8 Melhores Ferramentas de Monitoramento de Log e Software de Análise para 2021

Os arquivos de log estão presentes em quase todos os sistemas de computador ou dispositivos de rede. Eles contêm detalhes sobre os eventos que acontecem em cada sistema. Eles podem ser inestimáveis ​​na solução de vários problemas. Eles também podem revelar atividades maliciosas e, portanto, se tornar um meio útil de garantir a segurança. Mas quem tem tempo para olhar os arquivos de log? Com o administrador típico gerenciando dezenas de dispositivos, alguns deles registrando vários eventos a cada segundo, não há como alguém rastrear. É por isso que as ferramentas de monitoramento de log foram inventadas. Eles consolidam todos os logs de eventos em um único local e geralmente fornecem ferramentas de análise e serviços que vão através dos logs e geram alertas sempre que algo fora do comum é observado. Muitas ferramentas diferentes de monitoramento de log estão disponíveis e escolher a melhor pode ser um desafio.

Começaremos nossa discussão explorando os logs do sistema, o que são e como funcionam. A seguir, falaremos sobre logs de monitoramento. Assim como antes, veremos o que isso significa e como é feito. Em seguida, forneceremos mais detalhes sobre a análise de log, pois esse é o recurso que torna as ferramentas de monitoramento de log mais úteis. Como antes, descreveremos o que é e as diferentes formas de análise disponíveis. Por fim, revisaremos algumas das melhores ferramentas de monitoramento de log que poderíamos encontrar e falaremos sobre seus principais recursos.

Logs do sistema resumidos

Em uma frase, um arquivo de log, ou log do sistema, é um arquivo que registra eventos que ocorrem em um sistema operacional ou outro software. Registrar é o ato de manter um registro do sistema. No mais simples dos casos, as mensagens são simplesmente gravadas em um único arquivo de log. Enquanto a maioria dos sistemas usa principalmente arquivos de texto para registrar eventos, alguns sistemas modernos usam alguma forma de banco de dados para registrá-los.

Não importa como e onde os eventos são registrados, alguns sistemas permitem definir o nível de registro que você precisa. Isso é particularmente verdadeiro com equipamentos de rede em que cada evento tem um nível de gravidade e os parâmetros de registro podem ser definidos para registrar apenas eventos de um determinado nível de gravidade ou superior. Outros tipos de sistemas também fornecem funcionalidade semelhante.

Sobre registros de monitoramento

O monitoramento de logs é um processo de duas partes. A primeira - e a mais importante - parte é a coleta de dados de log de vários sistemas. Isso é realizado de maneiras diferentes. Alguns sistemas podem ser configurados para enviar logs automaticamente a um servidor centralizado por meio do protocolo Syslog. As ferramentas de monitoramento de log normalmente têm um servidor syslog integrado para receber dados de eventos diretamente. Outros sistemas, como o Windows, por exemplo, funcionam de forma diferente. Existem vários meios de adquirir dados de log desses sistemas, como usar o Windows Management Instrumentation ou usar agentes locais em execução em hosts Windows. Não importa como é feito, cada sistema de monitoramento de log inclui a funcionalidade necessária para receber e consolidar dados de log de várias fontes.

A Próxima Etapa - Análise de Log

A segunda tarefa de qualquer ferramenta de monitoramento de log útil é a análise do log. É aqui que as ferramentas diferem mais. Alguns oferecem apenas análises muito básicas, como disparar um alerta, quando o número de eventos por unidade de tempo atinge um determinado limite. Ferramentas mais avançadas examinarão cada evento e procurarão indicações específicas de problemas. Por exemplo, um grande número de logins com falha pode ser um sinal de uma tentativa de intrusão em andamento. Poderíamos passar páginas descrevendo as diferentes formas de análise de log que estão disponíveis. Em vez disso, convidamos você a dar uma olhada na análise de diferentes produtos abaixo para obter detalhes sobre o que cada um oferece.

