8 лучших инструментов для мониторинга журналов и программного обеспечения для анализа на 2021 год

Файлы журнала присутствуют практически на каждой компьютерной системе или сетевом устройстве. Они содержат подробную информацию о событиях, происходящих в каждой системе. Они могут оказаться бесценными при устранении различных проблем. Они также могут обнаруживать злонамеренные действия и, следовательно, могут стать полезным средством обеспечения безопасности. Но у кого есть время хотя бы посмотреть файлы журналов? Типичный администратор управляет десятками устройств, некоторые из которых регистрируют несколько событий каждую секунду, поэтому никто не сможет их отслеживать. Вот почему были изобретены инструменты мониторинга журналов. Они объединяют все журналы событий в одном месте и часто предоставляют инструменты и службы анализа, которые просматривают журналы и генерируют предупреждения всякий раз, когда наблюдается что-то необычное. Доступно множество различных инструментов для мониторинга журналов, и выбор лучшего может оказаться сложной задачей.

Мы начнем обсуждение с изучения системных журналов, того, что они такое и как работают. Далее поговорим о журналах мониторинга. Как и раньше, мы посмотрим, что это значит и как это делается. Затем мы предоставим вам более подробную информацию об анализе журналов, поскольку это функция, которая делает инструменты мониторинга журналов наиболее полезными. Как и раньше, мы опишем, что это такое, и различные доступные формы анализа. Наконец, мы рассмотрим некоторые из самых лучших инструментов мониторинга журналов, которые мы смогли найти, и расскажем вам об их основных функциях.

Системные журналы в двух словах

В одном предложении файл журнала или системный журнал - это файл, в котором записываются события, происходящие в операционной системе или другом программном обеспечении. Ведение журнала - это процесс ведения системного журнала. В простейшем случае сообщения просто записываются в один файл журнала. В то время как большинство систем в основном используют текстовые файлы для регистрации событий, некоторые современные системы используют некоторую форму базы данных для их регистрации.

Независимо от того, как и где регистрируются события, некоторые системы позволяют вам определять требуемый уровень ведения журнала. Это особенно верно в отношении сетевого оборудования, где каждое событие имеет уровень серьезности, а параметры ведения журнала могут быть настроены так, чтобы регистрировать только событие определенного уровня серьезности или выше. Другие типы систем также предоставляют аналогичные функции.

О журналах мониторинга

Журналы мониторинга - это процесс, состоящий из двух частей. Первая и самая важная часть - это сбор данных журнала из различных систем. Это достигается разными способами. Некоторые системы можно настроить для автоматической отправки журналов на централизованный сервер по протоколу Syslog. Инструменты мониторинга журналов обычно имеют встроенный сервер системного журнала для прямого получения данных о событиях. Другие системы, например Windows, работают иначе. Существуют различные способы получения данных журнала из этих систем, такие как использование инструментария управления Windows или использование локальных агентов, работающих на хостах Windows. Независимо от того, как это сделано, каждая система мониторинга журналов включает в себя необходимые функции для получения и консолидации данных журналов из нескольких источников.

Следующий шаг - анализ журнала

Вторая задача любого полезного инструмента мониторинга журналов - это анализ журналов. Вот где инструменты различаются больше всего. Некоторые предлагают только базовый анализ, такой как запуск предупреждения, когда количество событий в единицу времени достигает заданного порогового значения. Более продвинутые инструменты будут изучать каждое событие и искать конкретные признаки проблем. Например, большое количество неудачных попыток входа в систему может быть признаком продолжающейся попытки вторжения. Мы могли бы потратить страницы на описание различных доступных форм анализа журналов. Вместо этого мы приглашаем вас взглянуть на различные обзоры продуктов ниже, чтобы получить подробную информацию о том, что предлагает каждый из них.

Лучшие инструменты для мониторинга журналов

Как мы указывали ранее, существует множество различных инструментов с разной степенью функциональности. Не всем нужен инструмент с обширным анализом и функциями высокой безопасности, поэтому мы включили набор инструментов, которые предоставляют различные наборы функций. Некоторые из них являются более простыми инструментами, а другие более сложными. Вам решать, какой инструмент лучше всего подходит для ваших нужд. К счастью, для всех инструментов в нашем списке доступна бесплатная пробная версия, поэтому ничто не мешает вам попробовать несколько, что мы настоятельно рекомендуем.

1. Журнал SolarWinds и менеджер событий (бесплатная пробная версия)

SolarWinds - широко распространенное имя в мире мониторинга. Компания существует уже более 20 лет, и ее флагманский продукт, называемый Network Performance Monitor, многими признан одним из лучших доступных инструментов мониторинга SNMP. И, как будто этого было недостаточно, SolarWinds также известна своими многочисленными бесплатными инструментами. Это более мелкие инструменты, каждый из которых предназначен для конкретных нужд сетевых администраторов. Расширенный калькулятор подсети и TFTP-сервер SolarWinds - два отличных примера этих бесплатных инструментов.

