Управление журналами может оказаться сложной и пугающей задачей. Все стало несколько проще благодаря доступности высококачественных систем управления журналами, но, чтобы упростить задачу и устранить большую часть накладных расходов, связанных с развертыванием и обслуживанием еще одной системы, многие администраторы и менеджеры предпочитают обращаться к облачной службе ведения журналов.
Но так же, как существует множество систем управления журналами, существует множество облачных сервисов ведения журналов, и выбор лучшей из них может быть сложной задачей. Вот почему в этой статье мы рады рассмотреть некоторые из лучших облачных сервисов ведения журналов.
Мы начнем с представления управления журналами и обсудим некоторые из различных технологий ведения журналов, которые обычно встречаются. Затем мы поговорим о различиях между серверами журналов, системами управления журналами и системами управления информацией и событиями безопасности. Далее мы обсудим преимущества использования облачных служб ведения журналов по сравнению с локально установленными системами управления журналами, прежде чем мы наконец перейдем к самой лучшей части - обзору некоторых из самых лучших облачных служб ведения журналов.
Об управлении журналами?
Прежде чем мы начнем обсуждать службы ведения журнала, давайте сначала попробуем определить, что такое ведение журнала. Журнал, который также иногда называют записью журнала, где термин журнал относится к месту сбора и хранения этих записей, представляет собой автоматически создаваемую документацию с отметкой времени о событии, относящемся к конкретной системе. Каждый раз, когда в системе происходит событие, создается журнал. Системы и устройства будут создавать журналы для различных типов событий, и многие из них дают администраторам некоторую степень контроля над тем, какие события будут создавать журнал, а какие нет.
Что касается управления журналами, это процессы и политики, используемые для администрирования и облегчения создания, передачи, анализа, хранения, архивирования и окончательного удаления значительных объемов данных журналов. Управление журналами обычно подразумевает централизованную систему, в которой собираются журналы из нескольких источников. Однако управление журналами - это не просто сбор журналов. Это часть управления, которая является наиболее важной. Системы управления журналами часто имеют несколько функций, и сбор журналов - лишь одна из них.
И, наконец, службы ведения журналов относятся к внешним поставщикам, которым организации могут передать свои потребности в управлении журналами на аутсорсинг. Это облачный бизнес типа «программное обеспечение как услуга» (SaaS), который можно использовать вместо локально установленных инфраструктур управления журналами. Как мы вскоре увидим, у использования служб ведения журналов есть несколько преимуществ. На данный момент просто имейте в виду, что служба ведения журналов - это не что иное, как облачная внешняя система управления журналами.
После того, как журналы получены системой управления журналами, они должны быть стандартизированы в общую форму, поскольку разные системы по-разному форматируют журналы и включают разные данные. Некоторые начинают журнал с даты и времени, некоторые - с номера события. Некоторые включают только идентификатор события, в то время как другие включают полнотекстовое описание события. Одна из целей систем управления журналами - гарантировать, что все собранные записи журнала хранятся в едином формате, независимо от того, откуда они берутся. Это упростит корреляцию событий и поиск.
Говоря о корреляции событий и поиске, это две очень важные функции большинства систем управления журналами или служб журналов. Некоторые из них оснащены мощной поисковой системой, которая позволяет администраторам сосредоточить внимание именно на том, что им нужно. Функции корреляции автоматически группируют связанные события, даже если они происходят из разных источников. Как - но, что более важно, насколько успешно - различные системы управления журналами выполняют это, является основным отличительным фактором.
СВЯЗАННЫЕ: Лучшие инструменты управления журналами для Linux
Лесозаготовительные технологии
Управление журналами - как локальное, так и облачное - было бы намного сложнее, возможно, даже невозможно, если бы не протоколы ведения журналов. Некоторые из них существуют. Они определяют, какие данные должны быть включены в журналы, как они должны быть отформатированы, а иногда и как они должны передаваться между системами.
