6 najlepszych narzędzi do zarządzania logami dla systemu Linux w 2021 r

Przy dzisiejszych systemach generujących mnóstwo danych do rejestrowania nie jest zaskoczeniem, że administratorzy zawsze szukają rozwiązań do zarządzania dziennikami. Dzienniki są domyślnie często przechowywane lokalnie. Ma to sens, ponieważ ułatwia powiązanie ich z ich źródłem. Ale próbując rozwiązać problemy i znaleźć ich główną przyczynę, czasami musimy przejrzeć wiele plików dziennika na wielu urządzeniach. Czy nie byłoby miło, gdyby wszystkie logi ze wszystkich urządzeń były przechowywane w jednym, scentralizowanym miejscu? To jest cel zarządzania logami . A jeśli wybraną platformą jest Linux, dostępnych jest wiele opcji. Czytaj dalej, gdy odkrywamy jedne z najlepszych narzędzi do zarządzania dziennikami w systemie Linux

Zaczniemy od zdefiniowania zarządzania logami. Zobaczysz, że może to być coś więcej niż tylko centralizacja przechowywania dzienników. Następnie omówimy różne technologie rejestrowania . Są podstawą zarządzania dziennikami i bez nich prawdopodobnie nie istniałyby. Kontynuując, odróżnimy serwery syslog od systemów zarządzania dziennikami i zdamy sobie sprawę, że nie ma między nimi wyraźnego rozgraniczenia. Następnie zatrzymamy się na chwilę i omówimy systemy informacji o zabezpieczeniach i zarządzania zdarzeniami . Są to kolejny rodzaj systemu, który często jest mylony z zarządzaniem logami, ze względu na nieco niejasną definicję każdego z nich. Na koniec przyjrzymy się najlepszemu zarządzaniu dziennikami w systemie Linux.

Co to jest zarządzanie dziennikami?

Zanim zaczniemy mówić o zarządzaniu logami, zdefiniujmy czym jest log. W uproszczeniu, dziennik to automatycznie tworzona i oznaczona czasem dokumentacja zdarzenia istotnego dla konkretnego systemu. Innymi słowy, za każdym razem, gdy w systemie ma miejsce zdarzenie, generowany jest dziennik. Systemy i urządzenia będą generować dzienniki dla różnych typów zdarzeń, a wiele systemów daje administratorom pewien stopień kontroli nad tym, które zdarzenie generuje dziennik, a które nie.

Jeśli chodzi o zarządzanie logami, jest to po prostu odniesienie się do procesów i polityk używanych do administrowania i ułatwiania generowania, przesyłania, analizy, przechowywania, archiwizacji i ewentualnego usuwania dużych ilości danych z logów. Chociaż nie jest to jasno określone, zarządzanie dziennikami oznacza scentralizowany system, w którym gromadzone są dzienniki z wielu źródeł. Zarządzanie dziennikami to jednak nie tylko zbieranie dzienników. Najważniejsza jest część zarządzania. A systemy zarządzania logami często mają wiele funkcji, a zbieranie logów to tylko jedna z nich.

Po odebraniu dzienników przez system zarządzania dziennikami należy je ustandaryzować do wspólnego formatu, ponieważ różne systemy inaczej formatują dzienniki i zawierają różne dane. Niektórzy rozpoczynają dziennik od daty i godziny, inni od numeru zdarzenia. Niektóre zawierają tylko identyfikator zdarzenia, podczas gdy inne zawierają pełny tekstowy opis zdarzenia. Jednym z celów systemów zarządzania logami jest zapewnienie, że wszystkie zebrane wpisy logów są przechowywane w jednolitym formacie. To znacznie ułatwi korelację zdarzeń i ewentualne wyszukiwanie.

Nawet korelacja i wyszukiwanie to dwie dodatkowe główne funkcje kilku systemów zarządzania dziennikami. Najlepsze z nich są wyposażone w potężną wyszukiwarkę, która pozwala administratorom znaleźć dokładnie to, czego potrzebują. Funkcje korelacji automatycznie grupują powiązane zdarzenia, nawet jeśli pochodzą z różnych źródeł. Jak — i jak skutecznie — różne systemy zarządzania dziennikami osiągają to, jest głównym czynnikiem różnicującym.