Что касается SolarWinds Log & Event Manager (LEM) , это именно то, что подразумевает его название. Инструмент настолько многофункциональный, что многие считают его полноценным инструментом управления информацией и событиями безопасности. Когда дело доходит до мониторинга и управления журналами, это, вероятно, один из самых интересных инструментов управления журналами, которые вы можете найти. Он имеет очень полезные функции управления журналами и корреляции, а также впечатляющий механизм отчетности.

• БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД: журнал SolarWinds и менеджер событий
• Ссылка для скачивания: https://www.solarwinds.com/log-event-manager-software/registration

SolarWinds Log & Event - менеджер может помочь повысить уровень безопасности и соответствия путем выявления подозрительной активности и выявления угроз быстрее обнаружения событий времени подозрительной активности. Вы также можете использовать этот инструмент для проведения расследований событий безопасности и криминалистической экспертизы для смягчения последствий и соответствия требованиям. Эта особенность является причиной того, что многие рассматривают продукт как инструмент SIEM. Кроме того, этот инструмент помогает подготовиться к соблюдению нормативных требований. Вы можете использовать его для демонстрации соответствия благодаря проверенной аудитом отчетности по HIPAA, PCI DSS, SOX, DISA STIG и многим другим.

Функции реагирования на события в SolarWinds Log & Event Manager не оставляют желать лучшего. Подробная система реагирования в режиме реального времени будет активно реагировать на каждую угрозу. Основываясь на поведении, а не на анализе сигнатур, вы даже защищены от неизвестных или будущих угроз. Но панель инструментов, возможно, является его лучшим активом. Благодаря прост��му дизайну у вас не будет проблем с быстрым обнаружением аномалий.

Цена на SolarWinds Log & Event Manager зависит от количества отслеживаемых узлов. Различные уровни лицензий от 30 до 2500 узлов доступны по цене от 4 665 долларов. А если вы хотите опробовать продукт перед покупкой, вы можете загрузить бесплатную полнофункциональную 30-дневную пробную версию .

2. Менеджер журналов SolarWinds для Orion (бесплатная пробная версия)

Следующим в нашем списке идет еще один продукт от SolarWinds, который называется Log Manager for Orion . Orion, если вы не знакомы с продуктами SolarWinds, несколько лет назад была ведущей платформой компании. Это по-прежнему базовая архитектура, на которой построены многие из лучших продуктов SolarWinds. Если вы используете какой-либо из следующих компонентов: Монитор производительности сети, Анализатор трафика NetFlow, Диспетчер конфигурации сети, Диспетчер виртуализации, Монитор серверов и приложений или Монитор ресурсов хранилища, вы используете Orion.

• БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД: SolarWinds Log Manager для Orion
• Ссылка для скачивания: https://www.solarwinds.com/log-manager-for-orion-software/registration

Менеджер журналов SolarWinds для Orion добавляет возможности управления журналами к любому из инструментов мониторинга и управления на основе Orion. Таким образом, продукт отличается мощным и интуитивно понятным агрегированием журналов, тегами, фильтрацией и предупреждениями. Его интеграция с продуктами платформы Orion предлагает единое представление мониторинга ИТ-инфраструктуры и связанных журналов. Продукт был создан в сотрудничестве с сетевыми и системными инженерами, чтобы гарантировать понимание их проблем и способов их решения.

Несмотря на интеграцию с платформой Orion, Log Manager может быть установлен сам по себе и не требует установки какого-либо другого инструмента Orion. Цена начинается с 1 495 долларов США, и доступна бесплатная 30-дневная пробная версия, если вы хотите протестировать продукт и посмотреть, насколько он соответствует вашим потребностям.

3. PaperTrail (доступен бесплатный план)

Далее идет еще один продукт от SolarWinds под названием Papertrail . Этот очень отличается от двух предыдущих, так как это облачное предложение «Программное обеспечение как услуга» (SaaS). Этот мощный инструмент уже пользовался некоторой популярностью, когда его приобрела компания SolarWinds несколько лет назад. Он объединяет файлы журналов из множества продуктов, таких как Apache или MySQL, а также приложений Ruby on Rails, нескольких служб облачного хостинга и других стандартных текстовых файлов журналов.

• Зарегистрируйтесь здесь: https://papertrailapp.com/plans

Чтобы помочь диагностировать ошибки и проблемы с производительностью, вы можете использовать очень эффективную и молниеносную поисковую систему Papertrail, которая может выполнять поиск как в сохраненных, так и в потоковых журналах. Продукт интегрируется с несколькими другими продуктами SolarWinds, такими как Librato и Geckoboard, для построения графиков результатов. Papertrail также легко внедрить, использовать и понять. Он предоставит вам мгновенный обзор всех систем за считанные минуты.

