアナライザーはグラフィカルユーザーインターフェイスを備えており、Ubuntu、Debian、CentOS、およびSUSELinuxで実行できます。Microsoft Windowsの仮想マシンで実行したり、AmazonAWSにGraylogシステムをインストールしたりすることもできます。

6. ManageEngineEventLogアナライザー

ManageEngineの、ネットワーク管理者の間で、他の一般的な名前は、と呼ばれる優れたログ管理システムになりManageEngineののEventLog Analyzerを。この製品は、エージェントレスおよびエージェントベースのログ収集とログインポートの組み合わせを使用して、700を超えるソースのログデータを収集、管理、分析、相関、および検索します。

速度は、ManageEngine EventLogAnalyzerの強みの1つです。印象的な25,000ログ/秒でログデータを処理し、リアルタイムで攻撃を検出できます。また、迅速なフォレンジック分析を実行して、違反の影響を軽減することもできます。システムの監査機能は、ネットワーク境界デバイスのログ、ユーザーアクティビティ、サーバーアカウントの変更、ユーザーアクセスなどに拡張され、セキュリティ監査のニーズを満たすのに役立ちます。

ManageEngineのEventLogにAnalyzerはわずか5つのログソースをサポート機能低減無料版では$ 595から始まり、デバイスやアプリケーションの数によって異なりプレミアムエディションで利用可能です。フル機能の30日間の無料試用版もご利用いただけます。