As melhores ferramentas de monitoramento de registros

Como indicamos anteriormente, existem muitas ferramentas diferentes disponíveis com vários graus de funcionalidade. Nem todo mundo precisa de uma ferramenta com análise extensiva e recursos de alta segurança, portanto, incluímos uma combinação de ferramentas que fornecem vários conjuntos de recursos. Algumas são ferramentas mais simples, enquanto outras são mais complexas. Depende de você determinar qual ferramenta oferece a melhor opção para suas necessidades. Felizmente, todas as ferramentas em nossa lista têm uma versão de avaliação gratuita disponível, então nada o impede de experimentar algumas, algo que recomendamos enfaticamente.

1. SolarWinds Log & Event Manager (avaliação gratuita)

SolarWinds é um nome comum no mundo do monitoramento. A empresa existe há mais de 20 anos e seu principal produto, chamado Network Performance Monitor, é reconhecido por muitos como uma das melhores ferramentas de monitoramento SNMP disponíveis. E como se isso não bastasse, a SolarWinds também é conhecida por suas inúmeras ferramentas gratuitas. Essas são ferramentas menores, cada uma abordando uma necessidade específica dos administradores de rede. A Calculadora de sub-rede avançada e o servidor TFTP SolarWinds são dois exemplos excelentes dessas ferramentas gratuitas.

Quanto ao SolarWinds Log & Event Manager (LEM) , é exatamente o que seu nome indica. A ferramenta é tão rica em recursos que muitos a consideram uma ferramenta completa de gerenciamento de informações e eventos de segurança. Quando se trata de monitorar e gerenciar logs, é provavelmente uma das ferramentas de gerenciamento de log mais interessantes que você pode encontrar. Possui recursos de correlação e gerenciamento de log muito úteis, bem como um mecanismo de relatório impressionante.

• AVALIAÇÃO GRATUITA: SolarWinds Log & Event Manager
• Link para download: https://www.solarwinds.com/log-event-manager-software/registration

O SolarWinds Log & Event Manager pode ajudar a melhorar a segurança e a conformidade, detectando atividades suspeitas e identificando ameaças mais rapidamente com a detecção de atividades suspeitas em tempo de evento. Você também pode usar a ferramenta para conduzir investigações de eventos de segurança e análises forenses para mitigação e conformidade. É por esse recurso que muitos consideram o produto uma ferramenta SIEM. Além disso, essa ferramenta ajuda na prontidão para conformidade regulamentar. Você pode usá-lo para demonstrar conformidade, graças a seus relatórios comprovados por auditoria para HIPAA, PCI DSS, SOX, DISA STIG e muito mais.

Os recursos de resposta a eventos do SolarWinds Log & Event Manager não deixam nada a desejar. O sistema de resposta detalhado em tempo real reagirá ativamente a todas as ameaças. Ser baseado no comportamento em vez da análise de assinatura significa que você está protegido até mesmo contra ameaças desconhecidas ou futuras. Mas o painel da ferramenta é possivelmente seu melhor ativo. Com um design simples, você não terá problemas para identificar anomalias rapidamente.

O preço do SolarWinds Log & Event Manager é baseado no número de nós monitorados. Vários níveis de licenças de 30 a 2.500 nós estão disponíveis a partir de $ 4 665. E se você quiser experimentar o produto antes da compra, uma versão de avaliação gratuita totalmente funcional por 30 dias está disponível para download .

2. SolarWinds Log Manager para Orion (avaliação gratuita)

O próximo em nossa lista é outro produto da SolarWinds chamado Log Manager for Orion . O Orion, caso você não esteja familiarizado com os produtos da SolarWinds, era a plataforma principal da empresa alguns anos atrás. Ainda é a arquitetura subjacente sobre a qual muitos dos melhores produtos da SolarWinds são construídos. Se estiver usando o Network Performance Monitor, o NetFlow Traffic Analyzer, o Network Configuration Manager, o Virtualization Manager, o Server and Application Monitor ou o Storage Resource Monitor, você está usando o Orion.

