Amalan Dan Sistem Terbaik Pengurusan Log

Menguruskan log boleh menjadi satu usaha yang kompleks. Bukan sahaja organisasi biasa menjana satu tan daripada mereka, tetapi mereka datang daripada pelbagai sumber, setiap satu dengan format yang berpotensi berbeza dan mengandungi maklumat yang berbeza. Untuk meletakkan kesamaan susunan menjadi sesuatu yang boleh menjadi huru-hara dengan cepat, pengurusan log telah dicipta. Hari ini, kita sedang melihat amalan terbaik dan sistem pengurusan log. Kami berharap ia akan membantu anda melihat dengan jelas melalui ini.

Kami akan bermula dengan penerangan ringkas tentang pengurusan log. Kemudian, kita akan menyelami terus ke dalam amalan terbaik pengurusan log. Kami akan meneroka sama ada anda perlu menggunakan sistem siap sedia atau melakukannya sendiri. Kami juga akan melihat apa—dan apa yang tidak—untuk dipantau, diikuti dengan keselamatan dan pengekalan log serta pertimbangan storan. Dan sebelum kami menyemak beberapa sistem pengurusan log terbaik, kami akan melihat pelbagai tugas pengurusan, semakan dan penyelenggaraan log, korelasi sumber data dan beberapa pertimbangan automasi.

Mengenai Pengurusan Log

Secara ringkasnya, log ialah dokumentasi yang dihasilkan secara automatik dan dicap masa bagi sesuatu peristiwa yang berkaitan dengan sistem tertentu. Apabila peristiwa berlaku pada sistem, log—atau masukan log—dijana. Sistem yang berbeza akan menghasilkan log untuk acara yang berbeza. Bagi pengurusan log, ia secara amnya merujuk kepada proses dan dasar yang digunakan untuk mentadbir dan memudahkan penjanaan, penghantaran, analisis dan penyimpanan data log. Pengurusan log biasanya membayangkan sistem terpusat di mana log daripada pelbagai sumber diagregatkan.

Pengurusan log bukan hanya pengumpulan log, walaupun. Seperti namanya, bahagian pengurusan adalah penting. Sebaik sahaja log diterima oleh sistem pengurusan log, ia "diterjemahkan" ke dalam format biasa. Ia adalah perlu kerana sistem yang berbeza memformat log secara berbeza dan memasukkan data yang berbeza dalam log mereka. Untuk memudahkan pencarian dan korelasi peristiwa, salah satu tujuan sistem pengurusan log adalah untuk memastikan semua catatan log yang dikumpul disimpan dalam format yang seragam.

Bercakap tentang carian dan juga korelasi, ini adalah satu lagi ciri utama kebanyakan sistem pengurusan log. Sistem pengurusan log terbaik menampilkan enjin carian yang berkuasa. Ia membolehkan pentadbir sifar masuk pada apa yang diperlukan. Selain itu, korelasi acara akan mengumpulkan acara berkaitan secara automatik, walaupun ia daripada sumber yang berbeza.

Amalan Terbaik Pengurusan Log

Pengurusan log adalah proses yang kompleks, tidak banyak yang boleh kita lakukan mengenainya. Dengan kerumitan ini datang risiko untuk melakukannya dengan salah. Untuk mengelakkannya, kami telah menyusun senarai beberapa amalan terbaik pengurusan log. Matlamat kami adalah untuk memberi anda sebanyak mungkin maklumat untuk memilih sistem pengurusan log terbaik untuk keperluan anda tetapi, yang lebih penting, untuk memanfaatkannya sepenuhnya.

Sistem Pengurusan Log Atau DIY?

Atas sebab tertentu, sesetengah orang percaya bahawa mereka boleh melaksanakan "sistem pengurusan log" secara manual. Jika anda berada dalam kalangan orang ini, berhenti bergurau dengan diri sendiri dengan segera. Walaupun ada kemungkinan untuk melaksanakan beberapa bentuk pengurusan log secara manual, usaha yang diperlukan jauh melebihi apa yang diperlukan untuk melaksanakan sistem pengurusan log yang sebenar. Dan dengan beberapa alat percuma dan sumber terbuka yang tersedia, hujah kos bukanlah satu yang sah.

