6 beste tools voor logbeheer voor Linux in 2021

Met de huidige systemen die een heleboel loggegevens genereren, is het geen verrassing dat beheerders altijd op zoek zijn naar oplossingen voor logbeheer. Logboeken worden standaard vaak lokaal opgeslagen. Dit is logisch omdat het gemakkelijk is om ze aan hun bron te koppelen. Maar wanneer we problemen proberen op te lossen en de oorzaak ervan te vinden, moeten we soms naar meerdere logbestanden op verschillende apparaten kijken. Zou het niet mooi zijn als alle logboeken van alle apparaten op één centrale plek zouden worden opgeslagen? Dit is het doel van logbeheer . En als uw voorkeursplatform Linux is, zijn er tal van opties beschikbaar. Lees verder terwijl we enkele van de beste logbeheer voor Linux ontdekken

We beginnen met het definiëren van logbeheer. U zult zien dat het veel meer kan zijn dan alleen het centraliseren van logopslag. Vervolgens bespreken we verschillende logging-technologieën . Ze vormen de hoeksteen van logbeheer en zonder hen zou het waarschijnlijk niet bestaan. We gaan door met het onderscheiden van syslog-servers van logbeheersystemen en realiseren ons dat er geen duidelijke scheiding tussen is. Vervolgens pauzeren we even en bespreken we beveiligingsinformatie en gebeurtenisbeheersystemen . Ze zijn een ander type systeem dat vaak wordt verward met logbeheer, dankzij de enigszins onduidelijke definitie van elk. En tot slot bespreken we het beste logbeheer voor Linux.

Wat is logbeheer?

Voordat we het over logbeheer kunnen hebben, laten we eerst definiëren wat een log is. Eenvoudig gedefinieerd, een logboek is de automatisch geproduceerde en tijdgestempelde documentatie van een gebeurtenis die relevant is voor een bepaald systeem. Met andere woorden, wanneer er een gebeurtenis plaatsvindt op een systeem, wordt er een logboek gegenereerd. Systemen en apparaten zullen logboeken genereren voor verschillende soorten gebeurtenissen en veel systemen geven beheerders enige mate van controle over welke gebeurtenis een logboek genereert en welke niet.

Wat logbeheer betreft, het verwijst eenvoudigweg naar de processen en het beleid die worden gebruikt om het genereren, verzenden, analyseren, opslaan, archiveren en uiteindelijk verwijderen van grote hoeveelheden loggegevens te beheren en te vergemakkelijken. Hoewel niet duidelijk vermeld, impliceert logbeheer een gecentraliseerd systeem waar logs uit meerdere bronnen worden verzameld. Logboekbeheer is echter niet alleen het verzamelen van logs. Het managementgedeelte is het belangrijkste. En logbeheersystemen hebben vaak meerdere functionaliteiten, waarvan het verzamelen van logs er slechts één van is.

Zodra logboeken zijn ontvangen door het logboekbeheersysteem, moeten ze worden gestandaardiseerd in een gemeenschappelijk formaat, aangezien verschillende systemen logboeken verschillend formatteren en verschillende gegevens bevatten. Sommigen beginnen een logboek met de datum en tijd, anderen beginnen het met een gebeurtenisnummer. Sommige bevatten alleen een evenement-ID, terwijl andere een volledige tekstbeschrijving van het evenement bevatten. Een van de doelen van logbeheersystemen is ervoor te zorgen dat alle verzamelde loggegevens in een uniform formaat worden opgeslagen. Dit zal de correlatie en uiteindelijk zoeken veel gemakkelijker maken.

Zelfs correlatie en zoeken zijn twee extra belangrijke functies van verschillende logbeheersystemen. De beste van hen hebben een krachtige zoekmachine waarmee beheerders precies kunnen zoeken naar wat ze nodig hebben. Correlatiefuncties groeperen automatisch gerelateerde gebeurtenissen, zelfs als ze uit verschillende bronnen komen. Hoe - en hoe succesvol - verschillende logbeheersystemen dat bereiken, is een belangrijke onderscheidende factor.