Системный журнал - один из наиболее часто используемых протоколов регистрации, особенно в мире Linux / Unix. Эта технология была изобретена в начале восьмидесятых и фактически стала стандартом для всех Unix-подобных систем. Эту технологию обычно предпочитает большинство производителей сетевого оборудования. Одним из его главных преимуществ является то, как он способствует разделению между системой или программным обеспечением, которое генерирует журналы, системой, которая их хранит, и программным обеспечением, которое составляет отчеты и анализирует их. Использование технологии Syslog значительно упрощает управление журналами.
Также широко используются другие технологии каротажа. Например, Windows использует проприетарную систему ведения журнала. Одна из причин этого заключается в том, что операционные системы и приложения Microsoft создают журналы, которые обычно содержат гораздо более подробную информацию, чем позволяет технология Syslog. Или, конечно, любая приличная система управления журналами или служба ведения журналов будет прозрачно поддерживать несколько протоколов и технологий ведения журналов.
Независимо от того, используете ли вы локально установленный инструмент управления журналами или службу ведения журналов, одним из наиболее важных шагов развертывания является настройка ваших устройств для отправки своих журналов в систему. Это отличается от других типов инструментов, таких как системы мониторинга сети, которые могут извлекать данные из систем, которые они контролируют. Эта конфигурация обычно является относительно простой задачей, которая часто выполняется с помощью простой команды. Более того, большинство систем управления и служб регистрации предоставят подробные инструкции о том, как это сделать.
Управление журналами и серверы журналов
Поскольку он был доступен в каждой Unix-подобной системе какое-то время, Syslog часто используется в качестве сервера журналов, когда один компьютер получает данные Syslog от нескольких других. Хотя такое централизованное хранение журналов имеет определенные преимущества, его недостаточно называть управлением журналами.
Истинные системы управления журналами должны включать по крайней мере некоторые из более продвинутых функций. Согласно Википедии, «управление журналами состоит из следующих функций: сбор журналов, централизованная агрегация журналов, долгосрочное хранение журналов, ротация журналов, анализ журналов, поиск журналов и отчетность». С другой стороны, серверы журналов обычно предлагают только сбор и хранение журналов и ничего более.
ТАКЖЕ ПРОЧИТАЙТЕ: Лучшие инструменты для мониторинга журналов, которые помогут вам
А как насчет SIEM?
Еще одна популярная технология, которая связана с журналами и часто путают с управлением журналами, - это управление информацией и событиями безопасности или SIEM . Это тесно связанная технология, но она немного отличается от управления журналами, но грань между ними настолько тонка, что их часто путают, и некоторые продукты, рекламируемые как системы управления журналами, на самом деле являются системами SIEM начального уровня, в то время как некоторые базовые системы SIEM - ничто. больше, чем продвинутые системы управления журналами.
Эта путаница возникает из-за того, что анализ журналов - основной компонент управления журналами - также является компонентом систем SIEM, которые отличаются тем, что они выполняют анализ журналов с конкретной целью выявления проблем безопасности. Например, они будут искать признаки неудачного входа в систему, которые могут быть контрольным признаком попытки несанкционированного вторжения. В то время как некоторые системы SIEM действительно включают расширенные функции управления журналами, другие используют внешнюю систему управления журналами, и нередко можно увидеть, что обе работают бок о бок. Если у вас есть SIEM-система, вам нужно выбрать службу регистрации, которая может с ней работать.
Преимущества облачного ведения журнала
Использование облачных служб ведения журналов дает несколько преимуществ. Они варьируются от безопасности до удобства и вечнозелености. Давайте копнем глубже. Одним из основных преимуществ облачного ведения журнала является безопасность. Помимо системных ошибок и различных проблем, одной из основных причин ведения журнала является отслеживание всех обращений к системам и данным. Это особенно верно, когда вы подвергаетесь атаке со стороны хакера, и анализ журналов часто является одним из основных способов обнаружения таких атак. Хакеры знают это и часто пытаются замести следы, быстро стирая журналы, относящиеся к их деятельности. С помощью локальных журналов они часто уже получили доступ к вашей среде, поэтому их присутствие может быть относительно простым. С облачным ведением журнала им все немного сложнее. Им сначала нужно будет взломать вашего провайдера журналов, чтобы иметь возможность удалить свои следы. И провайдеры регистрации часто имеют очень высокий уровень безопасности.
