6 cele mai bune instrumente de gestionare a jurnalelor pentru Linux în 2021

Cu sistemele de astăzi care generează o mulțime de date de înregistrare, nu este surprinzător faptul că administratorii caută mereu soluții de gestionare a jurnalelor. Jurnalele sunt, implicit, adesea stocate local. Acest lucru are sens, deoarece facilitează legarea lor la sursa lor. Dar când încercăm să depanăm problemele și să le găsim cauza principală, uneori trebuie să ne uităm la mai multe fișiere jurnal de pe numeroase dispozitive. Nu ar fi frumos dacă toate jurnalele de pe toate dispozitivele ar fi stocate într-un singur loc, centralizat? Acesta este scopul managementului jurnalului . Și dacă platforma preferată este Linux, există o mulțime de opțiuni disponibile. Citiți mai departe în timp ce descoperim unele dintre cele mai bune gestionare a jurnalelor pentru Linux

Vom începe prin a defini gestionarea jurnalelor. Veți vedea că poate fi mai mult decât centralizarea stocării jurnalelor. În continuare, vom discuta despre diferite tehnologii de înregistrare . Ele sunt piatra de temelie a gestionării jurnalelor și probabil că fără ele nu ar exista. Continuând, vom diferenția serverele syslog de sistemele de gestionare a jurnalelor și vom realiza că nu există o delimitare clară între ele. În continuare, vom face o scurtă pauză și vom discuta despre informațiile de securitate și despre sistemele de management al evenimentelor . Sunt un alt tip de sistem care este adesea confundat cu gestionarea jurnalelor, datorită definiției oarecum neclare a fiecăruia. Și, în sfârșit, vom revizui cea mai bună gestionare a jurnalelor pentru Linux.

Ce este gestionarea jurnalelor?

Înainte de a putea vorbi despre managementul jurnalului, să definim ce este un jurnal. Simplu definit, un jurnal este documentația produsă automat și marcată de timp a unui eveniment relevant pentru un anumit sistem. Cu alte cuvinte, ori de câte ori are loc un eveniment pe un sistem, este generat un jurnal. Sistemele și dispozitivele vor genera jurnale pentru diferite tipuri de evenimente și multe sisteme oferă administratorilor un anumit grad de control asupra evenimentului care generează un jurnal și care nu.

În ceea ce privește gestionarea jurnalelor, se referă pur și simplu la procesele și politicile utilizate pentru a administra și facilita generarea, transmiterea, analiza, stocarea, arhivarea și eventuala eliminare a unor volume mari de date de jurnal. Deși nu este clar menționat, gestionarea jurnalelor implică un sistem centralizat în care sunt colectate jurnalele din mai multe surse. Totuși, gestionarea jurnalelor nu este doar o colectare a jurnalelor. Partea de management este cea mai importantă. Și sistemele de gestionare a jurnalelor au adesea mai multe funcționalități, colectarea jurnalelor fiind doar una dintre ele.

Odată ce jurnalele sunt primite de sistemul de gestionare a jurnalelor, acestea trebuie să fie standardizate într-un format comun, deoarece sistemele diferite formatează jurnalele în mod diferit și includ date diferite. Unii încep un jurnal cu data și ora, alții îl încep cu un număr de eveniment. Unele includ doar un ID de eveniment, în timp ce altele includ o descriere integrală a evenimentului. Unul dintre scopurile sistemelor de gestionare a jurnalelor este de a se asigura că toate intrările de jurnal colectate sunt stocate într-un format uniform. Acest lucru va face corelarea evenimentelor și eventuala căutare mult mai ușoară pe linie.

Chiar și corelarea și căutarea sunt două funcții majore suplimentare ale mai multor sisteme de gestionare a jurnalelor. Cele mai bune dintre ele dispun de un motor de căutare puternic care permite administratorilor să se concentreze exact pe ceea ce au nevoie. Funcțiile de corelare vor grupa automat evenimentele asociate, chiar dacă acestea provin din surse diferite. Cum – și cu cât succes – un sistem diferit de gestionare a jurnalelor realizează acesta este un factor de diferențiere major.