PRZECZYTAJ RÓWNIEŻ: 15 najlepszych narzędzi do monitorowania sieci (nasza własna recenzja)

Technologie rejestrowania

Zarządzanie logami byłoby znacznie trudniejsze, być może nawet niemożliwe, gdyby nie protokoły logowania. Kilka z nich istnieje. Określają, jakie dane mają być zawarte w logach, jak powinny być sformatowane, a czasem jak mają być przesyłane między systemami.

Syslog jest prawdopodobnie najczęściej używanym protokołem rejestrowania , zwłaszcza w świecie Linuksa. Technologia została wynaleziona na początku lat osiemdziesiątych i stała się de facto standardem dla wszystkich systemów uniksopodobnych. Jednym z największych atutów technologii syslog jest to, że ułatwia oddzielenie systemu lub oprogramowania generującego logi, systemu przechowującego je oraz oprogramowania, które je raportuje i analizuje. Korzystanie z technologii Syslog znacznie ułatwia zarządzanie logami. A Syslog nie jest wyłącznym rozwiązaniem dla Uniksa. Wiele urządzeń innych niż Unix, takich jak przełączniki, routery i wszelkiego rodzaju sprzęt od wielu dostawców, korzysta z wariantu protokołu syslog.

Istnieją inne technologie rejestrowania. Na przykład Microsoft Windows korzysta z innego systemu rejestrowania. Może to mieć związek z faktem, że systemy operacyjne i aplikacje Windows mają dzienniki, które zazwyczaj zawierają bardziej szczegółowe informacje, niż pozwala na to technologia Syslog. Na szczęście funkcje kolektora zdarzeń systemu Windows zapewniają środki do zarządzania dziennikami, które różne systemy mogą wykorzystywać do odbierania zdarzeń z hostów systemu Windows. Ten post dotyczy zarządzania logami Linuksa, więc nie marnujmy zbyt wiele czasu na Windows.

Bez względu na używaną technologię rejestrowania ważną częścią zarządzania dziennikami jest konfigurowanie urządzeń w celu wysyłania swoich dzienników do systemu zarządzania. Inne rodzaje narzędzi, takie jak systemy monitorowania sieci, mogą pobierać dane z monitorowanych systemów, ale przy zarządzaniu dziennikami każdemu urządzeniu należy „poinformować”, gdzie ma wysłać swoje dzienniki. Jest to jednak stosunkowo proste zadanie, które często wykonuje się za pomocą prostego polecenia.

DALSZE CZYTANIE:  Najlepsze oprogramowanie do mapowania diagramów sieciowych i topologii

Serwery dzienników czy zarządzanie dziennikami?

Ponieważ od dłuższego czasu jest dostępny w każdym systemie uniksowym — w tym w systemie Linux — Syslog jest często używany jako serwer dziennika, z jednym komputerem odbierającym dane Sysloga od kilku innych. Chociaż to scentralizowane przechowywanie dzienników ma zdecydowane zalety, nie wystarczy nazwać go zarządzaniem dziennikami.

Aby zasłużyć na nazwę Log Management System, produkt musi zawierać przynajmniej niektóre z bardziej zaawansowanych funkcji. Według Wikipedii „zarządzanie dziennikami składa się z następujących funkcji: zbieranie dzienników, scentralizowana agregacja dzienników, długoterminowe przechowywanie i przechowywanie dzienników, rotacja dzienników, analiza dzienników, przeszukiwanie dzienników i raportowanie”. Wow! To dużo funkcjonalności. Z drugiej strony serwery dzienników często oferują jedynie zbieranie i przechowywanie dzienników, a rzadko więcej.

Słowo (lub dwa) o SIEM

Inną popularną technologią powiązaną z dziennikami i często myloną z systemami zarządzania dziennikami jest Security Information and Event Management lub SIEM. Różni się to od zarządzania logami, ale jest ściśle powiązane. Granica między nimi jest tak cienka, że ​​niektóre produkty reklamowane jako systemy zarządzania logami są w rzeczywistości systemami SIEM, podczas gdy niektóre podstawowe systemy SIEM to nic innego jak zaawansowane systemy zarządzania logami.