Фактор удобства также важен при принятии решения об использовании облачных служб ведения журналов. В первую очередь, все уже установлено. После того, как ваша учетная запись настроена, все, что вам нужно, это настроить свои устройства для отправки журналов провайдеру. Система всегда в актуальном состоянии, всегда установлены все необходимые патчи, у вас всегда последняя версия. Мы могли бы продолжать вечно с такими же преимуществами.
Стоимость также может быть фактором . В зависимости от вашего уровня ведения журнала локальное хранение журналов может занять много места для хранения, а, как вы знаете, место для хранения стоит дорого. Конечно, затраты на ведение журнала в облаке также увеличиваются по мере использования большего объема хранилища, но, как правило, это более гибкий вариант.
Лучшие облачные службы регистрации
Мы провели поиск на рынке и нашли несколько лучших доступных сервисов регистрации. Их набор функций сильно различается, и вам определенно следует внимательно изучить их подробные характеристики, прежде чем отдавать предпочтение одному из них. Как и в случае с большинством других систем, лучшей будет та, которая лучше всего соответствует вашим конкретным потребностям. Не стесняйтесь воспользоваться предложениями бесплатной пробной версии, поскольку они позволят вам из первых рук увидеть, как каждый инструмент взаимодействует с вашей средой.
1. SolarWinds Loggly (БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД)
Имя SolarWinds стало нарицательным среди сетевых администраторов. Он создает одни из лучших инструментов за почти 20 лет, предлагая нам отличный инструмент для мониторинга пропускной способности и один из лучших анализаторов и сборщиков NetFlow. Портфель продуктов и услуг компании значительно расширился за последние несколько лет за счет приобретения нескольких отличных продуктов.
Loggly - одно изприобретений SolarWinds . В первую очередь консолидатор журналов, он также предлагает функции анализа журналов. Благодаря тому, что эта система является облачной службой, она не требует установки и готова к использованию с той минуты, когда вы подпишетесь. Единственное, что вам нужно сделать, это настроить ваши системы и устройства для загрузки их журналов на онлайн-сервер.
SolarWinds Loggly преобразует полученные данные журнала в стандартный формат, тем самым позволяя своему анализатору обрабатывать записи из различных источников и обеспечивая отслеживание и корреляцию событий во всех системах, независимо от их операционной системы или технологии регистрации. Источники данных журнала не ограничиваются вашими локальными серверами. Сервис также способен обрабатывать журналы, созданные облачными сервисами, такими как Amazon AWS или Microsoft Azure, и может включать сообщения, созданные конкретными приложениями, такими как Docker и Logstash, и это лишь некоторые из них.
SolarWinds Loggly услуга доступна в три различных планах, с увеличением перерабатывающих ограничений и времена удерживания данных. Вам нужно выбрать правильный, чтобы у вас было достаточно места для данных журнала. План начального уровня называется Loggly Lite . Это бесплатно. По этому плану вы можете загружать 200 МБ данных журнала в день, и система будет хранить каждую запись в течение семи дней. Далее идет стандартный план, который дает вам разрешение на загрузку в размере 1 ГБ в день и сохраняет записи в течение 30 дней. Платные планы также позволяют использовать несколько учетных записей пользователей. В стандартном пакете у вас может быть три учетных записи пользователя. Верхний уровень называется Loggly Enterprise.. Он не имеет ограничений на количество учетных записей пользователей, которые вы можете настроить, а цены варьируются в зависимости от объема загрузки и требуемого периода хранения. Оплата всех платных планов может быть ежемесячной или ежегодной, а для стандартного плана доступна бесплатная 14-дневная пробная версия .
