6 công cụ quản lý nhật ký tốt nhất cho Linux năm 2021

Với các hệ thống ngày nay tạo ra rất nhiều dữ liệu ghi nhật ký, không có gì ngạc nhiên khi các quản trị viên luôn tìm kiếm các giải pháp quản lý nhật ký. Nhật ký, theo mặc định, thường được lưu trữ cục bộ. Điều này có ý nghĩa vì nó giúp dễ dàng liên kết chúng với nguồn của chúng. Nhưng khi cố gắng khắc phục sự cố và tìm ra nguyên nhân gốc rễ của chúng, đôi khi chúng tôi phải xem xét nhiều tệp nhật ký trên nhiều thiết bị. Sẽ thật tuyệt nếu tất cả nhật ký từ tất cả các thiết bị được lưu trữ ở một nơi tập trung? Đây là mục đích của quản lý nhật ký . Và nếu nền tảng bạn chọn là Linux, thì có rất nhiều tùy chọn. Đọc tiếp khi chúng tôi khám phá một số quản lý nhật ký tốt nhất cho Linux

Chúng tôi sẽ bắt đầu bằng cách xác định quản lý nhật ký. Bạn sẽ thấy rằng nó có thể nhiều hơn một chút so với việc chỉ tập trung vào việc lưu trữ nhật ký. Tiếp theo, chúng ta sẽ thảo luận về các công nghệ ghi nhật ký khác nhau . Chúng là nền tảng của quản lý nhật ký và nó có thể sẽ không tồn tại nếu không có chúng. Tiếp tục, chúng tôi sẽ phân biệt các máy chủ nhật ký hệ thống với các hệ thống quản lý nhật ký và nhận ra rằng không có ranh giới rõ ràng giữa chúng. Tiếp theo, chúng ta sẽ tạm dừng một thời gian ngắn và thảo luận về hệ thống Quản lý sự kiện và Thông tin bảo mật . Chúng là một loại hệ thống khác thường bị nhầm lẫn với quản lý nhật ký, do định nghĩa hơi rõ ràng của từng loại. Và cuối cùng, chúng tôi sẽ xem xét cách quản lý nhật ký tốt nhất cho Linux.

Quản lý nhật ký là gì?

Trước khi chúng ta có thể nói về quản lý nhật ký, chúng ta hãy định nghĩa nhật ký là gì. Được định nghĩa đơn giản, nhật ký là tài liệu được tạo tự động và đóng dấu thời gian về một sự kiện liên quan đến một hệ thống cụ thể. Nói cách khác, bất cứ khi nào một sự kiện diễn ra trên hệ thống, một bản ghi sẽ được tạo ra. Hệ thống và thiết bị sẽ tạo nhật ký cho các loại sự kiện khác nhau và nhiều hệ thống cung cấp cho quản trị viên quyền kiểm soát ở một mức độ nào đó đối với sự kiện nào tạo ra nhật ký và sự kiện nào không.

Đối với quản lý nhật ký, Nó chỉ đơn giản là đề cập đến các quy trình và chính sách được sử dụng để quản lý và tạo điều kiện thuận lợi cho việc tạo, truyền, phân tích, lưu trữ, lưu trữ và xử lý khối lượng lớn dữ liệu nhật ký. Mặc dù không được nêu rõ ràng, quản lý nhật ký ngụ ý một hệ thống tập trung, nơi các nhật ký từ nhiều nguồn được thu thập. Tuy nhiên, quản lý nhật ký không chỉ là thu thập nhật ký. Đây là phần quản lý là quan trọng nhất. Và hệ thống quản lý nhật ký thường có nhiều chức năng, thu thập nhật ký chỉ là một trong số chúng.

