Gestionarea jurnalelor poate fi un efort complex. Nu numai că o organizație tipică generează o mulțime de ele, dar ele provin dintr-o varietate de surse, fiecare cu un format potențial diferit și conținând informații diferite. Pentru a pune o aparență de ordine în ceva care poate deveni rapid haotic, a fost inventat gestionarea jurnalelor. Astăzi, aruncăm o privire asupra celor mai bune practici și sisteme de gestionare a jurnalelor. Sperăm că vă va ajuta să vedeți clar prin asta.
Vom începe cu o scurtă descriere a gestionării jurnalelor. Apoi, ne vom scufunda direct în cele mai bune practici de gestionare a jurnalelor. Vom explora dacă ar trebui să utilizați un sistem gata făcut sau să o faceți singur. Vom arunca o privire, de asemenea, la ce trebuie monitorizat și ce nu, urmat de securitatea și păstrarea jurnalelor, precum și de considerentele legate de stocare. Și înainte de a trece în revistă unele dintre cele mai bune sisteme de gestionare a jurnalelor, vom arunca o privire asupra diferitelor sarcini de gestionare, revizuirea și întreținerea jurnalelor, corelarea surselor de date și câteva considerații privind automatizarea.
Despre gestionarea jurnalelor
Simplu definit, un jurnal este documentația produsă automat și marcată de timp a unui eveniment relevant pentru un anumit sistem. Când un eveniment are loc pe un sistem, este generată un jurnal sau o intrare de jurnal. Diferite sisteme vor genera jurnalele pentru diferite evenimente. În ceea ce privește gestionarea jurnalelor, se referă în general la procesele și politicile utilizate pentru a administra și facilita generarea, transmiterea, analiza și stocarea datelor de jurnal. Gestionarea jurnalelor implică de obicei un sistem centralizat în care sunt agregate jurnalele din mai multe surse.
Totuși, gestionarea jurnalelor nu este doar o colectare a jurnalelor. După cum sugerează și numele, partea de management este importantă. Odată ce jurnalele sunt primite de sistemul de gestionare a jurnalelor, acestea sunt „traduse” într-un format comun. Este necesar, deoarece sistemele diferite formatează jurnalele în mod diferit și includ date diferite în jurnalele lor. Pentru a ușura căutarea și corelarea evenimentelor, unul dintre scopurile sistemelor de gestionare a jurnalelor este de a se asigura că toate intrările de jurnal colectate sunt stocate într-un format uniform.
Vorbind despre căutare și chiar despre corelare, aceasta este o altă caracteristică majoră a majorității sistemelor de gestionare a jurnalelor. Cele mai bune sisteme de gestionare a jurnalelor dispun de un motor de căutare puternic. Le permite administratorilor să se concentreze asupra exact ceea ce este necesar. În plus, corelarea evenimentelor va grupa automat evenimentele asociate, chiar dacă acestea provin din surse diferite.
Cele mai bune practici de gestionare a jurnalelor
Gestionarea jurnalelor este un proces complex, nu putem face mare lucru în acest sens. Odată cu această complexitate, vine riscul de a o face greșit. Pentru a evita acest lucru, am compilat o listă cu unele dintre cele mai bune practici de gestionare a jurnalelor. Scopul nostru este să vă oferim cât mai multe informații pentru a alege cel mai bun sistem de gestionare a jurnalelor pentru nevoile dvs. dar, mai important, pentru a profita la maximum de acesta.
Sistem de gestionare a jurnalelor sau bricolaj?
Din anumite motive, unii oameni cred că pot implementa manual un „sistem de gestionare a jurnalelor”. Dacă te numeri printre acești oameni, nu te mai glumi imediat. Deși este posibil să se implementeze manual o formă de gestionare a jurnalelor, eforturile necesare depășesc cu mult ceea ce este necesar pentru a implementa un adevărat sistem de gestionare a jurnalelor. Și cu mai multe instrumente gratuite și open-source disponibile, argumentul costului nu este unul valid.