2. SolarWinds Papertrail (ДОСТУПЕН БЕСПЛАТНЫЙ ПЛАН)
Еще сравнительно недавно SolarWinds приобретение Papertrail , популярный сервис регистрации. Он объединяет файлы журналов из широкого спектра популярных продуктов, таких как Apache или MySQL, а также приложений Ruby on Rails, различных служб облачного хостинга и других стандартных файлов системного журнала и текстовых журналов. Затем пользователи Papertrail могут использовать веб-интерфейс поиска или инструменты командной строки для поиска в этих файлах и диагностики различных проблем. Инструмент также интегрируется с другими продуктами SolarWinds, такими как Librato и Geckoboard, для построения графиков результатов.
Papertrail - это облачное программное обеспечение как услуга (SaaS) от компании SolarWinds . Облачность означает, что она будет отлично работать практически в любой среде. Платформа, простая в реализации, использовании и понимании, обеспечит мгновенный обзор всех систем за считанные минуты. Кроме того, продукт имеет очень эффективную поисковую систему, которая может выполнять поиск как в сохраненных, так и в потоковых журналах. И это молниеносно.
Papertrail доступен по нескольким планам, включая бесплатный. Однако он несколько ограничен и позволяет хранить только 100 МБ журналов в месяц. Однако в первый месяц будет доступно 16 ГБ журналов, что эквивалентно предоставлению вам бесплатной 30-дневной пробной версии. Платные планы начинаются с 7 долларов в месяц за 1 ГБ журналов в месяц, 1 год архивации и 1 неделю индексации. Фильтрация шума позволяет инструменту сохранять данные, не сохраняя ненужные журналы.
3. LogDNA
LogDNA утверждает, что это «самая быстрая, интуитивно понятная и экономичная система управления журналами ». Это смелое заявление, но оно, как правило, соответствует действительности. С самого начала установка продукта занимает всего пару минут, прежде чем вы сможете начать сбор и мониторинг журналов. Независимо от того, как создаются и передаются журналы, в продукте доступны сотни настраиваемых схем интеграции, которые помогут вам централизовать журналы в одном месте.
LogDNA отличается от предыдущих записей, поскольку он доступен либо в облачной службе, либо в автономной версии программного обеспечения, в зависимости от ваших предпочтений. Это хорошо масштабируемый продукт, который может обрабатывать сотни тысяч журналов в секунду и десятки терабайт в день, предлагая при этом максимальную безопасность, а также анализ журналов в реальном времени. И компания, и ее продукты соответствуют стандартам SOC2, PCI и HIPAA, а также имеют сертификат Privacy Shield.
Простая модель ценообразования LogDNA с оплатой за гигабайт исключает контракты и фиксированное распределение данных, что обеспечивает одну из самых низких совокупных затрат на владение среди всех платных решений для мониторинга и управления журналами. Доступно несколько планов подписки с расширяющимися функциями. План нижнего уровня является бесплатным, а цены на платные планы варьируются от 1,50 доллара за ГБ в месяц до 3 долларов за ГБ в месяц в зависимости от продолжительности хранения и количества пользователей. Также доступна бесплатная, полнофункциональная и неограниченная 14-дневная пробная версия.
4. Логика сумо.
Sumo Logic - наш следующий соперник на арене облачных сервисов регистрации. Продукт был создан для агрегирования больших объемов данных журнала практически из любого источника. Но сбор данных журнала - это только начало. Служба также может помочь вам использовать собранные данные для мониторинга производительности, улучшения приложений и, возможно, даже для решения проблем безопасности и соответствия требованиям.