LEES OOK: 15 beste tools voor netwerkbewaking (onze eigen recensie)

Logging-technologieën

Logboekbeheer zou veel moeilijker zijn, misschien zelfs niet mogelijk, als er geen logprotocollen waren. Er bestaan ​​er een paar. Ze definiëren welke gegevens in logboeken moeten worden opgenomen, hoe die moeten worden geformatteerd en, soms, hoe ze tussen systemen moeten worden verzonden.

Syslog is misschien wel het meest gebruikte protocol voor loggen , vooral in de Linux-wereld. De technologie is begin jaren tachtig uitgevonden en is de de-facto standaard geworden voor alle Unix-achtige systemen. Een van de grootste troeven van de syslog-technologie is hoe het de scheiding mogelijk maakt tussen het systeem of de software die logboeken genereert, het systeem dat ze opslaat en de software die ze rapporteert en analyseert. Het gebruik van de Syslog-technologie maakt logbeheer veel eenvoudiger. En Syslog is niet exclusief voor Unix. Veel niet-Unix-apparaten zoals switches, routers en allerlei apparatuur van veel leveranciers gebruiken een variant van het syslog-protocol.

Er zijn andere logging-technologieën. Microsoft Windows gebruikt bijvoorbeeld een ander logsysteem. Het kan te maken hebben met het feit dat Windows-besturingssystemen en -toepassingen logboeken hebben die doorgaans meer gedetailleerde informatie bevatten dan de Syslog-technologie toelaat. Gelukkig bieden de Windows Event Collector-functies een middel voor logbeheer dat verschillende systemen kunnen gebruiken om gebeurtenissen van Windows-hosts te ontvangen. Dit bericht gaat over Linux-logbeheer, dus laten we niet te veel tijd verspillen aan Windows.

Welke logtechnologie ook wordt gebruikt, een belangrijk onderdeel van logbeheer is het configureren van apparaten om hun logs naar het beheersysteem te sturen. Andere soorten tools, zoals netwerkbewakingssystemen, kunnen gegevens ophalen van de systemen die ze bewaken, maar met logbeheer moet elk apparaat worden "verteld" waar de logs naartoe moeten worden gestuurd. Het is echter een relatief eenvoudige taak die vaak wordt volbracht door het geven van een eenvoudig commando.

VERDER LEZEN:  Beste software voor netwerkdiagrammapping en topologie

Logservers of logbeheer?

Omdat het al geruime tijd beschikbaar is op elk Unix-achtig systeem, inclusief Linux, wordt Syslog vaak gebruikt als een logserver waarbij één computer Syslog-gegevens van verschillende andere ontvangt. Hoewel deze gecentraliseerde opslag van logboeken duidelijke voordelen heeft, is het niet voldoende om logboekbeheer te noemen.

Om de naam Log Management System te verdienen, moet een product ten minste enkele van de meer geavanceerde functies bevatten. Volgens Wikipedia "bestaat logbeheer uit de volgende functies: logverzameling, gecentraliseerde logaggregatie, langetermijnopslag en -behoud van logs, logrotatie, loganalyse, log zoeken en rapportage". Wauw! Dat is veel functionaliteit. Logservers daarentegen bieden vaak alleen het verzamelen en opslaan van logs en zelden meer dan dat.

Een woord (of twee) over SIEM

Een andere populaire technologie die wordt geassocieerd met logboeken en vaak wordt verward met logboekbeheersystemen, is Security Information and Event Management of SIEM. Dit is iets anders dan logbeheer, maar het is nauw verwant. De lijn tussen beide is zo dun dat sommige producten die worden geadverteerd als logbeheersystemen in feite SIEM-systemen zijn, terwijl sommige basis-SIEM-systemen niets meer zijn dan geavanceerde logbeheersystemen.