Este aproape întotdeauna logic să utilizați o soluție de logare gestionată care este construită, susținută și scalată de un furnizor de renume, în loc să construiți un sistem pe cont propriu. Cu ele, tot ce trebuie să faceți este de obicei să vă conectați sursele și destinațiile și sunteți gata să analizați jurnalele de sistem și aplicații într-un mod simplu. Veți fi liber să petreceți mai mult timp monitorizând și logând, mai degrabă decât construirea infrastructurii dvs. de logare.
A ști ce să monitorizezi (și ce nu)
Este important să știi ce să înregistrezi, dar este și mai important să știi ce să nu înregistrezi. Doar pentru că poți să înregistrezi ceva nu înseamnă neapărat că ar trebui. Logarea prea des nu face altceva decât să îngreuneze găsirea datelor care contează cu adevărat. În plus, volumul suplimentar de jurnale adaugă complexitate și cost proceselor dvs. de stocare și gestionare a jurnalelor. Este important să vă gândiți în avans la ceea ce va și ce nu va fi înregistrat înainte de a începe implementarea unei platforme de gestionare a jurnalelor. Acesta va preveni greșelile costisitoare și vă va permite să vă dimensionați mai bine instrumentul.
Luați în considerare cu atenție ce aveți nevoie de fapt pentru a vă conecta. Mediile de producție care sunt critice pentru conformitate sau pentru scopuri de audit ar trebui cel mai probabil să fie înregistrate. La fel ar trebui să fie și datele care vă ajută să depanați problemele de performanță, să rezolvați problemele legate de experiența utilizatorului sau să monitorizați evenimentele legate de securitate.
În schimb, există lucruri pe care nu trebuie să le înregistrați, cum ar fi, de exemplu, mediile de testare care nu sunt o parte esențială a proceselor dvs. de afaceri. Există, de asemenea, date pe care le veți alege să nu vă înregistrați din motive de conformitate sau de securitate. De exemplu, dacă un utilizator a activat o setare de nu urmărire, nu ar trebui să înregistrați datele asociate utilizatorului respectiv.
Implementarea unei politici de securitate și păstrare a jurnalelor
Jurnalele pot conține date sensibile. Din acest motiv, trebuie să aveți o politică de securitate a jurnalelor. Va fi de neprețuit, de exemplu, pentru a ne asigura că datele sensibile sunt anonimizate sau criptate. De asemenea, transportul securizat al datelor de jurnal către sistemele de gestionare a jurnalelor impune utilizarea transportului criptat folosind TLS sau HTTPS pe client și pe partea de server.
În ceea ce privește o politică de păstrare, jurnalele din surse sau sisteme diferite ar putea necesita timpi de păstrare diferiți. De exemplu, jurnalele care sunt utilizate în principal pentru depanare pot funcționa cu timpi de reținere relativ scurti, cum ar fi câteva zile sau chiar câteva ore. Pe de altă parte, jurnalele legate de securitate sau jurnalele de tranzacții comerciale necesită timpi mai lungi de păstrare, adesea pentru conformitatea cu reglementările. Având în vedere acest lucru, politica dvs. de păstrare ar trebui să fie flexibilă și adaptabilă, în funcție de sursa de jurnal sau de tipul de jurnal.
Considerații privind stocarea jurnalelor
Păstrarea datelor de jurnal consumă spațiu de stocare valoros. Când planificați capacitatea de stocare pentru bușteni, trebuie să luați în considerare vârfurile de încărcare mari. În majoritatea cazurilor, cantitatea de jurnal de date pe zi este relativ constantă. Depinde în principal de utilizarea sistemului și/sau de numărul de tranzacții pe zi. Cu toate acestea, atunci când ceva nu merge bine, vă puteți aștepta la o creștere accelerată a volumului de jurnal. Dacă stocarea dvs. de jurnal are limite pe care le depășiți, puteți pierde cele mai recente jurnale. Pentru a atenua acest efect, cele mai bune sisteme de gestionare a jurnalelor folosesc un buffer ciclic. Acesta șterge mai întâi cele mai vechi date înainte de aplicarea oricărei limite de stocare.