CITEȘTE ȘI: 15 cele mai bune instrumente de monitorizare a rețelei (propria noastră recenzie)

Tehnologii de logare

Gestionarea jurnalelor ar fi mult mai dificilă, poate chiar nu posibilă, dacă nu ar fi protocoalele de logare. Câteva dintre ele există. Ele definesc ce date trebuie incluse în jurnale, cum ar trebui formate și, uneori, cum trebuie transmise între sisteme.

Syslog este, fără îndoială, cel mai folosit protocol de înregistrare , mai ales în lumea Linux. Tehnologia a fost inventată la începutul anilor optzeci și a devenit standardul de facto pentru toate sistemele de tip Unix. Unul dintre cele mai mari atuuri ale tehnologiei syslog este modul în care facilitează separarea între sistemul sau software-ul care generează jurnalele, sistemul care le stochează și software-ul care le raportează și le analizează. Utilizarea tehnologiei Syslog face gestionarea jurnalelor mult mai ușoară. Și Syslog nu este o exclusivitate Unix. Multe dispozitive non-Unix, cum ar fi comutatoarele, routerele și tot felul de echipamente de la mulți furnizori folosesc o variantă a protocolului syslog.

Există și alte tehnologii de logare. Microsoft Windows, de exemplu, folosește un alt sistem de înregistrare. S-ar putea să aibă de-a face cu faptul că sistemele de operare și aplicațiile Windows au jurnale care conțin de obicei informații mai detaliate decât permite tehnologia Syslog. Din fericire, funcțiile Windows Event Collector oferă un mijloc de gestionare a jurnalelor pe care diverse sisteme îl pot folosi pentru a primi evenimente de la gazdele Windows. Această postare este despre gestionarea jurnalelor Linux, așa că, totuși, să nu pierdem prea mult timp pe Windows.

Indiferent de tehnologia de înregistrare utilizată, o parte importantă a gestionării jurnalelor este configurarea dispozitivelor pentru a-și trimite jurnalele către sistemul de management. Alte tipuri de instrumente, cum ar fi sistemele de monitorizare a rețelei, pot prelua date de la sistemele pe care le monitorizează, dar cu gestionarea jurnalelor, fiecărui dispozitiv trebuie „spus” unde să-și trimită jurnalele. Este, totuși, o sarcină relativ simplă care este adesea realizată prin lansarea unei comenzi simple.

CITURI SUPLIMENTARE:  Cel mai bun software de topologie și cartografiere a diagramelor de rețea

Servere de jurnal sau management de jurnal?

Deoarece a fost disponibil pe orice sistem asemănător Unix - inclusiv Linux - pentru o perioadă de timp, Syslog este adesea folosit ca server de jurnal, cu un computer care primește date Syslog de la mai multe altele. În timp ce această stocare centralizată a jurnalelor are avantaje certe, nu este suficient să fie numit management de jurnal.

Pentru a merita numele Log Management System, un produs trebuie să includă cel puțin unele dintre funcțiile mai avansate. Potrivit Wikipedia, „gestionarea jurnalelor este compusă din următoarele funcții: colectarea jurnalelor, agregarea centralizată a jurnalelor, stocarea și păstrarea jurnalelor pe termen lung, rotația jurnalelor, analiza jurnalelor, căutarea jurnalelor și raportarea”. Wow! Aceasta este o mulțime de funcționalitate. Serverele de jurnal, pe de altă parte, oferă adesea doar colectarea și stocarea jurnalelor și rareori mai mult decât atât.

Un cuvânt (sau două) despre SIEM

O altă tehnologie populară care este asociată cu jurnalele și adesea confundată cu sistemele de gestionare a jurnalelor este Security Information and Event Management sau SIEM. Aceasta este diferită de gestionarea jurnalelor, dar este strâns legată. Linia este atât de subțire între ele încât unele produse promovate ca sisteme de gestionare a jurnalelor sunt de fapt sisteme SIEM, în timp ce unele sisteme SIEM de bază nu sunt altceva decât sisteme avansate de gestionare a jurnalelor.