De verwarring komt voort uit het feit dat logbeheer - of op zijn minst loganalyse - een belangrijk onderdeel is van SIEM-systemen. Wat SIEM-systemen onderscheidt, is dat ze loganalyses uitvoeren met als uiteindelijk doel het identificeren van beveiligingsproblemen. Ze zullen bijvoorbeeld zoeken naar tekenen van mislukte aanmeldingen, wat een verklikkersignaal kan zijn van een ongeautoriseerde inbraakpoging . Deze systemen scannen voortdurend logboekvermeldingen op zoek naar iets ongewoons . Hoewel sommige SIEM-systemen uitgebreide functies voor logbeheer bevatten, gebruiken sommige een extern logbeheersysteem en het is niet ongewoon om beide systemen naast elkaar te zien draaien.

GERELATEERD LEZEN:  Beste IP-scanners voor Mac

Het beste logbeheer voor Linux

Hopelijk hebben we nu een gemeenschappelijk begrip van wat logbeheer is en wat het niet is. Laten we dus eens kijken wat er beschikbaar is voor Linux. Maar laten we eerst iets verduidelijken. Als we verwijzen naar Linux-logbeheer, bedoelen we logbeheersystemen die Linux-logs kunnen bevatten en die ofwel op het Linux-platform of in de cloud zullen draaien. Sommige van onze selecties, met name cloudgebaseerde systemen, werken ook met logboeken van andere platforms.

1. SolarWinds Papertrail (GRATIS PLAN BESCHIKBAAR)

SolarWinds is een begrip geworden onder netwerkbeheerders. Het maakt al bijna 20 jaar enkele van de beste tools, wat ons geweldige tools voor bandbreedtebewaking en een van de beste NetFlow-analyzers en -verzamelaars oplevert. Het bedrijf staat ook bekend om het publiceren van verschillende gratis tools die inspelen op een aantal specifieke behoeften van netwerkbeheerders, zoals een subnetcalculator of een syslog-server.

• GRATIS PLAN: SolarWinds Papertrail
• Officiële downloadlink: https://papertrailapp.com/plans

Nog niet zo lang geleden, SolarWinds verworven PaperTrail , een populaire log management systeem. Het verzamelt logbestanden van een breed scala aan populaire producten zoals Apache of MySQL, evenals Ruby on Rails-apps, verschillende cloudhostingservices en andere standaard syslog- en tekstgebaseerde logbestanden. Papertrail- gebruikers kunnen vervolgens de webgebaseerde zoekinterface of opdrachtregelhulpmiddelen gebruiken om door deze bestanden te zoeken om verschillende problemen te diagnosticeren. Papertrail kan ook worden geïntegreerd met andere SolarWinds-producten zoals Librato en Geckoboard voor grafische resultaten.

Papertrail is een cloudgebaseerd SaaS-aanbod (Software as a Service) van SolarWinds. Omdat het cloudgebaseerd is, werkt het prima in een volledig Linux-omgeving. Het platform is eenvoudig te implementeren, te gebruiken en te begrijpen, en het geeft u binnen enkele minuten direct inzicht in alle systemen. Verder heeft het product een zeer effectieve zoekmachine die zowel opgeslagen als streaming logs kan doorzoeken. En het is razendsnel.

Papertrail is beschikbaar onder verschillende abonnementen, waaronder een gratis abonnement . Het is echter enigszins beperkt en staat slechts 100 MB aan logs per maand toe. Het zal echter 16 GB aan logboeken toestaan ​​in de eerste maand, wat overeenkomt met een gratis proefperiode van 30 dagen . Betaalde abonnementen beginnen bij $ 7/maand voor 1 GB/maand aan logboeken, 1 jaar archief en 1 week index. Met ruisfiltering kan de tool gegevens bewaren door geen nutteloze logboeken op te slaan.