De asemenea, stocarea jurnalelor ar trebui să aibă propria politică de securitate. Majoritatea atacatorilor vor încerca să evite sau să-și șteargă urmele din fișierele jurnal. Pentru a evita acest lucru, ar trebui să expediați jurnalele în timp real la stocarea centrală a jurnalelor - de preferință în afara site-ului - și să le asigurați. Astfel, dacă un atacator are acces la infrastructura dvs., jurnalele din afara site-ului vor păstra dovezile nemodificate.
Revizuirea și menținerea jurnalelor
Întreținerea jurnalelor este o parte importantă a gestionării jurnalelor, dacă nu cea mai importantă. Jurnalele neîntreținute pot duce la depanare mai lungă, riscuri de expunere a datelor și costuri mai mari de stocare a jurnalelor. Examinați jurnalele generate de sistemele dvs. și ajustați nivelul de înregistrare în funcție de nevoile dvs. Ar trebui să luați în considerare aspectele de utilizare, operaționale și de securitate.
Faceți nivelul de jurnal configurabil
Unele jurnalele de sistem sunt prea detaliate, în timp ce altele nu oferă suficiente informații. Din păcate, nu există întotdeauna ceva ce poți face în privința asta. Majoritatea sistemelor oferă niveluri de jurnal reglabile. Ele sunt cheia pentru a configura verbozitatea jurnalelor și pentru a vă asigura că ceea ce trebuie înregistrat este și ceea ce nu este important nu este.
Inspectați frecvent jurnalele de audit
Acționarea în probleme de securitate este esențială. Acesta este motivul pentru care ar trebui să aveți întotdeauna un ochi pe bușteni. Dacă sistemul dvs. de gestionare a jurnalelor nu are această caracteristică - multe dintre ele au, utilizați instrumente de securitate externe, cum ar fi auditd sau OSSEC. Ei implementează analiza în timp real a jurnalelor și generează jurnalele de alertă care indică potențiale probleme de securitate. Și în plus, ar trebui să definiți alerte privind evenimentele critice pentru a fi notificat rapid cu privire la orice activitate suspectă.
Corelați sursele de date
Logarea este doar un element al unei strategii globale de monitorizare. Pentru o monitorizare cu adevărat eficientă, trebuie să completați gestionarea jurnalelor cu alte tipuri de monitorizare, cum ar fi monitorizarea bazată pe evenimente, alerte și urmărire. Procedând astfel, este cel mai bun mod de a obține o imagine completă a ceea ce se întâmplă în orice moment. În timp ce buștenii sunt buni pentru a oferi detalii de înaltă definiție asupra problemelor, acest lucru este cel mai util atunci când luați o anumită distanță pentru a privi pădurea înainte de a mări copacii.
Gestionarea jurnalelor nu funcționează bine într-un siloz. Nimic nu face. Cu siguranță ar trebui să îl completați cu alte tipuri de monitorizare, cum ar fi monitorizarea rețelei, monitorizarea infrastructurii și multe altele. Și într-o lume ideală, soluția dvs. de monitorizare ar trebui să fie suficient de cuprinzătoare pentru a vă oferi toate informațiile de monitorizare într-un singur loc. Alternativ, s-ar putea integra cu alte instrumente care furnizează aceste informații. Scopul aici este de a avea, pe cât posibil, o vedere într-un singur panou a întregului mediu.
Management și automatizare a jurnalelor
Gestionarea jurnalelor vă poate ajuta să identificați problemele de la început, economisindu-vă astfel, dvs. și echipei dvs., timp și energie prețios. De asemenea, vă poate ajuta să găsiți oportunități de automatizare. Majoritatea instrumentelor de gestionare a jurnalelor vă vor permite să configurați alerte personalizate care se declanșează atunci când se întâmplă ceva. Unele vă vor permite chiar să configurați acțiuni automate care să fie inițiate atunci când aceste alerte sunt declanșate. Ar trebui să utilizați atâta automatizare cât vă permite instrumentul dvs. de management. În ciuda timpului pe care îl veți petrece instalând această automatizare, veți descoperi că a meritat prima dată când întâlniți un incident.