Sau khi hệ thống quản lý nhật ký nhận được nhật ký, chúng cần được chuẩn hóa thành một định dạng chung vì các hệ thống khác nhau định dạng nhật ký khác nhau và bao gồm các dữ liệu khác nhau. Một số bắt đầu nhật ký bằng ngày và giờ, một số bắt đầu nhật ký bằng số sự kiện. Một số chỉ bao gồm ID sự kiện trong khi những người khác bao gồm mô tả toàn văn về sự kiện. Một trong những mục đích của hệ thống quản lý nhật ký là đảm bảo rằng tất cả các mục nhật ký đã thu thập được lưu trữ ở một định dạng thống nhất. Điều này sẽ tương quan sự kiện và tìm kiếm cuối cùng dễ dàng hơn nhiều.

Ngay cả tương quan và tìm kiếm là hai chức năng chính bổ sung của một số hệ thống quản lý nhật ký. Điều tốt nhất trong số họ có một công cụ tìm kiếm mạnh mẽ cho phép quản trị viên truy cập chính xác những gì họ cần. Các chức năng tương quan sẽ tự động nhóm các sự kiện liên quan, ngay cả khi chúng đến từ các nguồn khác nhau. Hệ thống quản lý nhật ký khác nhau hoàn thành như thế nào và thành công như thế nào là một yếu tố khác biệt chính.

CŨNG ĐỌC: 15 công cụ giám sát mạng tốt nhất (Đánh giá riêng của chúng tôi)

Công nghệ ghi nhật ký

Quản lý nhật ký sẽ khó hơn nhiều, thậm chí có thể không thực hiện được, nếu không có các giao thức ghi nhật ký. Một vài trong số chúng tồn tại. Họ xác định dữ liệu nào sẽ được đưa vào nhật ký, cách định dạng dữ liệu đó và đôi khi, cách chúng được truyền giữa các hệ thống.

Syslog được cho là giao thức ghi nhật ký được sử dụng nhiều nhất , đặc biệt là trong thế giới Linux. Công nghệ này được phát minh vào đầu những năm 80 và đã trở thành tiêu chuẩn thực tế cho tất cả các hệ thống giống Unix. Một trong những tài sản lớn nhất của công nghệ nhật ký hệ thống là cách nó tạo điều kiện phân tách giữa hệ thống hoặc phần mềm tạo ra nhật ký, hệ thống lưu trữ chúng và phần mềm báo cáo và phân tích chúng. Sử dụng công nghệ Syslog giúp quản lý nhật ký dễ dàng hơn nhiều. Và Syslog không phải là độc quyền của Unix. Nhiều thiết bị không phải Unix như thiết bị chuyển mạch, bộ định tuyến và tất cả các loại thiết bị của nhiều nhà cung cấp sử dụng một biến thể của giao thức nhật ký hệ thống.

Có các công nghệ ghi nhật ký khác. Ví dụ, Microsoft Windows sử dụng một hệ thống ghi nhật ký khác. Nó có thể liên quan đến thực tế là hệ điều hành Windows và các ứng dụng có nhật ký thường chứa nhiều thông tin chi tiết hơn so với giấy phép của công nghệ Syslog. May mắn thay, các chức năng Windows Event Collector cung cấp một phương tiện để quản lý nhật ký mà các hệ thống khác nhau có thể sử dụng để nhận các sự kiện từ các máy chủ Windows. Bài đăng này nói về quản lý nhật ký Linux, vì vậy chúng ta đừng lãng phí quá nhiều thời gian trên Windows.

Bất kể công nghệ ghi nhật ký được sử dụng là gì, một phần quan trọng của quản lý nhật ký là cấu hình thiết bị để gửi nhật ký của chúng đến hệ thống quản lý. Các loại công cụ khác như hệ thống giám sát mạng có thể lấy dữ liệu từ hệ thống mà chúng giám sát nhưng với quản lý nhật ký, mỗi thiết bị phải được “cho biết” nơi gửi nhật ký của nó. Tuy nhiên, nó là một nhiệm vụ tương đối đơn giản thường được thực hiện bằng cách đưa ra một lệnh đơn giản.