• AVALIAÇÃO GRATUITA: SolarWinds Log Manager para Orion
• Link para download: https://www.solarwinds.com/log-manager-for-orion-software/registration

O SolarWinds Log Manager para Orion adiciona recursos de gerenciamento de log a qualquer uma das ferramentas de monitoramento e gerenciamento baseadas no Orion. Em resumo, o produto apresenta agregação de log, marcação, filtragem e alerta poderosos e intuitivos. Sua integração com os produtos da plataforma Orion oferece uma visão unificada do monitoramento da infraestrutura de TI e logs associados. O produto foi criado em colaboração com engenheiros de rede e sistemas para garantir que seus problemas - e como resolvê-los - fossem compreendidos.

Apesar de sua integração com a plataforma Orion, o Log Manager pode ser instalado sozinho e não requer a instalação de nenhuma outra ferramenta Orion. O preço começa em US $ 1.495 e uma versão de avaliação gratuita de 30 dias está disponível, caso você queira fazer um teste com o produto e ver como ele atende às suas necessidades.

3. PaperTrail (plano gratuito disponível)

O próximo é outro produto da SolarWinds chamado Papertrail . Este é muito diferente dos dois anteriores, pois é uma oferta de Software como Serviço (SaaS) baseada na nuvem. A ferramenta poderosa já estava desfrutando de alguma popularidade quando a SolarWinds a adquiriu, alguns anos atrás. Ele agrega arquivos de log de uma infinidade de produtos, como Apache ou MySQL, bem como aplicativos Ruby on Rails, vários serviços de hospedagem em nuvem e outros arquivos de log de texto padrão.

• Inscreva-se aqui: https://papertrailapp.com/plans

Para ajudar a diagnosticar bugs e problemas de desempenho, você pode usar o mecanismo de pesquisa muito eficaz e rápido do Papertrail, que pode pesquisar logs armazenados e de streaming. O produto se integra a alguns outros produtos SolarWinds, como Librato e Geckoboard, para gráficos de resultados. Papertrail também é fácil de implementar, usar e entender. Ele fornecerá visibilidade instantânea de todos os sistemas em minutos.

Papertrail está disponível em vários planos, incluindo um plano gratuito. É um tanto limitado e permite apenas 50 MB de registros por mês. No entanto, ele permitirá 16 GB de registros no primeiro mês, o que equivale a uma avaliação gratuita e ilimitada de 30 dias. Planos pagos começam em US $ 7 / mês para 1 GB / mês de logs, 1 ano de arquivo e 1 semana de indexação. O plano de US $ 75 / mês com 8 GB de registros é o mais popular . A filtragem de ruído permite que a ferramenta preserve os dados ao não salvar registros inúteis.

4. Monitor de rede PRTG

O PRTG Network Monitor da Paessler AG é um sistema de monitoramento integrado e multifuncional que pode ser usado para monitorar quase tudo, graças à sua arquitetura inteligente baseada em sensor. Uma das melhores características deste produto de nível empresarial é certamente sua velocidade de configuração. De acordo com Paessler, o PRTG Network Monitor pode ser configurado em apenas alguns minutos. Embora possa não ser tão rápido para todos, ainda é uma das ferramentas de monitoramento mais fáceis e rápidas de configurar, graças em parte ao seu processo de descoberta automática.

O PRTG Network Monitor  é um produto rico em recursos. Basicamente, é uma ferramenta de monitoramento de rede que usa SNMP para pesquisar dispositivos e exibir a utilização de suas interfaces em gráficos cronológicos. No entanto, por meio do uso de sensores adicionais, o PRTG pode monitorar quase tudo. Os sensores são um tanto semelhantes aos complementos, exceto pelo fato de serem incluídos com o produto. E existem sensores disponíveis para vários servidores, serviços e aplicações. Ao todo, o produto inclui mais de 200 sensores.