Hampir selalu masuk akal untuk menggunakan penyelesaian pengelogan terurus yang dibina, disokong dan diskalakan oleh vendor yang bereputasi daripada membina sistem sendiri. Dengan mereka, semua yang biasanya anda perlu lakukan ialah menyambungkan sumber dan destinasi anda dan anda sudah bersedia untuk menganalisis log sistem dan aplikasi dengan cara yang mudah. Anda akan bebas untuk menghabiskan lebih banyak masa memantau dan mengelog daripada membina infrastruktur pembalakan anda.

Mengetahui Apa yang Perlu Dipantau (Dan Apa yang Tidak)

Mengetahui apa yang perlu dilog adalah penting, tetapi lebih penting lagi untuk mengetahui apa yang tidak boleh dilog. Hanya kerana anda boleh log sesuatu tidak semestinya anda perlu. Pembalakan terlalu kerap tidak lebih daripada menyukarkan untuk mencari data yang sebenarnya penting. Tambahan pula, volum tambahan log menambah kerumitan dan kos kepada penyimpanan log dan proses pengurusan anda. Adalah penting untuk berfikir lebih awal tentang perkara yang akan dan tidak akan dilog sebelum mula melaksanakan platform pengurusan log. Ia akan menghalang kesilapan yang mahal dan akan membolehkan anda untuk saiz alat anda dengan lebih baik.

Pertimbangkan dengan teliti apa yang sebenarnya anda perlu log. Persekitaran pengeluaran yang penting untuk pematuhan atau untuk tujuan pengauditan kemungkinan besar harus direkodkan. Begitu juga data yang membantu anda menyelesaikan masalah prestasi, menyelesaikan isu pengalaman pengguna atau memantau acara berkaitan keselamatan.

Sebaliknya, terdapat perkara yang anda tidak perlu log seperti, contohnya, menguji persekitaran yang bukan bahagian penting dalam proses perniagaan anda. Terdapat juga data yang anda akan pilih untuk tidak log atas sebab pematuhan atau keselamatan. Sebagai contoh, jika pengguna telah mendayakan tetapan jangan jejak, anda tidak seharusnya mengelog data yang dikaitkan dengan pengguna tersebut.

Melaksanakan Polisi Keselamatan Dan Pengekalan Log

Log mungkin mengandungi data sensitif. Atas sebab itu, anda perlu mempunyai dasar keselamatan log. Ia akan menjadi tidak ternilai dalam, sebagai contoh, memastikan bahawa data sensitif tidak dikenali atau disulitkan. Selain itu, pengangkutan data log yang selamat ke sistem pengurusan log mewajibkan penggunaan pengangkutan yang disulitkan menggunakan TLS atau HTTPS pada klien dan pada bahagian pelayan.

Bagi dasar pengekalan, log daripada sumber atau sistem yang berbeza mungkin memerlukan masa pengekalan yang berbeza. Sebagai contoh, log yang digunakan terutamanya untuk menyelesaikan masalah mungkin berfungsi dengan masa pengekalan yang agak singkat seperti beberapa hari—atau bahkan beberapa jam. Sebaliknya, log berkaitan keselamatan atau log transaksi perniagaan memerlukan masa pengekalan yang lebih lama, selalunya untuk pematuhan peraturan. Memandangkan perkara ini, dasar pengekalan anda hendaklah fleksibel dan boleh disesuaikan, bergantung pada sumber log atau jenis log.