2. Loggly

Loggly is een andere cloudgebaseerde online service. Het is in de eerste plaats een logconsolidator, maar biedt ook functionaliteit voor loganalyse. Omdat het cloudgebaseerd is, vereist dit systeem geen installatie en is het klaar voor gebruik zodra u zich abonneert. Natuurlijk moeten uw systemen en apparaten worden geconfigureerd om hun standaard logbestanden periodiek naar de online server te uploaden.

• GRATIS PROEF: Loggly plannen
• Officiële link: https://www.loggly.com

Loggly converteert vervolgens de ontvangen loggegevens naar een standaardformaat, waardoor de analysator records uit verschillende bronnen kan verwerken en het volgen van gebeurtenissen en correlatie tussen alle systemen mogelijk maakt, ongeacht hun besturingssysteem of logtechnologie. De bronnen van logboekgegevens zijn niet beperkt tot uw on-premises servers. Het systeem kan natuurlijk logs verwerken die zijn gegenereerd door online servers, zoals Amazon's AWS, en het kan berichten bevatten die zijn gemaakt door specifieke applicaties zoals Docker en Logstash, om er maar een paar te noemen.

De Loggly- service is beschikbaar onder drie verschillende abonnementen, met toenemende limieten voor gegevensverwerking en bewaartijden. U moet de juiste kiezen om u voldoende ruimte te geven voor uw loggegevens. Het instapmodel heet Loggly Lite. Het is gratis te gebruiken. Met dit abonnement kunt u 200 MB aan loggegevens per dag uploaden en het systeem bewaart elk record zeven dagen. Het volgende is het standaardplan dat u een uploadtoelage van 1 GB per dag geeft en de gegevens 30 dagen bewaart. Met betaalde abonnementen kunt u ook meerdere gebruikersaccounts gebruiken. Met het Standaardpakket kunt u drie gebruikersaccounts hebben. De bovenste laag heet Loggly Enterprise. Er is geen limiet aan het aantal gebruikersaccounts dat u kunt instellen en de prijzen variëren afhankelijk van de hoeveelheid uploadcapaciteit en de bewaarperiode die u nodig heeft. De betaling voor alle betaalde abonnementen kan maandelijks of jaarlijks zijn en een gratis proefperiode van 14 dagen is beschikbaar voor het standaardabonnement .

3. Splunk

Splunk is een bekend - binnen de systeembeheergemeenschap - uitgebreid logbeheersysteem voor Linux, Mac OS en Windows. Sommigen beschouwen het als meer dan alleen een eenvoudig logbeheersysteem, maar als een volwaardig inbraakpreventiesysteem. Het product is verkrijgbaar in drie versies. Bovenaan staat Splunk Enterprise, dat meer een netwerkbeheersysteem is dan alleen een tool voor logbeheer. Prijzen beginnen bij $ 173 per maand en je krijgt veel functionaliteit.

Er is ook een gratis versie van Splunk, die in feite dezelfde tool is zonder enkele van de meest geavanceerde functionaliteiten. In wezen is het beperkt tot de analyse van logbestanden. U kunt elk van uw standaard logbestanden invoeren of live gegevens via een bestand naar de analyser sturen. De gratis versie heeft een aantal beperkingen. Het kan bijvoorbeeld maar één gebruikersaccount hebben en de gegevensdoorvoer is beperkt tot 500 MB aan logbestanden per dag. De functionaliteit voor het sorteren en filteren van gegevens is ingebouwd in Splunk, wat het oplossen van problemen vergemakkelijkt. U kunt deze functies gebruiken om logboekrecords op datum te verdelen en elke groep naar nieuwe bestanden te schrijven. In feite is deze functionaliteit zeer flexibel.

4. Nagios-logserver

Nagios is vooral bekend om zijn uitstekende netwerkbewakingssoftware, maar de Log Server is net zo interessant. Het product heet simpelweg de Nagios Log Server en biedt gecentraliseerd logbeheer, monitoring en analyse. Deze tool kan het zoeken in uw loggegevens aanzienlijk vereenvoudigen. Het laat je ook waarschuwingen instellen om op de hoogte te worden gebracht van potentiële bedreigingen. Bovendien heeft de software een hoge beschikbaarheid en ingebouwde failover. Bovendien helpen de eenvoudige installatiewizards van de bron u snel servers te configureren om alle loggegevens te verzenden en binnen enkele minuten te beginnen met het bewaken van uw logs.