Para monitoramento e gerenciamento de log, dois sensores diferentes estão disponíveis. O sensor de API do Windows do Log de eventos captura todas as mensagens de log que o Windows gera. Este sensor monitora a taxa de mensagens de registro em vez de seu conteúdo e gerará um alarme se a taxa de mensagens de registro de eventos atingir um limite crítico.

O outro sensor interessante, o sensor  Syslog Receiver , recebe, monitora e salva mensagens syslog de qualquer dispositivo. No entanto, ele não vai apenas agregar logs de várias fontes. Sua funcionalidade de monitoramento irá disparar alarmes sempre que surgirem condições preocupantes, como um aumento na taxa de recepção de logs.

O PRTG Network Monitor está disponível em duas versões. A versão gratuita é completa, mas limitará sua capacidade de monitoramento a 100 sensores. Ao usar SNMP, cada parâmetro monitorado conta como um sensor. Por exemplo, se você monitorar duas interfaces em um roteador, isso contará como dois sensores. Cada instância de um sensor de monitoramento específico também conta como um. Se precisar de mais de 100 sensores, você precisará comprar uma licença que começa em US $ 1.600 para 500 sensores. Uma versão de avaliação gratuita, ilimitada por sensor e completa de 30 dias está disponível.

5. ManageEngine EventLog Analyzer

ManageEngine é outro fabricante conhecido de ferramentas de administração de rede entre os profissionais de TI. A empresa oferece um sistema de gerenciamento de log denominado ManageEngine EventLog Analyzer . O produto coleta, gerencia, analisa, correlaciona e pesquisa os dados de log de mais de 700 fontes usando uma combinação ou coleta de log sem agente e baseada em agente, bem como importação de log.

A capacidade do ManageEngine EventLog Analyzer é impressionante. Ele pode processar dados de registro a uma taxa de até 25.000 registros / segundo e detectar ataques em tempo real. A ferramenta também pode realizar análises forenses rapidamente, reduzindo assim o impacto potencial de uma violação. Os recursos de auditoria do sistema se estendem aos registros dos dispositivos de perímetro da rede, atividades do usuário, alterações de conta do servidor, acessos do usuário e muito mais, ajudando a atender às necessidades de auditoria de segurança.

A correlação de log de eventos em tempo real da ferramenta detecta instantaneamente tentativas de ataque e rastreia ameaças de segurança potenciais, correlacionando dados de log com mais de 30 regras predefinidas para detectar ataques de força bruta, bloqueios de contas, roubo de dados, ataques a servidores web e muito mais. Ele também possui um analisador de log personalizado que pode extrair campos de qualquer formato de log legível. O produto realmente fornece um único console para visualizar todos os seus dados de registro de segurança.

O ManageEngine EventLog Analyzer está disponível em uma edição gratuita com recursos reduzidos que suporta apenas 5 fontes de log ou em uma edição premium que começa em $ 595 e varia de acordo com o número de dispositivos e aplicativos. Uma versão de avaliação gratuita de 30 dias com todos os recursos também está disponível.

6. Graylog

Graylog é uma plataforma de gerenciamento de log de código aberto gratuita com muitos recursos interessantes. A ferramenta pode analisar e enriquecer logs e dados de eventos de quase qualquer fonte de dados. Seus pipelines de processamento permitem alguma flexibilidade no roteamento, lista negra, modificação e enriquecimento de mensagens em tempo real. A ferramenta pesquisará terabytes de dados de log para descobrir e analisar informações importantes. Sua sintaxe de pesquisa poderosa e única permite que você encontre exatamente o que procura.

Com Graylog , você tem a capacidade de criar painéis personalizados que permitem visualizar métricas específicas e observar tendências de um local central. Você pode usar estatísticas de campo, valores rápidos e gráficos da página de resultados da pesquisa para fazer uma busca detalhada para uma análise mais profunda de seus dados. Além disso, o produto oferece a opção de acionar ações ou emitir notificações sobre eventos, como tentativas de login malsucedidas, exceções ou degradação de desempenho.