ĐỌC THÊM:  Phần mềm lập bản đồ mạng và cấu trúc liên kết tốt nhất

Máy chủ ghi nhật ký hoặc quản lý nhật ký?

Vì nó đã có sẵn trên mọi hệ thống giống Unix — bao gồm cả Linux — trong một thời gian khá dài, Syslog thường được sử dụng như một máy chủ ghi nhật ký với một máy tính nhận dữ liệu Syslog từ một số máy tính khác. Mặc dù việc lưu trữ tập trung các bản ghi này có những ưu điểm nhất định, nhưng nó vẫn chưa đủ để được gọi là quản lý nhật ký.

Để xứng đáng với tên Hệ thống quản lý nhật ký, một sản phẩm phải bao gồm ít nhất một số chức năng nâng cao hơn. Theo Wikipedia, “quản lý nhật ký bao gồm các chức năng sau: thu thập nhật ký, tổng hợp nhật ký tập trung, lưu trữ và lưu giữ nhật ký dài hạn, luân chuyển nhật ký, phân tích nhật ký, tìm kiếm nhật ký và báo cáo”. Ồ! Đó là rất nhiều chức năng. Mặt khác, máy chủ nhật ký thường chỉ cung cấp bộ sưu tập và lưu trữ nhật ký và hiếm khi hơn thế.

Một Lời (Hoặc Hai) Về SIEM

Một công nghệ phổ biến khác có liên quan đến nhật ký và thường bị nhầm lẫn với hệ thống quản lý nhật ký là Quản lý sự kiện và thông tin bảo mật, hoặc SIEM. Điều này khác với quản lý nhật ký nhưng nó có liên quan chặt chẽ. Ranh giới giữa chúng rất mỏng nên một số sản phẩm được quảng cáo là hệ thống quản lý nhật ký thực sự là hệ thống SIEM trong khi một số hệ thống SIEM cơ bản không hơn gì hệ thống quản lý nhật ký nâng cao.

Sự nhầm lẫn bắt nguồn từ thực tế rằng quản lý nhật ký - hoặc ít nhất, phân tích nhật ký - là một thành phần quan trọng của hệ thống SIEM. Điều khác biệt giữa các hệ thống SIEM là chúng thực hiện phân tích nhật ký với mục tiêu cuối cùng là xác định các vấn đề bảo mật. Chẳng hạn, họ sẽ tìm kiếm các dấu hiệu đăng nhập không thành công, đây có thể là dấu hiệu cho thấy một nỗ lực xâm nhập trái phép . Các hệ thống này liên tục quét các mục nhật ký để tìm kiếm bất kỳ điều gì khác thường . Trong khi một số hệ thống SIEM bao gồm các tính năng quản lý nhật ký mở rộng, một số sử dụng hệ thống quản lý nhật ký bên ngoài và không có gì lạ khi thấy cả hai hệ thống chạy song song với nhau.

BÀI ĐỌC LIÊN QUAN:  Máy quét IP tốt nhất cho Mac

Quản lý nhật ký tốt nhất cho Linux

Hy vọng rằng bây giờ chúng ta đã có hiểu biết chung về quản lý nhật ký là gì và quản lý nhật ký là gì. Vì vậy, chúng ta hãy xem xét những gì có sẵn cho Linux. Nhưng trước tiên, chúng ta hãy làm rõ điều gì đó. Khi đề cập đến quản lý nhật ký Linux, ý chúng tôi là hệ thống quản lý nhật ký có thể chứa nhật ký Linux và sẽ chạy trên nền tảng Linux hoặc trên đám mây. Một số lựa chọn của chúng tôi — đặc biệt là các hệ thống dựa trên đám mây — cũng sẽ hoạt động với nhật ký từ các nền tảng khác.