Confuzia provine din faptul că gestionarea jurnalelor – sau, cel puțin, analiza jurnalelor – este o componentă importantă a sistemelor SIEM. Ceea ce diferențiază sistemele SIEM este că efectuează analize de jurnal cu scopul final de a identifica problemele de securitate. Ei vor căuta, de exemplu, semne de autentificare nereușită, care ar putea fi un semn al unei încercări de intruziune neautorizată . Aceste sisteme scanează continuu intrările de jurnal în căutarea unor lucruri ieșite din comun . În timp ce unele sisteme SIEM includ funcții extinse de gestionare a jurnalelor, unele folosesc un sistem extern de gestionare a jurnalelor și nu este neobișnuit să vedeți ambele sisteme rulând unul lângă altul.

CITURI LEGATE:  Cele mai bune scanere IP pentru Mac

Cel mai bun management de jurnal pentru Linux

Sperăm că acum avem o înțelegere comună a ceea ce este și ce nu este gestionarea jurnalelor. Deci, să aruncăm o privire la ceea ce este disponibil pentru Linux. Dar mai întâi, să clarificăm ceva. Când ne referim la gestionarea jurnalelor Linux, ceea ce ne referim sunt sisteme de gestionare a jurnalelor care pot găzdui jurnale Linux și care vor rula fie pe platforma Linux, fie în cloud. Unele dintre selecțiile noastre, în special sistemele bazate pe cloud, vor funcționa și cu jurnalele de pe alte platforme.

1. SolarWinds Papertrail (PLAN GRATUIT DISPONIBIL)

SolarWinds a devenit un nume cunoscut printre administratorii de rețea. Produce unele dintre cele mai bune instrumente de aproape 20 de ani, aducându-ne instrumente excelente de monitorizare a lățimii de bandă și unul dintre cei mai buni analizoare și colectoare NetFlow. Compania este, de asemenea, binecunoscută pentru publicarea mai multor instrumente gratuite care se adresează unor nevoi specifice ale administratorilor de rețea, cum ar fi calculatorul de subrețea sau un server syslog.

• PLAN GRATUIT: SolarWinds Papertrail
• Link de descărcare oficial: https://papertrailapp.com/plans

Nu cu mult timp în urmă, SolarWinds a achiziționat Papertrail , un sistem popular de gestionare a jurnalelor. Agregează fișiere jurnal dintr-o mare varietate de produse populare, cum ar fi Apache sau MySQL, precum și aplicații Ruby on Rails, diferite servicii de găzduire în cloud și alte fișiere jurnal standard syslog și text. Utilizatorii Papertrail pot folosi apoi interfața de căutare bazată pe web sau instrumentele din linia de comandă pentru a căuta prin aceste fișiere pentru a ajuta la diagnosticarea diferitelor probleme. Papertrail se integrează, de asemenea, cu alte produse SolarWinds, cum ar fi Librato și Geckoboard, pentru graficarea rezultatelor.

Papertrail este o ofertă de software ca serviciu (SaaS) bazată pe cloud de la SolarWinds. A fi bazat pe cloud înseamnă că va funcționa bine într-un mediu complet Linux. Platforma este ușor de implementat, utilizat și de înțeles și vă va oferi vizibilitate instantanee asupra tuturor sistemelor în câteva minute. În plus, produsul are un motor de căutare foarte eficient care poate căuta atât jurnalele stocate, cât și în flux. Și este fulgerător.

Papertrail este disponibil în mai multe planuri, inclusiv un plan gratuit . Totuși, este oarecum limitat și permite doar 100 MB de jurnale în fiecare lună. Cu toate acestea, va permite 16 GB de jurnale în prima lună, ceea ce echivalează cu o perioadă de încercare gratuită de 30 de zile . Planurile plătite încep de la 7 USD/lună pentru 1 GB/lună de jurnale, 1 an de arhivă și 1 săptămână de index. Filtrarea de zgomot permite instrumentului să păstreze datele fără a salva jurnalele inutile.