De Nagios Log Server zorgt voor een gemakkelijke correlatie van loggebeurtenissen op alle servers in slechts een paar klikken. Met het systeem kunt u loggegevens in realtime bekijken, zodat u problemen kunt analyseren en oplossen zodra ze zich voordoen. Het product heeft een indrukwekkende schaalbaarheid en zal blijven voldoen aan uw behoeften naarmate uw organisatie groeit. Extra Nagios Log Server- instanties kunnen worden toegevoegd aan een monitoringcluster, zodat u snel meer kracht, snelheid, opslag en betrouwbaarheid kunt toevoegen.

De prijs voor één exemplaar voor de Nagios Log Server is $ 3 995 en hoewel er geen gratis proefversie beschikbaar lijkt te zijn, is een gratis online demo dat wel, mocht u het product liever uit de eerste hand bekijken.

5. Graylog

Het volgende op onze lijst is een product genaamd Graylog . Het product biedt veel interessante functies. De tool analyseert en verrijkt logs en gebeurtenisgegevens van elke gegevensbron. De verwerkingspijplijnen zorgen voor enige flexibiliteit bij het routeren, op de zwarte lijst plaatsen, wijzigen en verrijken van berichten in realtime. Graylog doorzoekt terabytes aan loggegevens om belangrijke informatie te ontdekken en te analyseren. Met de krachtige zoeksyntaxis kunt u precies vinden wat u zoekt.

Met Graylog kunt u dashboards maken om statistieken te visualiseren en trends te observeren op één centrale locatie. U kunt veldstatistieken, snelle waarden en grafieken van de pagina met zoekresultaten gebruiken om in te duiken voor een diepere analyse van uw gegevens. Het systeem heeft ook de mogelijkheid om acties te activeren of meldingen te geven over gebeurtenissen zoals mislukte inlogpogingen, uitzonderingen of prestatievermindering.

Graylog is een gratis, open-source op logbestanden gebaseerd systeem dat u veel meer functionaliteit kan bieden dan alleen een hulpprogramma voor het archiveren van logbestanden. Deze loganalysator heeft een grafische gebruikersinterface en kan draaien op Ubuntu, Debian, CentOS en SUSE Linux. Je kunt het ook op een virtuele machine op Microsoft Windows draaien en je kunt het Graylog-systeem op Amazon AWS installeren.

6. ManageEngine EventLog Analyzer

ManageEngine , een andere veel voorkomende naam onder netwerkbeheerders, maakt een uitstekend logbeheersysteem , de ManageEngine EventLog Analyzer . Het product verzamelt, beheert, analyseert, correleert en doorzoekt de loggegevens van meer dan 700 bronnen met behulp van een combinatie van agentless en agent-based logverzameling en logimport.

Snelheid is een van de sterke punten van de ManageEngine EventLog Analyzer . Het kan loggegevens verwerken met een indrukwekkende 25.000 logs/seconde en aanvallen in realtime detecteren. Het kan ook snelle forensische analyses uitvoeren om de impact van een inbreuk te verminderen. De auditmogelijkheden van het systeem strekken zich uit tot de logboeken van de netwerkperimeterapparaten, gebruikersactiviteiten, serveraccountwijzigingen, gebruikerstoegangen en meer, zodat u kunt voldoen aan de behoeften op het gebied van beveiligingsaudits.

De ManageEngine EventLog Analyzer is beschikbaar in een gratis editie met beperkte functies die slechts 5 logbronnen ondersteunt of in een premium-editie die begint bij $ 595 en varieert afhankelijk van het aantal apparaten en applicaties. Er is ook een gratis, volledige proefversie van 30 dagen beschikbaar.