Cele mai bune 6 instrumente de gestionare a jurnalelor
Am cercetat piața încercând să găsim cel mai bun instrument de gestionare a jurnalelor. Am încercat să alcătuim o listă care să includă diferite tipuri de instrumente. La urma urmei, nevoile fiecăruia sunt diferite și cel mai bun instrument pentru unul nu este neapărat cel mai bun pentru altcineva.
1. Manager de evenimente de securitate SolarWinds ( PROCĂ GRATUITĂ)
SolarWinds este un nume comun în domeniul instrumentelor de administrare a rețelei. Există de aproximativ două decenii și ne-a adus unele dintre cele mai bune instrumente de monitorizare a lățimii de bandă și analizoare și colectoare NetFlow. Compania este, de asemenea, binecunoscută pentru publicarea mai multor instrumente gratuite care se adresează unor nevoi specifice ale administratorilor de rețea, cum ar fi calculatorul de subrețea sau un server syslog.
Când vine vorba de gestionarea jurnalelor, oferta companiei este acum numită SolarWinds Security Event Manager . A fost redenumit recent din Log & Event Manager , probabil pentru a reflecta mai bine faptul că acesta este de fapt mult mai mult decât un sistem de gestionare a jurnalelor. Multe dintre caracteristicile sale avansate îl plasează în gama SIEM (Security Information and Event Management). Are, de exemplu, corelarea evenimentelor în timp real și remedierea în timp real, două caracteristici asemănătoare SIEM.
Să aruncăm o privire la câteva dintre caracteristicile principale ale SolarWinds Security Event Manager . Instrumentul poate elimina rapid amenințările utilizând detectarea instantanee a activităților suspecte și răspunsurile automate. De asemenea, poate efectua investigații privind evenimentele de securitate și criminalistică pentru atenuare și conformitate. Și vorbind despre conformitate, produsul vă va permite să o demonstrați, datorită raportării sale dovedite de audit pentru HIPAA, PCI DSS și SOX, printre altele. Acest instrument are, de asemenea, monitorizarea integrității fișierelor și monitorizarea dispozitivului USB, două caracteristici care sunt mult peste ceea ce vedem de obicei în sistemele de gestionare a jurnalelor.
Prețurile pentru SolarWinds Security Event Manager încep de la 4.585 USD pentru până la 30 de noduri monitorizate. Pot fi achiziționate licențe pentru până la 2500 de noduri, făcând produsul foarte scalabil. Și dacă doriți să verificați practic că produsul este potrivit pentru dvs., este disponibilă o versiune de încercare gratuită, cu funcții complete, de 30 de zile .
2. SolarWinds Papertrail (PLAN GRATUIT DISPONIBIL)
Pe locul doi, avem un alt produs grozav numit Papertrail , o achiziție recentă de către SolarWinds . Papertrail este un sistem popular de gestionare a jurnalelor bazat pe cloud. Acumulează fișiere jurnal dintr-o varietate mare de produse populare, cum ar fi Apache sau MySQL, precum și aplicații Ruby on Rails, diferite servicii de găzduire în cloud și alte fișiere jurnal text standard. Utilizatorii Papertrail pot folosi apoi interfața de căutare bazată pe web sau instrumentele din linia de comandă pentru a căuta prin aceste fișiere pentru a ajuta la diagnosticarea erorilor și a problemelor de performanță. Instrumentul se integrează, de asemenea, cu alte produse SolarWinds , cum ar fi Librato și Geckoboard, pentru graficarea rezultatelor.
Papertrail este o ofertă de software ca serviciu (SaaS) bazată pe cloud de la SolarWinds . Este ușor de implementat, utilizat și de înțeles. Și vă va oferi vizibilitate instantanee asupra tuturor sistemelor în câteva minute. Instrumentul are un motor de căutare foarte eficient care poate căuta atât jurnalele stocate, cât și în flux. Și este fulgerător.