2. Loggly

Loggly este un alt serviciu online bazat pe cloud. În primul rând un consolidator de jurnal, oferă și funcționalitate de analiză a jurnalelor. Ca o virtute de a fi bazat pe cloud, acest sistem nu necesită instalare și este gata de utilizare în momentul în care vă abonați. Desigur, sistemele și dispozitivele dvs. vor trebui configurate pentru a încărca periodic fișierele jurnal standard pe serverul online.

• ÎNCERCARE GRATUITĂ: planuri Loggly
• Link oficial: https://www.loggly.com

Loggly convertește apoi datele de jurnal primite într-un format standard, permițând astfel analizorului să proceseze înregistrări din diverse surse și permițând urmărirea și corelarea evenimentelor pe toate sistemele, indiferent de sistemul lor de operare sau de tehnologia de înregistrare. Sursele de date de jurnal nu se limitează la serverele dvs. locale. Sistemul este, desigur, capabil să proceseze jurnalele generate de servere online, precum AWS-ul Amazon și poate include mesaje create de aplicații specifice precum Docker și Logstash, pentru a numi doar câteva.

Serviciul Loggly este disponibil în trei planuri diferite, cu limite de procesare a datelor și timpi de păstrare crescând. Trebuie să-l alegeți pe cel potrivit pentru a vă oferi suficient spațiu pentru datele de jurnal. Planul entry-level se numește Loggly Lite. Este gratuit de utilizat. În cadrul acestui plan, puteți încărca 200 MB de date de jurnal pe zi, iar sistemul va păstra fiecare înregistrare timp de șapte zile. Urmează planul Standard care vă oferă o alocație de încărcare de 1 GB pe zi și păstrează înregistrările timp de 30 de zile. Planurile plătite vă permit, de asemenea, să utilizați mai multe conturi de utilizator. Cu pachetul Standard, puteți avea trei conturi de utilizator. Nivelul superior se numește Loggly Enterprise. Nu are limită pentru numărul de conturi de utilizatori pe care le puteți configura, iar prețurile variază în funcție de capacitatea de încărcare și perioada de păstrare de care aveți nevoie. Plata pentru toate planurile plătite poate fi fie lunară, fie anuală, iar o perioadă de încercare gratuită de 14 zile este disponibilă pentru planul Standard .

3. Splunk

Splunk este un bine-cunoscut – în cadrul comunității de administrare a sistemului – sistem cuprinzător de gestionare a jurnalelor pentru Linux, Mac OS și Windows. Mai mult decât un sistem de bază de gestionare a jurnalelor, unii îl consideră a fi un sistem complet de prevenire a intruziunilor. Produsul este disponibil în trei versiuni. În partea de sus se află Splunk Enterprise, care este mai mult un sistem de management al rețelei decât un simplu instrument de gestionare a jurnalelor. Prețul începe de la 173 USD pe lună și obțineți o mulțime de funcționalități.

Există, de asemenea, o versiune gratuită a Splunk, care este practic același instrument fără unele dintre cele mai avansate funcționalități ale sale. În esență, se limitează la analiza fișierelor jurnal. Puteți alimenta oricare dintre fișierele de jurnal standard sau puteți trimite date live printr-un fișier în analizor. Versiunea gratuită are câteva limitări. Poate, de exemplu, să aibă un singur cont de utilizator, iar fluxul său de date este limitat la 500 MB de jurnale pe zi. Funcționalitatea de sortare și filtrare a datelor este încorporată în Splunk, facilitându-vă eforturile de depanare. Puteți utiliza aceste caracteristici pentru a împărți înregistrările de jurnal în funcție de dată și pentru a scrie fiecare grup în fișiere noi. De fapt, această funcționalitate este foarte flexibilă.

4. Nagios Log Server

Nagios este cel mai bine cunoscut pentru software-ul său excelent de monitorizare a rețelei, dar serverul său de jurnal este la fel de interesant. Produsul se numește pur și simplu Nagios Log Server și oferă gestionare, monitorizare și analiză centralizate a jurnalelor. Acest instrument poate simplifica foarte mult procesul de căutare a datelor din jurnal. De asemenea, vă permite să setați alerte pentru a fi notificat cu privire la potențialele amenințări. În plus, software-ul are o disponibilitate ridicată și un fail-over integrat. În plus, vrăjitorii de configurare ușoară a sursei vă vor ajuta să configurați rapid serverele pentru a trimite toate datele de jurnal și pentru a începe să vă monitorizați jurnalele în câteva minute.