Pertimbangan Penyimpanan Log

Menyimpan data log menggunakan ruang storan yang berharga. Apabila merancang kapasiti penyimpanan untuk log, anda perlu mempertimbangkan puncak beban yang tinggi. Dalam kebanyakan keadaan, jumlah log data setiap hari secara relatifnya tetap. Ia bergantung terutamanya pada penggunaan sistem dan/atau bilangan urus niaga setiap hari. Walau bagaimanapun, apabila berlaku masalah, anda boleh menjangkakan pertumbuhan dipercepatkan dalam volum log. Jika storan log anda mempunyai had yang anda melebihi, anda boleh kehilangan log terkini. Untuk mengurangkan kesan ini, sistem pengurusan log terbaik menggunakan penimbal kitaran. Ia memadamkan data tertua dahulu sebelum sebarang had storan digunakan.

Selain itu, storan log harus mempunyai dasar keselamatannya sendiri. Kebanyakan penyerang akan cuba mengelak atau memadam jejak mereka dalam fail log. Untuk mengelakkannya, anda harus menghantar log dalam masa nyata ke storan log pusat—sebaik-baiknya di luar tapak—dan selamatkannya. Oleh itu, jika penyerang mempunyai akses kepada log luar tapak infrastruktur anda akan memastikan bukti tidak terganggu.

Menyemak Dan Menyelenggara Log

Penyelenggaraan log adalah bahagian penting dalam pengurusan log, jika bukan bahagian yang paling penting. Log yang tidak diselenggara boleh membawa kepada penyelesaian masalah yang lebih lama, risiko pendedahan data dan kos penyimpanan log yang lebih tinggi. Semak log yang dijana oleh sistem anda dan laraskan tahap pengelogan mengikut keperluan anda. Anda harus mempertimbangkan aspek kebolehgunaan, operasi dan keselamatan.

Jadikan tahap log boleh dikonfigurasikan

Sesetengah log sistem terlalu bertele-tele manakala yang lain tidak memberikan maklumat yang mencukupi. Malangnya, tidak selalu ada sesuatu yang boleh anda lakukan mengenainya. Kebanyakan sistem menyediakan tahap log boleh laras. Mereka adalah kunci untuk mengkonfigurasi verbositi log dan memastikan bahawa apa yang perlu dilog adalah dan apa yang tidak penting adalah tidak.

Periksa log audit dengan kerap

Bertindak atas isu keselamatan adalah penting. Inilah sebabnya mengapa seseorang harus sentiasa memerhatikan kayu balak. Jika sistem pengurusan log anda tidak mempunyai ciri itu—kebanyakan daripadanya ada, gunakan alat keselamatan luaran seperti auditd atau OSSEC. Mereka melaksanakan analisis log masa nyata dan menjana log amaran yang menunjukkan isu keselamatan yang berpotensi. Selain itu, anda harus mentakrifkan makluman mengenai peristiwa kritikal untuk dimaklumkan dengan cepat mengenai sebarang aktiviti yang mencurigakan.

Hubungkaitkan Sumber Data

Pembalakan hanyalah satu elemen dalam strategi pemantauan global. Untuk pemantauan yang benar-benar berkesan, anda perlu melengkapkan pengurusan log dengan jenis pemantauan lain seperti pemantauan berdasarkan peristiwa, makluman dan pengesanan. Melakukannya ialah cara terbaik untuk mendapatkan gambaran keseluruhan tentang perkara yang berlaku pada bila-bila masa. Walaupun balak bagus untuk menyediakan butiran definisi tinggi tentang isu, ini paling berguna apabila anda mengambil sedikit jarak untuk melihat hutan sebelum mengezum ke dalam pokok.

Pengurusan log tidak berfungsi dengan baik dalam silo. Tiada apa-apa. Anda semestinya melengkapkannya dengan jenis pemantauan lain seperti pemantauan rangkaian, pemantauan infrastruktur dan banyak lagi. Dan dalam dunia yang ideal, penyelesaian pemantauan anda harus cukup komprehensif untuk menyediakan semua maklumat pemantauan anda di satu tempat. Sebagai alternatif, ia boleh disepadukan dengan alat lain yang menyediakan maklumat ini. Matlamat di sini adalah untuk mempunyai, sebanyak mungkin, pandangan anak tetingkap tunggal bagi keseluruhan persekitaran.