Graylog está disponível como uma versão limitada gratuita e de código aberto, que também tem suporte limitado. Também existe uma versão empresarial com recursos estendidos e suporte ilimitado. Também é gratuito para até 5 GB de registros por dia. Dependendo de quão grande e ocupada é sua rede. Pode ser o suficiente para sua necessidade. Os preços de licença e suporte podem ser obtidos entrando em contato com o departamento de vendas da Graylog .

7. WhatsUp Log Management Suite

O WhatsUp Log Management Suite é uma excelente ferramenta da Ipswitch. A Ipswitch, é preciso lembrar a vocês, é a empresa por trás do WhatsUp Gold, a ferramenta super popular de monitoramento de rede. Esta é uma ferramenta automatizada que coleta, armazena, arquiva e salva logs do sistema, eventos do Windows e logs W3C / IIC. O não agrega apenas logs e eventos, porém, sua vigilância e análise de log contínuas o alertarão sobre qualquer atividade anormal.

O WhatsUp Log Management Suite seguirá os eventos auditados com frequência, como direitos de acesso e privilégios de arquivo, pasta e objeto e gerará alertas conforme necessário. Ele também usa eventos coletados para criar relatórios de conformidade para conformidade com HIPAA, SOX, FISMA, PCI, MiFID ou Basel II. Este software também pode ajudar a transformar seus dados brutos de log em informações significativas para gerentes ou equipes de segurança de TI, usando seus poderosos recursos automatizados de filtragem, correlação, geração de relatórios e conversão.

O WhatsUp Log Management Suite é, na verdade, um conjunto de aplicativos que inclui as seguintes ferramentas:

• Arquivador de eventos : esta ferramenta automatiza a coleta, limpeza e consolidação de logs.
• Alarme de evento : uma ferramenta para monitorar arquivos de log e receber notificações em tempo real sobre eventos importantes.
• Analista de Eventos : Analisa e relata dados de log e tendências; distribuir relatórios automaticamente para a gerência, oficiais de segurança, auditores e outras partes interessadas.
• Event Rover : um console unificado para análise forense aprofundada em todos os servidores e estações de trabalho para aumentar a eficiência e economizar tempo.

As informações sobre preços do Log Management Suite não estão prontamente disponíveis no Ipswitch. O produto pode ser adquirido diretamente do editor ou por meio da rede de revendedores da Ipswitch. Uma versão de teste gratuita, é claro, também está disponível.

8. LogDNA

LogDNA é considerado “ o sistema de gerenciamento de log mais rápido, intuitivo e econômico ”. Isso tende a ser verdade. Desde o início, a instalação do produto leva apenas alguns minutos antes de você começar a coletar e monitorar os logs. Não importa como os logs são gerados e transmitidos, centenas de esquemas de integração personalizados estão disponíveis no produto para ajudá-lo a centralizar os logs em um único local.

O LogDNA está disponível em uma versão baseada em nuvem ou auto-hospedada, dependendo de sua preferência. É um produto altamente escalonável que pode lidar com centenas de milhares de logs por segundo e dezenas de terabytes por dia, ao mesmo tempo que oferece segurança máxima e análise de log em tempo real. A empresa e seus produtos são compatíveis com SOC2, PCI e HIPAA, além de serem certificados pelo Privacy Shield.

O modelo de preços simples de pagamento por GB do LogDNA elimina contratos e alocações fixas de dados, o que representa um dos menores custos totais de propriedade de qualquer solução paga de monitoramento e gerenciamento de log. Vários planos de assinatura estão disponíveis com recursos crescentes. O plano de nível inferior é gratuito e os preços dos planos pagos variam de $ 1,50 / GB / mês a $ 3 / GB / mês, dependendo da duração da retenção e do número de usuários. Um teste gratuito, completo e ilimitado de 14 dias também está disponível.