Papertrail доступен по нескольким планам, включая бесплатный. Он несколько ограничен и позволяет только 50 МБ журналов в месяц. Однако в первый месяц будет доступно 16 ГБ журналов, что эквивалентно предоставлению вам бесплатной и неограниченной 30-дневной пробной версии. Платные планы начинаются с 7 долларов в месяц за 1 ГБ журналов в месяц, 1 год архивации и 1 неделю индексации. Тарифный план за 75 долларов в месяц с 8 ГБ журналов является самым популярным . Фильтрация шума позволяет инструменту сохранять данные, не сохраняя ненужные журналы.

4. PRTG Network Monitor.

PRTG Network Monitor от Paessler AG является интегрированным, все-в-одном система мониторинга , которая может быть использована для мониторинга практически ничего, благодаря своей умной архитектуре на основе датчиков. Одной из лучших особенностей этого продукта корпоративного уровня, безусловно, является его скорость настройки. По словам Паесслера, PRTG Network Monitor можно настроить всего за пару минут. Хотя это может быть не так быстро для всех, это по-прежнему один из самых простых и быстрых в настройке инструментов мониторинга, отчасти благодаря процессу автоматического обнаружения.

Network Monitor PRTG  является многофункциональным продуктом. По сути, это, прежде всего, инструмент сетевого мониторинга, который использует SNMP для опроса устройств и отображения использования их интерфейсов на хронологических графиках. Однако с помощью дополнительных датчиков PRTG может контролировать практически все. Датчики в чем-то похожи на надстройки, за исключением того, что они включены в продукт. Также доступны датчики для различных серверов, сервисов и приложений. Всего в продукте более 200 датчиков.

Для мониторинга и управления журналами доступны два разных датчика. В API Event Log Windows , датчик фиксирует все сообщения журнала , которые генерирует Windows. Этот датчик отслеживает частоту сообщений журнала, а не их содержимое, и генерирует сигнал тревоги, если частота сообщений журнала событий достигает критического порога.

Другой интересный датчик, датчик  приемника системного журнала , принимает, отслеживает и сохраняет сообщения системного журнала с любого устройства. Однако он не просто объединяет журналы из разных источников. Его функция мониторинга будет вызывать тревогу при возникновении тревожных условий, таких как увеличение скорости приема журнала.

Network Monitor PRTG доступен в двух версиях. Бесплатная версия является полнофункциональной, но она ограничивает ваши возможности мониторинга до 100 датчиков. При использовании SNMP каждый отслеживаемый параметр считается одним датчиком. Например, если вы отслеживаете два интерфейса на маршрутизаторе, это будет считаться двумя датчиками. Каждый экземпляр определенного датчика мониторинга также считается за один. Если вам нужно более 100 датчиков, вам необходимо приобрести лицензию, которая начинается с 1600 долларов за 500 датчиков. Доступна бесплатная 30-дневная полнофункциональная пробная версия с неограниченным количеством датчиков.

5. Анализатор журнала событий ManageEngine

ManageEngine - еще один известный производитель инструментов сетевого администрирования среди ИТ-специалистов. Компания предлагает систему управления журналами под названием ManageEngine EventLog Analyzer . Продукт собирает, управляет, анализирует, сопоставляет и просматривает данные журналов из более чем 700 источников, используя комбинацию или сбор журналов без агентов и на основе агентов, а также импорт журналов.

Возможности ManageEngine EventLog Analyzer впечатляют. Он может обрабатывать данные журнала со скоростью до 25 000 журналов в секунду и обнаруживать атаки в режиме реального времени. Инструмент также может быстро выполнять криминалистический анализ, тем самым снижая потенциальное воздействие взлома. Возможности аудита системы распространяются на журналы устройств периметра сети, действия пользователей, изменения учетной записи сервера, доступ пользователей и многое другое, помогая вам удовлетворить потребности в аудите безопасности.

Корреляция журнала событий в реальном времени мгновенно обнаруживает попытки атак и отслеживает потенциальные угрозы безопасности, сопоставляя данные журнала с более чем 30 предопределенными правилами для обнаружения атак методом грубой силы, блокировок учетных записей, кражи данных, атак веб-серверов и многого другого. Он также имеет настраиваемый анализатор журнала, который может извлекать поля из любого удобочитаемого формата журнала. Продукт действительно представляет собой единую консоль для просмотра всех данных журнала безопасности.

Журнал событий Анализатор ManageEngine доступен в художественном восстановленное бесплатной версии , которая поддерживает только 5 источников журналов или в премиум издание , которое начинается от $ 595 и изменяется в зависимости от количества устройств и приложений. Также доступна бесплатная полнофункциональная 30-дневная пробная версия.