Pengurusan Log Dan Automasi

Pengurusan log boleh membantu anda mengatasi masalah lebih awal dengan itu menjimatkan masa dan tenaga berharga anda dan pasukan anda. Ia juga boleh membantu anda mencari peluang untuk automasi. Kebanyakan alatan pengurusan log akan membenarkan anda menyediakan makluman tersuai yang mencetuskan apabila sesuatu berlaku. Malah sesetengahnya akan membenarkan anda menyediakan tindakan automatik untuk dimulakan apabila makluman ini dicetuskan. Anda harus menggunakan seberapa banyak automasi yang dibenarkan oleh alat pengurusan anda. Walaupun anda akan meluangkan masa untuk menyediakan automasi ini, anda akan mendapati bahawa ia amat berbaloi pada kali pertama anda menghadapi insiden.

6 Alat Pengurusan Log Teratas

Kami telah menjelajah pasaran cuba mencari alat pengurusan log terbaik. Kami telah cuba menyusun senarai yang merangkumi pelbagai jenis alatan. Lagipun, keperluan setiap orang adalah berbeza dan alat terbaik untuk seseorang tidak semestinya yang terbaik untuk orang lain.

1. Pengurus Acara Keselamatan SolarWinds (PERCUBAAN PERCUMA)

SolarWinds ialah nama biasa dalam bidang alat pentadbiran rangkaian. Ia telah wujud selama kira-kira dua dekad dan ia telah membawakan kami beberapa alat pemantauan lebar jalur terbaik serta penganalisis dan pengumpul NetFlow. Syarikat itu juga terkenal kerana menerbitkan beberapa alat percuma yang memenuhi beberapa keperluan khusus pentadbir rangkaian seperti kalkulator subnet atau pelayan syslog.

Apabila ia berkaitan dengan pengurusan log, tawaran syarikat itu kini dipanggil Pengurus Acara Keselamatan SolarWinds . Ia baru-baru ini dinamakan semula daripada Pengurus Log & Acara , mungkin untuk menggambarkan dengan lebih baik fakta bahawa ini sebenarnya lebih daripada sekadar sistem pengurusan log. Banyak ciri canggihnya meletakkannya dalam julat Maklumat Keselamatan dan Pengurusan Acara (SIEM). Ia mempunyai, sebagai contoh, korelasi peristiwa masa nyata dan pemulihan masa nyata, dua ciri seperti SIEM.

• PERCUBAAN PERCUMA: Pengurus Acara Keselamatan SolarWinds
• Pautan Muat Turun Rasmi: https://www.solarwinds.com/security-event-manager/registration

Mari kita lihat beberapa ciri utama Pengurus Acara Keselamatan SolarWinds . Alat ini boleh menghapuskan ancaman dengan cepat menggunakan pengesanan serta-merta aktiviti yang mencurigakan dan respons automatik. Ia juga boleh melakukan penyiasatan peristiwa keselamatan dan forensik untuk mitigasi dan pematuhan. Dan bercakap tentang pematuhan, produk itu akan membolehkan anda menunjukkannya, terima kasih kepada pelaporan terbukti auditnya untuk HIPAA, PCI DSS dan SOX, antara lain. Alat ini juga mempunyai pemantauan integriti fail dan pemantauan peranti USB, dua ciri yang jauh melebihi apa yang biasa kita lihat dalam sistem pengurusan log.

Harga untuk Pengurus Acara Keselamatan SolarWinds bermula pada $4,585 untuk sehingga 30 nod yang dipantau. Lesen sehingga 2500 nod boleh dibeli menjadikan produk sangat berskala. Dan jika anda ingin mengesahkan secara langsung bahawa produk itu sesuai untuk anda, percubaan 30 hari berciri penuh percuma tersedia.