Papertrail este disponibil în mai multe planuri, inclusiv un plan gratuit. Totuși, este oarecum limitat și permite doar 100 MB de jurnale în fiecare lună. Cu toate acestea, va permite 16 GB de jurnale în prima lună, ceea ce echivalează cu o perioadă de încercare gratuită de 30 de zile . Planurile plătite încep de la 7 USD/lună pentru 1 GB/lună de jurnale, 1 an de arhivă și 1 săptămână de index. Filtrarea de zgomot permite instrumentului să păstreze datele fără a salva jurnalele inutile.
3. ManageEngine EventLog Analyzer
ManageEngine , un alt nume comun cu administratorii de rețea, face un excelent sistem de gestionare a jurnalelor numit ManageEngine EventLog Analyzer . Produsul va colecta, gestiona, analiza, corela și căuta prin datele de jurnal a peste 700 de surse folosind o combinație de colectare de jurnal fără agent și bazată pe agenți, precum și importul de jurnal.
Viteza este unul dintre punctele forte ale analizorului ManageEngine EventLog . Poate procesa datele de jurnal la o viteză impresionantă de 25.000 de jurnale/secundă și poate detecta atacurile în timp real. De asemenea, poate efectua analize criminalistice rapide pentru a reduce impactul unei încălcări. Capacitățile de audit ale sistemului se extind la jurnalele dispozitivelor din perimetrul rețelei, activitățile utilizatorilor, modificările contului de server, accesele utilizatorilor și multe altele, ajutându-vă să îndepliniți nevoile de audit de securitate.
EventLog Analyzer ManageEngine este disponibil într - un conținut redus de caracteristică ediție gratuită care suportă numai 5 surse de jurnal sau într - o ediție premium care începe de la $ 595 și variază în funcție de numărul de dispozitive și aplicații. Este disponibilă și o versiune de probă gratuită, cu funcții complete, de 30 de zile.
4. Ipswitch Log Management Suite
Management Suite Log este un produs de la Ipswitch , aceeași companie care ne -a adus WhatsUp de aur , un extrem de popular instrument de monitorizare a rețelei. Acesta este un instrument automat care colectează, stochează, arhivează și salvează jurnalele de sistem, evenimentele Windows și jurnalele W3C/IIC. În plus, supravegherea sa continuă a jurnalelor vă va alerta cu privire la orice activitate suspectă.
Evenimentele auditate frecvent, cum ar fi drepturile de acces și privilegiile fișierelor, folderelor și obiectelor pot fi urmărite, generând alerte după cum este necesar și utilizate pentru a crea rapoarte de conformitate pentru conformitatea HIPAA, SOX, FISMA, PCI, MiFID sau Basel II. Instrumentul vă poate ajuta, de asemenea, să transformați datele dvs. brute de jurnal în date semnificative pentru manageri sau echipele de securitate IT, datorită funcțiilor sale automate de filtrare, corelare, raportare și conversie.
Informațiile privind prețurile pentru Log Management Suite nu sunt disponibile cu ușurință de la Ipswitch . Produsul poate fi achiziționat fie direct de la editor, fie prin intermediul rețelei de distribuitori Ipswitch . Este disponibilă și o versiune de probă gratuită.
5. Alert Logic Log Manager
Accentul principal al Alert Logic este pe securitate și conformitate. Și, deoarece gestionarea jurnalelor este strâns legată de ambele, nu este surprinzător faptul că compania oferă Alert Logic Log Manager . Acest instrument bazat pe cloud oferă o gestionare automată și unificată a jurnalelor în toate mediile dumneavoastră. Acesta va colecta, agrega și căuta date din jurnal din cloud, server, aplicație, securitate și active de rețea.
Alert Logic Log Manager include monitorizarea și analiza log precum și de revizuire jurnal , care se face direct de analizoare umane. Experții Alert Logic vă vor avertiza cu privire la o posibilă activitate de amenințare 365 de zile pe an. De asemenea, serviciul va ajuta la îndeplinirea cerințelor de revizuire a jurnalelor din SOC 2, HIPAA și SOX și va descărca sarcina de a revizui jurnalele și urmărirea evenimentelor, pentru a se conforma cu PCI/DSS 10.6, 10.6.1, 10.6.3
Informațiile de preț pentru Alert Logic Log Manager nu sunt ușor disponibile pe web și va trebui să contactați vânzările Alert Logic pentru a obține o ofertă oficială. De asemenea, nu este disponibilă o versiune de încercare gratuită, dar o demonstrație gratuită poate fi aranjată contactând Alert Logic .