6. Graylog

Graylog - это бесплатная платформа для управления журналами с открытым исходным кодом и множеством интересных функций. Инструмент может анализировать и дополнять журналы и данные о событиях практически из любого источника данных. Его конвейеры обработки обеспечивают некоторую гибкость в маршрутизации, внесении в черный список, изменении и обогащении сообщений в режиме реального времени. Инструмент будет искать и анализировать важную информацию в терабайтах данных журнала. Его мощный и довольно уникальный синтаксис поиска позволяет найти именно то, что вы ищете.

С Graylog у вас есть возможность создавать настраиваемые информационные панели, которые позволяют визуализировать определенные показатели и наблюдать за тенденциями из одного центра. Вы можете использовать статистику полей, быстрые значения и диаграммы со страницы результатов поиска для детализации и более глубокого анализа ваших данных. Кроме того, продукт предлагает возможность запускать действия или выдавать уведомления о таких событиях, как неудачные попытки входа в систему, исключения или снижение производительности.

Graylog доступна как бесплатная ограниченная версия с открытым исходным кодом, которая также имеет ограниченную поддержку. Также существует корпоративная версия с расширенными функциями и неограниченной поддержкой. Это также бесплатно для журналов объемом до 5 ГБ в день. В зависимости от того, насколько велика и загружена ваша сеть. Этого может хватить для ваших нужд. Цены на лицензии и поддержку можно получить, связавшись с отделом продаж Graylog .

7. Пакет управления журналами WhatsUp

WhatsUp Log Management Suite является отличным инструментом из Ipswitch. Ipswitch, нужно ли вам напомнить, это компания, стоящая за WhatsUp Gold, суперпопулярным инструментом для мониторинга сети. Это автоматизированный инструмент, который собирает, хранит, архивирует и сохраняет системные журналы, события Windows и журналы W3C / IIC. Тем не менее, он не просто объединяет журналы и события, его непрерывное наблюдение и анализ журналов предупредит вас о любой ненормальной активности.

Management Suite WhatsUp журнал будет следовать часто проверенному событию , таких как права доступа и файл, права доступа к папкам и объектов и генерировать оповещения по мере необходимости. Он также использует собранные события для создания отчетов о соответствии требованиям HIPAA, SOX, FISMA, PCI, MiFID или Basel II. Это программное обеспечение также может помочь преобразовать необработанные данные журнала в значимую информацию для менеджеров или групп ИТ-безопасности, используя свои мощные функции автоматической фильтрации, корреляции, отчетности и преобразования.

Люкс WhatsUp Log Management фактически набор приложений , которые включают в себя следующие инструменты:

• Архиватор событий : этот инструмент автоматизирует сбор, очистку и консолидацию журналов.
• Тревога по событию : инструмент для мониторинга файлов журналов и получения уведомлений о ключевых событиях в режиме реального времени.
• Event Analyst : анализирует и составляет отчеты по данным журнала и тенденциям; автоматически рассылает отчеты руководству, сотрудникам службы безопасности, аудиторам и другим заинтересованным сторонам.
• Event Rover : унифицированная консоль для углубленной криминалистической экспертизы на всех серверах и рабочих станциях для повышения эффективности и экономии времени.

Информация о ценах на Log Management Suite недоступна в Ipswitch. Продукт можно приобрести напрямую у издателя или через сеть торговых посредников Ipswitch. Разумеется, доступна и бесплатная пробная версия.

8. LogDNA

LogDNA считается « самой быстрой, интуитивно понятной и экономичной системой управления журналами ». Это, как правило, правда. С самого начала установка продукта занимает всего пару минут, прежде чем вы сможете начать сбор и мониторинг журналов. Независимо от того, как создаются и передаются журналы, в продукте доступны сотни настраиваемых схем интеграции, которые помогут вам централизовать журналы в одном месте.

LogDNA доступна в облачной или автономной версии, в зависимости от ваших предпочтений. Это хорошо масштабируемый продукт, который может обрабатывать сотни тысяч журналов в секунду и десятки терабайт в день, предлагая при этом максимальную безопасность, а также анализ журналов в реальном времени. И компания, и ее продукты соответствуют стандартам SOC2, PCI и HIPAA, а также имеют сертификат Privacy Shield.

Простая модель ценообразования LogDNA с оплатой за гигабайт исключает контракты и фиксированное распределение данных, что обеспечивает одну из самых низких совокупных затрат на владение среди всех платных решений для мониторинга и управления журналами. Доступно несколько планов подписки с расширяющимися функциями. План нижнего уровня является бесплатным, а цены на платные планы варьируются от 1,50 доллара за ГБ в месяц до 3 долларов за ГБ в месяц в зависимости от продолжительности хранения и количества пользователей. Также доступна бесплатная, полнофункциональная и неограниченная 14-дневная пробная версия.