2. SolarWinds Papertrail (PELAN PERCUMA DISEDIAKAN)

Di tempat kedua, kami mempunyai satu lagi produk hebat yang dipanggil Papertrail , pemerolehan terbaru oleh SolarWinds . Papertrail ialah sistem pengurusan log berasaskan awan yang popular. Ia mengagregatkan fail log daripada pelbagai jenis produk popular seperti Apache atau MySQL serta aplikasi Ruby on Rails, perkhidmatan pengehosan awan yang berbeza dan fail log teks standard yang lain. Pengguna Papertrail kemudiannya boleh menggunakan antara muka carian berasaskan web atau alat baris arahan untuk mencari melalui fail ini untuk membantu mendiagnosis pepijat dan isu prestasi. Alat ini juga berintegrasi dengan produk SolarWinds lain seperti Librato dan Geckoboard untuk hasil grafik.

• PELAN PERCUMA DISEDIAKAN: SolarWinds Papertrail
• Pautan Muat Turun Rasmi: https://papertrailapp.com/plans

Papertrail ialah perisian sebagai perkhidmatan (SaaS) berasaskan awan yang ditawarkan daripada SolarWinds . Ia mudah untuk dilaksanakan, digunakan dan difahami. Dan ia akan memberikan anda keterlihatan segera merentas semua sistem dalam beberapa minit. Alat ini mempunyai enjin carian yang sangat berkesan yang boleh mencari kedua-dua log disimpan dan penstriman. Dan ia adalah sepantas kilat.

Papertrail tersedia di bawah beberapa pelan termasuk pelan percuma. Ia agak terhad, walaupun, dan hanya membenarkan 100 MB log setiap bulan. Walau bagaimanapun, ia akan membenarkan 16 GB log pada bulan pertama yang bersamaan dengan memberi anda percubaan 30 hari percuma . Pelan berbayar bermula pada $7/bulan untuk 1GB/bulan log, 1 tahun arkib dan 1 minggu indeks. Penapisan hingar membenarkan alat untuk mengekalkan data dengan tidak menyimpan log yang tidak berguna.

3. ManageEngine EventLog Analyzer

ManageEngine , satu lagi nama biasa dengan pentadbir rangkaian, menjadikan sistem pengurusan log yang sangat baik yang dipanggil ManageEngine EventLog Analyzer . Produk akan mengumpul, mengurus, menganalisis, mengaitkan dan mencari melalui data log lebih 700 sumber menggunakan gabungan pengumpulan log tanpa agen dan berasaskan ejen serta import log.

Kelajuan adalah salah satu kekuatan Penganalisis Log Acara ManageEngine . Ia boleh memproses data log pada 25,000 log/saat yang mengagumkan dan mengesan serangan dalam masa nyata. Ia juga boleh melakukan analisis forensik pantas untuk mengurangkan kesan pelanggaran. Keupayaan pengauditan sistem meliputi log peranti perimeter rangkaian, aktiviti pengguna, perubahan akaun pelayan, akses pengguna dan banyak lagi, membantu anda memenuhi keperluan pengauditan keselamatan.

The ManageEngine EventLog Analyzer boleh didapati dalam edisi percuma ciri-dikurangkan yang hanya menyokong 5 sumber log atau dalam edisi premium yang bermula pada $ 595 dan berbeza-beza mengikut bilangan peranti dan aplikasi. Versi percubaan 30 hari berciri penuh percuma juga tersedia.

4. Suite Pengurusan Log Ipswitch

The Log Management Suite adalah produk dari Ipswitch , syarikat yang sama yang membawa kami WhatsUp Gold , rangkaian pemantauan alat amat popular. Ini ialah alat automatik yang mengumpul, menyimpan, mengarkibkan dan menyimpan log sistem, acara Windows dan log W3C/IIC. Tambahan pula, pengawasan log berterusannya akan memaklumkan anda tentang sebarang aktiviti yang mencurigakan.

Peristiwa yang kerap diaudit seperti hak akses dan keistimewaan fail, folder dan objek boleh diikuti, menjana makluman mengikut keperluan dan digunakan untuk membina laporan pematuhan untuk pematuhan HIPAA, SOX, FISMA, PCI, MiFID atau Basel II. Alat ini juga boleh membantu anda mengubah data log mentah anda kepada data yang bermakna untuk pengurus atau pasukan keselamatan IT, terima kasih kepada ciri penapisan, penghubung, pelaporan dan penukaran automatiknya.