Zamieszanie wynika z faktu, że zarządzanie logami – lub przynajmniej analiza logów – jest ważnym elementem systemów SIEM. To, co wyróżnia systemy SIEM, polega na tym, że przeprowadzają analizę logów, której ostatecznym celem jest identyfikacja problemów związanych z bezpieczeństwem. Będą na przykład szukać oznak nieudanych logowań, które mogą być oznaką nieautoryzowanej próby włamania . Systemy te stale skanują wpisy w dzienniku w poszukiwaniu czegoś niezwykłego . Podczas gdy niektóre systemy SIEM zawierają rozbudowane funkcje zarządzania dziennikami, niektóre korzystają z zewnętrznego systemu zarządzania dziennikami i często zdarza się, że oba systemy działają obok siebie.

POWIĄZANE CZYTANIE:  Najlepsze skanery IP dla komputerów Mac

Najlepsze zarządzanie dziennikami dla systemu Linux

Mamy nadzieję, że teraz rozumiemy, czym jest zarządzanie logami, a czym nie. Przyjrzyjmy się więc, co jest dostępne dla Linuksa. Ale najpierw wyjaśnijmy coś. Odnosząc się do zarządzania dziennikami Linuksa, mamy na myśli systemy zarządzania dziennikami, które mogą pomieścić logi Linuksa i będą działać na platformie Linux lub w chmurze. Niektóre z naszych wyborów — w szczególności systemy oparte na chmurze — będą również działać z dziennikami z innych platform.

1. SolarWinds Papertrail (DOSTĘPNY BEZPŁATNY PLAN)

SolarWinds stał się powszechnie znaną nazwą wśród administratorów sieci. Tworzy jedne z najlepszych narzędzi od prawie 20 lat, dostarczając nam doskonałe narzędzia do monitorowania przepustowości i jeden z najlepszych analizatorów i kolektorów NetFlow. Firma jest również znana z publikowania kilku bezpłatnych narzędzi, które zaspokajają określone potrzeby administratorów sieci, takich jak kalkulator podsieci lub serwer syslog.

• DARMOWY PLAN: SolarWinds Papertrail
• Oficjalny link do pobrania: https://papertrailapp.com/plans

Nie tak dawno temu firma SolarWinds nabyła Papertrail , popularny system zarządzania dziennikami. Agreguje pliki dzienników z szerokiej gamy popularnych produktów, takich jak Apache lub MySQL, a także aplikacji Ruby on Rails, różnych usług hostingowych w chmurze oraz innych standardowych plików dziennika systemowego i tekstowego. Użytkownicy Papertrail mogą następnie skorzystać z internetowego interfejsu wyszukiwania lub narzędzi wiersza poleceń do przeszukiwania tych plików w celu zdiagnozowania różnych problemów. Papertrail integruje się również z innymi produktami SolarWinds, takimi jak Librato i Geckoboard, w celu tworzenia wykresów.

Papertrail to oparte na chmurze oprogramowanie jako usługa (SaaS) oferowane przez SolarWinds. Oparta na chmurze oznacza, że ​​będzie działać dobrze w środowisku opartym wyłącznie na Linuksie. Platforma jest łatwa do wdrożenia, użytkowania i zrozumienia, a także zapewnia natychmiastowy wgląd we wszystkie systemy w ciągu kilku minut. Ponadto produkt posiada bardzo skuteczną wyszukiwarkę, która może przeszukiwać zarówno przechowywane, jak i przesyłane strumieniowo logi. I jest szybki jak błyskawica.

Papertrail jest dostępny w ramach kilku planów, w tym planu darmowego . Jest jednak nieco ograniczony i pozwala tylko na 100 MB dzienników każdego miesiąca. Pozwoli to jednak na 16 GB dzienników w pierwszym miesiącu, co jest równoznaczne z darmowym 30-dniowym okresem próbnym . Płatne plany zaczynają się od 7 USD/miesiąc za 1 GB/miesiąc logów, 1 rok archiwum i 1 tydzień indeksowania. Filtrowanie szumów pozwala narzędziu zachować dane bez zapisywania bezużytecznych dzienników.