Nagios Log Server permite o corelare ușoară a evenimentelor de jurnal pe toate serverele în doar câteva click - uri. Sistemul vă va permite să vizualizați datele de jurnal în timp real, oferindu-vă posibilitatea de a analiza și rezolva problemele pe măsură ce apar. Produsul are o scalabilitate impresionantă și va continua să vă satisfacă nevoile pe măsură ce organizația dumneavoastră se dezvoltă. Instanțe suplimentare Nagios Log Server pot fi adăugate la un cluster de monitorizare, permițându-vă să adăugați rapid mai multă putere, viteză, stocare și fiabilitate.

Prețul pentru o singură instanță pentru Nagios Log Server este de 3 995 USD și, deși o versiune de încercare gratuită nu pare să fie disponibilă, este disponibilă o demonstrație online gratuită, dacă preferați să aruncați o privire directă asupra produsului.

5. Graylog

Următorul pe lista noastră este un produs numit Graylog . Produsul oferă multe caracteristici interesante. Instrumentul va analiza și îmbogăți jurnalele și datele despre evenimente din orice sursă de date. Conductele sale de procesare permit o oarecare flexibilitate în rutarea, listarea neagră, modificarea și îmbogățirea mesajelor în timp real. Graylog va căuta prin terabytes de date de jurnal pentru a descoperi și analiza informații importante. Sintaxa puternică de căutare vă permite să găsiți exact ceea ce căutați.

Cu Graylog , puteți crea tablouri de bord pentru a vizualiza valorile și a observa tendințele într-o locație centrală. Puteți utiliza statistici de câmp, valori rapide și diagrame din pagina cu rezultate ale căutării pentru a explora o analiză mai profundă a datelor dvs. Sistemul are, de asemenea, opțiunea de a declanșa acțiuni sau de a emite notificări cu privire la evenimente precum încercări eșuate de autentificare, excepții sau degradarea performanței.

Graylog este un sistem gratuit, open-source, bazat pe fișiere jurnal, care vă poate oferi mult mai multe funcționalități decât un simplu utilitar de arhivare a jurnalelor. Acest analizor de jurnal are o interfață grafică cu utilizatorul și poate rula pe Ubuntu, Debian, CentOS și SUSE Linux. De asemenea, îl puteți rula pe o mașină virtuală pe Microsoft Windows și puteți instala sistemul Graylog pe Amazon AWS.

6. ManageEngine EventLog Analyzer

ManageEngine , un alt nume comun în rândul administratorului de rețea, face un excelent sistem de gestionare a jurnalelor numit ManageEngine EventLog Analyzer . Produsul va colecta, gestiona, analiza, corela și căuta prin datele de jurnal a peste 700 de surse folosind o combinație de colectare de jurnal fără agent și bazată pe agenți, precum și importul de jurnal.

Viteza este unul dintre punctele forte ale analizorului ManageEngine EventLog . Poate procesa datele de jurnal la o viteză impresionantă de 25.000 de jurnale/secundă și poate detecta atacurile în timp real. De asemenea, poate efectua analize criminalistice rapide pentru a reduce impactul unei încălcări. Capacitățile de audit ale sistemului se extind la jurnalele dispozitivelor din perimetrul rețelei, activitățile utilizatorilor, modificările contului de server, accesele utilizatorilor și multe altele, ajutându-vă să îndepliniți nevoile de audit de securitate.

EventLog Analyzer ManageEngine este disponibil într - un conținut redus de caracteristică ediție gratuită care suportă numai 5 surse de jurnal sau într - o ediție premium care începe de la $ 595 și variază în funcție de numărul de dispozitive și aplicații. Este disponibilă și o versiune de probă gratuită, cu funcții complete, de 30 de zile.