Maklumat harga untuk Suite Pengurusan Log tidak tersedia daripada Ipswitch . Produk boleh dibeli sama ada terus daripada penerbit atau melalui rangkaian penjual semula Ipswitch . Versi percubaan percuma juga tersedia.

5. Pengurus Log Logik Makluman

Fokus utama Logik Makluman adalah pada keselamatan dan pematuhan. Dan memandangkan pengurusan log berkait rapat dengan kedua-duanya, tidak hairanlah syarikat itu menawarkan Pengurus Log Logik Makluman . Alat berasaskan awan ini menawarkan pengurusan log automatik dan bersatu merentas semua persekitaran anda. Ia akan mengumpul, mengagregat dan mencari data log daripada awan, pelayan, aplikasi, keselamatan dan aset rangkaian.

The Alert Logik Log Manager termasuk log pemantauan dan analisis serta mengkaji log yang dilakukan secara langsung oleh penganalisis manusia. Pakar Logik Makluman akan memaklumkan anda tentang kemungkinan aktiviti ancaman 365 hari setahun. Perkhidmatan ini juga akan membantu memenuhi keperluan semakan log SOC 2, HIPAA dan SOX serta memunggah beban menyemak log dan membuat susulan pada acara, untuk mematuhi PCI/DSS 10.6, 10.6.1, 10.6.3

Maklumat harga untuk Pengurus Log Logik Makluman tidak tersedia dari web dan anda perlu menghubungi jualan Logik Makluman untuk mendapatkan sebut harga rasmi. Percubaan percuma juga tidak tersedia tetapi demo percuma boleh diatur dengan menghubungi Alert Logic .

6. Pelayan Log Nagios

Anda mungkin sudah mengetahui Nagios sebagai pakej pemantauan rangkaian yang sangat baik. Ditawarkan sebagai sumber percuma dan terbuka serta dalam versi komersial, produk itu mempunyai reputasi yang kukuh. Untuk pengurusan log, tawaran Nagios dipanggil Pelayan Log Nagios . Ia adalah pakej lengkap dengan pengurusan log berpusat, pemantauan dan analisis. Alat ini boleh memudahkan proses mencari data log anda. Ia juga membolehkan anda menetapkan makluman untuk dimaklumkan tentang potensi ancaman Tambahan pula, perisian ini mempunyai ketersediaan tinggi dan terbina terus ke dalamnya. Wizard persediaan sumber mudahnya boleh membantu anda dengan mengkonfigurasi pelayan anda dan peranti lain untuk menghantar data log mereka ke platform, membolehkan anda mula memantau log anda dalam beberapa minit.

The Nagios Log Server menyediakan korelasi mudah peristiwa log di semua sumber pembalakan dalam hanya beberapa klik. Sistem ini akan membenarkan anda melihat data log dalam masa nyata, membenarkan menganalisis dan menyelesaikan masalah dalam masa nyata, apabila ia berlaku. Satu lagi kekuatan produk ialah kebolehskalaannya yang mengagumkan. Alat ini sentiasa memenuhi keperluan anda semasa organisasi anda berkembang. Jika perlu, contoh Pelayan Log Nagios tambahan boleh ditambah pada kelompok pemantauan, membolehkan anda menambah lebih banyak kuasa, kelajuan, storan dan kebolehpercayaan dengan cepat.

Dengan semua ciri ini, seseorang akan menjangkakan tanda harga yang tinggi. Ini tidak berlaku dan harga satu contoh untuk Pelayan Log Nagios ialah $3 995 yang sangat berpatutan. Walaupun tidak menawarkan percubaan percuma, demo dalam talian percuma tersedia, sekiranya anda lebih suka melihat produk tersebut secara langsung sebelum membuat keputusan pembelian.