6. Nagios Log Server
S-ar putea să cunoașteți deja Nagios ca fiind un pachet excelent de monitorizare a rețelei. Oferit acestuia o versiune gratuită și open-source, precum și o versiune comercială, produsul are o reputație solidă. Pentru gestionarea jurnalelor, oferta Nagios se numește Nagios Log Server . Este un pachet complet cu management centralizat de jurnal, monitorizare și analiză. Acest instrument poate simplifica procesul de căutare a datelor din jurnal. De asemenea, vă permite să setați alerte pentru a fi notificat cu privire la potențialele amenințări. În plus, software-ul are o disponibilitate ridicată și un fail-over integrat. Asistentele sale ușoare de configurare a sursei vă pot ajuta să vă configurați serverele și alte dispozitive pentru a trimite datele lor de jurnal către platformă, permițându-vă să începeți să vă monitorizați jurnalele în câteva minute.
Nagios Log Server oferă corelarea ușoară a evenimentelor din jurnal toate sursele de logare în doar câteva click - uri. Sistemul vă va permite să vizualizați datele de jurnal în timp real, permițând să analizați și să rezolvați problemele în timp real, pe măsură ce apar. Un alt punct forte al produsului este scalabilitatea impresionantă. Acest instrument continuă să vă satisfacă nevoile pe măsură ce organizația dvs. crește. Dacă este necesar, pot fi adăugate instanțe suplimentare Nagios Log Server la un cluster de monitorizare, permițându-vă să adăugați rapid mai multă putere, viteză, stocare și fiabilitate.
Cu toate aceste caracteristici, ne-am aștepta la un preț ridicat. Nu este cazul și prețul pentru o singură instanță pentru Nagios Log Server este de 3 995 USD. În ciuda faptului că nu oferă o versiune de încercare gratuită, este disponibil un demo online gratuit, dacă preferați să aruncați o privire directă asupra produsului. înainte de a lua o decizie de cumpărare.
IIS, prescurtare pentru Internet Information Services, este un server web de la Microsoft, utilizat frecvent în gestionarea site-urilor web și aplicațiilor.
Piața software-ului de management al rețelei este foarte aglomerată. Scurtă-ți căutarea urmând recomandările noastre cu privire la cele mai bune instrumente de gestionare a rețelei.
Măsurile de ping pot fi folosite în beneficiul dumneavoastră în multe moduri. Citiți mai departe în timp ce discutăm despre cum și vă prezentăm cele mai bune 10 instrumente de scanare Ping pe care le puteți găsi.
Site-urile web sunt importante și trebuie monitorizate îndeaproape în mod constant pentru performanță adecvată. Iată câteva dintre cele mai bune instrumente pentru monitorizarea site-urilor web.
Iată o privire la unele dintre cele mai bune instrumente de implementare a software-ului pentru a ușura durerea de a gestiona orice număr de mașini
sFlow este un protocol de analiză a fluxului care este încorporat în numeroase dispozitive de rețea. Analizăm primii cinci cei mai buni colectori și analizoare sFlow gratuite.
Pentru a vă ajuta să alegeți cel potrivit, am introdus cele mai bune instrumente de monitorizare a infrastructurii fără agent și vă oferim o revizuire rapidă a fiecăruia.
Cu Linux devenind din ce în ce mai popular în centrele de date, am analizat monitorizarea lățimii de bandă pe Linux și, de asemenea, revizuim cele mai bune instrumente.
Securitatea e-mailului este o sarcină importantă a furnizorilor de servicii gestionate. Am analizat SolarWinds Mail Assure, unul dintre cele mai bune instrumente în acest scop.
Dacă sunteți un utilizator avansat de Windows, probabil că știți și înțelegeți cum efectuarea diferitelor operațiuni pe computerul dvs. poate avea mai mult decât o singură abordare și