2. Loggly

Loggly to kolejna usługa online oparta na chmurze. Przede wszystkim konsolidator logów, oferuje również funkcję analizy logów. Ze względu na to, że jest oparty na chmurze, system ten nie wymaga instalacji i jest gotowy do użycia od chwili wykupienia subskrypcji. Oczywiście systemy i urządzenia będą musiały być skonfigurowane do okresowego przesyłania standardowych plików dziennika na serwer online.

• BEZPŁATNA PRÓBA: Plany Loggly
• Oficjalny link: https://www.loggly.com

Loggly następnie konwertuje otrzymane dane dziennika do standardowego formatu, umożliwiając analizatorowi przetwarzanie zapisów z różnych źródeł oraz śledzenie i korelację zdarzeń we wszystkich systemach, niezależnie od ich systemu operacyjnego lub technologii rejestrowania. Źródła danych dziennika nie ograniczają się do serwerów lokalnych. System jest oczywiście w stanie przetwarzać logi generowane przez serwery internetowe, takie jak AWS Amazona i może zawierać wiadomości tworzone przez określone aplikacje, takie jak Docker i Logstash, żeby wymienić tylko kilka.

Usługa Loggly jest dostępna w ramach trzech różnych planów, z rosnącymi limitami przetwarzania danych i czasem przechowywania. Musisz wybrać właściwy, aby zapewnić wystarczająco dużo miejsca na dane dziennika. Plan podstawowy nazywa się Loggly Lite. Jest darmowy. W ramach tego planu możesz przesyłać 200 MB danych dziennika dziennie, a system będzie przechowywać każdy rekord przez siedem dni. Następny jest plan Standard, który zapewnia limit przesyłania w wysokości 1 GB dziennie i przechowuje dane przez 30 dni. Płatne plany umożliwiają również korzystanie z wielu kont użytkowników. W pakiecie Standard możesz mieć trzy konta użytkowników. Najwyższy poziom nazywa się Loggly Enterprise. Nie ma ograniczeń co do liczby kont użytkowników, które możesz skonfigurować, a ceny różnią się w zależności od pojemności przesyłania i wymaganego okresu przechowywania. Płatność za wszystkie płatne plany może być miesięczna lub roczna, a bezpłatny 14-dniowy okres próbny jest dostępny w abonamencie Standard .

3. Splunk

Splunk to dobrze znany — w społeczności administratorów systemu — kompleksowy system zarządzania dziennikami dla systemów Linux, Mac OS i Windows. Niektórzy uważają go za coś więcej niż tylko podstawowy system zarządzania dziennikami, jako pełnoprawny system zapobiegania włamaniom. Produkt dostępny w trzech wersjach. Na szczycie znajduje się Splunk Enterprise, który jest bardziej systemem zarządzania siecią niż tylko narzędziem do zarządzania logami. Ceny zaczynają się od 173 USD miesięcznie i otrzymujesz wiele funkcji.

Istnieje również darmowa wersja Splunk, która jest w zasadzie tym samym narzędziem bez niektórych z jego najbardziej zaawansowanych funkcji. Zasadniczo ogranicza się do analizy pliku dziennika. Możesz wprowadzić dowolny ze swoich standardowych plików dzienników lub przesłać dane na żywo za pośrednictwem pliku do analizatora. Darmowa wersja ma kilka ograniczeń. Może na przykład mieć tylko jedno konto użytkownika, a jego przepustowość danych jest ograniczona do 500 MB dzienników dziennie. Funkcja sortowania i filtrowania danych jest wbudowana w Splunk, ułatwiając rozwiązywanie problemów. Możesz użyć tych funkcji do dzielenia rekordów dziennika według daty i zapisywania każdej grupy w nowych plikach. W rzeczywistości ta funkcjonalność jest bardzo elastyczna.

4. Serwer dziennika Nagios

Nagios jest najbardziej znany ze swojego doskonałego oprogramowania do monitorowania sieci, ale jego Log Server jest równie interesujący. Produkt nazywa się po prostu Nagios Log Server i oferuje scentralizowane zarządzanie logami, monitorowanie i analizę. To narzędzie może znacznie uprościć proces wyszukiwania danych dziennika. Pozwala także ustawić alerty, które będą powiadamiane o potencjalnych zagrożeniach. Ponadto oprogramowanie ma wbudowaną wysoką dostępność i funkcję przełączania awaryjnego. Co więcej, jego łatwe kreatory konfiguracji źródła pomogą Ci szybko skonfigurować serwery do wysyłania wszystkich danych dziennika i rozpocząć monitorowanie dzienników w ciągu kilku minut.