Служба Sumo Logic нового поколения для управления журналами и анализа машинных данных позволяет получить полезные сведения о приложениях и операциях инфраструктуры, значительно снижая сложность и стоимость. Sumo Logic утверждает, что предоставляет единственную облачную платформу для анализа машинных данных в реальном времени, которая обеспечивает непрерывный интеллект.
Sumo Logic доступен в трех разных тарифных планах. Есть бесплатный план, предназначенный для отдельных лиц и команд, желающих опробовать Sumo Logic для небольших проектов в течение неограниченного периода времени. Далее идет профессиональный план из расчета 90 долларов в месяц за 1 ГБ данных ежедневного журнала. И наверху у вас есть полнофункциональный план Enterprise по цене 150 долларов в месяц за 1 ГБ данных ежедневного журнала в среднем. Обратите внимание, что 30-дневная пробная версия доступна для обоих платных планов.
5. Датадог
Последним в нашем списке идет Datadog , инструмент для ведения журналов в гибридном облаке, который может помочь вам собрать необходимые метрики и обеспечить улучшенную видимость вашей среды. Одна из лучших особенностей инструмента - это его политики динамического индексирования. Они значительно упрощают и ускоряют проверку больших объемов журналов и управление ими.
Хотя Datadog в первую очередь предназначен для групп разработки и эксплуатации, которые готовят приложения к выходу на рынок, это также отличный сервис для мониторинга журналов в типичных бизнес-средах. Одним из недостатков продукта, по мнению некоторых пользователей, является сложность первоначальной настройки. Но если вы правильно оправдаете свои ожидания и не планируете использовать сервис через несколько минут после запуска, все будет в порядке. Независимо от того, что и несмотря на свои незначительные особенности, это отличное и надежное решение.
Datalog предлагает мониторинг инфраструктуры, а также мониторинг производительности приложений в дополнение к службам управления журналами. Компонент управления журналами предлагается по конкурентоспособной цене и предлагается в трех вариантах. 1,91 долл. США в месяц за миллион событий журнала обеспечит хранение данных в течение 7 дней, 2,55 долл. США в месяц за миллион событий журнала - до 15 дней, в то время как на верхнем уровне, при 375 долл. США в месяц за миллион событий журнала, срок хранения составляет 30 дней. Эти цены значительно ниже, если вы выбираете годовое выставление счетов, а также доступна 30-дневная бесплатная пробная версия.
Рынок программного обеспечения для управления сетью очень переполнен. Сократите свой поиск, следуя нашим рекомендациям по лучшим инструментам управления сетью.
Проверка связи может быть использована в ваших интересах многими способами. Читайте дальше, пока мы обсуждаем, как и представляем 10 лучших инструментов проверки Ping, которые вы можете найти.
Веб-сайты важны и должны постоянно контролироваться для адекватной работы. Вот некоторые из лучших инструментов для мониторинга веб-сайтов.
Вот некоторые из лучших инструментов для развертывания программного обеспечения, которые облегчают управление любым количеством машин.
Если вы работаете в сфере здравоохранения или каким-либо образом связаны с ИТ в этой отрасли, скорее всего, вы слышали о HIPAA. Переносимость медицинского страхования
sFlow - это протокол анализа потока, который встроен во многие сетевые устройства. Мы рассматриваем пятерку лучших бесплатных сборщиков и анализаторов sFlow.
Чтобы помочь вам выбрать правильный, мы представили лучшие инструменты безагентного мониторинга инфраструктуры и дали вам быстрый обзор каждого из них.
Безопасность электронной почты - важная задача поставщиков управляемых услуг. Мы рассматривали SolarWinds Mail Assure, один из лучших инструментов для этой цели.
Для сетевого монитора Windows требуются инструменты с ограниченными требованиями. Сегодня мы познакомились с лучшими инструментами сетевого мониторинга для Windows 10.
Чтобы помочь вам разобраться в лабиринте инструментов, доступных для устранения неполадок в сети, мы раскрыли наш выбор лучших инструментов для устранения неполадок в сети.