Nagios Log Server pozwala na łatwe korelacji zdarzeń dziennika na wszystkich serwerach w ciągu zaledwie kilku kliknięć. System pozwoli Ci przeglądać dane dziennika w czasie rzeczywistym, dając Ci możliwość analizowania i rozwiązywania problemów w miarę ich pojawiania się. Produkt charakteryzuje się imponującą skalowalnością i będzie spełniał Twoje potrzeby wraz z rozwojem Twojej organizacji. Do klastra monitorowania można dodać dodatkowe instancje Nagios Log Server , co pozwala szybko zwiększyć moc, szybkość, pamięć masową i niezawodność.

Cena pojedynczego wystąpienia Nagios Log Server wynosi 3 995 USD i chociaż wydaje się, że bezpłatna wersja próbna nie jest dostępna, dostępna jest bezpłatna wersja demonstracyjna online, jeśli wolisz rzucić okiem na produkt z pierwszej ręki.

5. Graylog

Następny na naszej liście jest produkt o nazwie Graylog . Produkt oferuje wiele ciekawych funkcji. Narzędzie będzie analizować i wzbogacać logi i dane o zdarzeniach z dowolnego źródła danych. Jego potoki przetwarzania pozwalają na pewną elastyczność w routingu, umieszczaniu na czarnych listach, modyfikowaniu i wzbogacaniu wiadomości w czasie rzeczywistym. Graylog przeszuka terabajty danych dziennika, aby odkryć i przeanalizować ważne informacje. Zaawansowana składnia wyszukiwania pozwala znaleźć dokładnie to, czego szukasz.

Dzięki Graylog możesz tworzyć pulpity nawigacyjne do wizualizacji metryk i obserwowania trendów w jednej centralnej lokalizacji. Możesz użyć statystyk terenowych, szybkich wartości i wykresów ze strony wyników wyszukiwania, aby zagłębić się w głębszą analizę danych. System ma również możliwość wyzwalania akcji lub wysyłania powiadomień o zdarzeniach, takich jak nieudane próby logowania, wyjątki lub pogorszenie wydajności.

Graylog to darmowy system oparty na plikach dziennika o otwartym kodzie źródłowym, który może zapewnić znacznie więcej funkcji niż tylko narzędzie do archiwizacji dzienników. Ten analizator logów ma graficzny interfejs użytkownika i może działać w systemach Ubuntu, Debian, CentOS i SUSE Linux. Możesz również uruchomić go na maszynie wirtualnej w systemie Microsoft Windows i zainstalować system Graylog na Amazon AWS.

6. Analizator dziennika zdarzeń ManageEngine

ManageEngine , inna popularna nazwa wśród administratorów sieci, tworzy doskonały system zarządzania dziennikami o nazwie ManageEngine EventLog Analyzer . Produkt będzie zbierać, zarządzać, analizować, korelować i przeszukiwać dane dzienników z ponad 700 źródeł, korzystając z połączenia zbierania dzienników bezagentowych i opartych na agentach, a także importowania dzienników.

Szybkość jest jedną z mocnych stron narzędzia ManageEngine EventLog Analyzer . Może przetwarzać dane dziennika z imponującą prędkością 25 000 dzienników na sekundę i wykrywać ataki w czasie rzeczywistym. Może również przeprowadzać szybką analizę kryminalistyczną, aby zmniejszyć wpływ naruszenia. Możliwości audytu systemu obejmują dzienniki urządzeń na obrzeżach sieci, działania użytkowników, zmiany kont na serwerach, dostęp użytkowników i nie tylko, pomagając w spełnieniu potrzeb audytu bezpieczeństwa.

ManageEngine EventLog Analyzer dostępny jest w funkcję obniżonej wolnej edycji, który obsługuje tylko 5 źródeł dziennika lub w wersji płatnej, która rozpoczyna się na $ 595 i różni się w zależności od liczby urządzeń i aplikacji. Dostępna jest również bezpłatna, w pełni funkcjonalna 30-dniowa wersja próbna.