1. SolarWinds Papertrail (CÓ KẾ HOẠCH MIỄN PHÍ)

SolarWinds đã trở thành một cái tên quen thuộc trong giới quản trị mạng. Nó tạo ra một số công cụ tốt nhất trong gần 20 năm, mang đến cho chúng tôi các công cụ giám sát băng thông tuyệt vời và một trong những bộ phân tích và thu thập NetFlow tốt nhất. Công ty cũng nổi tiếng với việc xuất bản một số công cụ miễn phí giải quyết một số nhu cầu cụ thể của quản trị viên mạng như máy tính mạng con hoặc máy chủ nhật ký hệ thống.

• KẾ HOẠCH MIỄN PHÍ: SolarWinds Papertrail
• Liên kết tải xuống chính thức: https://papertrailapp.com/plans

Cách đây không lâu, SolarWinds đã mua lại Papertrail , một hệ thống quản lý nhật ký phổ biến. Nó tổng hợp các tệp nhật ký từ nhiều sản phẩm phổ biến như Apache hoặc MySQL cũng như các ứng dụng Ruby on Rails, các dịch vụ lưu trữ đám mây khác nhau và các tệp nhật ký dựa trên văn bản và nhật ký hệ thống tiêu chuẩn khác. Sau đó, người dùng Papertrail có thể sử dụng giao diện tìm kiếm dựa trên web hoặc các công cụ dòng lệnh để tìm kiếm thông qua các tệp này nhằm giúp chẩn đoán các vấn đề khác nhau. Papertrail cũng tích hợp với các sản phẩm SolarWinds khác như Librato và Geckoboard để có kết quả vẽ đồ thị.

Papertrail là một phần mềm như một dịch vụ (SaaS) dựa trên đám mây do SolarWinds cung cấp. Dựa trên đám mây có nghĩa là nó sẽ hoạt động tốt trong môi trường toàn hệ điều hành Linux. Nền tảng này dễ triển khai, sử dụng và dễ hiểu, và nó sẽ cung cấp cho bạn khả năng hiển thị tức thì trên tất cả các hệ thống trong vòng vài phút. Hơn nữa, sản phẩm có một công cụ tìm kiếm rất hiệu quả có thể tìm kiếm cả nhật ký được lưu trữ và phát trực tuyến. Và nó nhanh như chớp.

Papertrail có sẵn theo một số gói bao gồm cả gói miễn phí . Tuy nhiên, nó có phần hạn chế và chỉ cho phép 100 MB nhật ký mỗi tháng. Tuy nhiên, nó sẽ cho phép 16 GB nhật ký trong tháng đầu tiên, tương đương với việc cung cấp cho bạn bản dùng thử miễn phí 30 ngày . Các gói trả phí bắt đầu từ $ 7 / tháng cho 1GB / tháng nhật ký, 1 năm lưu trữ và 1 tuần lập chỉ mục. Tính năng lọc nhiễu cho phép công cụ bảo toàn dữ liệu bằng cách không lưu các bản ghi vô ích.

2. Loggly

Loggly là một dịch vụ trực tuyến dựa trên đám mây khác. Chủ yếu là một công cụ hợp nhất nhật ký, nó cũng cung cấp chức năng phân tích nhật ký. Vì dựa trên nền tảng đám mây, hệ thống này không cần cài đặt và sẵn sàng sử dụng ngay khi bạn đăng ký. Tất nhiên, các hệ thống và thiết bị của bạn sẽ cần được định cấu hình để tải lên định kỳ các tệp nhật ký tiêu chuẩn của chúng lên máy chủ trực tuyến.

• DÙNG THỬ MIỄN PHÍ: Gói Loggly
• Liên kết chính thức: https://www.loggly.com

Loggly sau đó chuyển đổi dữ liệu nhật ký nhận được thành định dạng chuẩn, do đó cho phép máy phân tích xử lý hồ sơ từ nhiều nguồn khác nhau và cho phép theo dõi sự kiện và mối tương quan trên tất cả các hệ thống, bất kể hệ điều hành hoặc công nghệ ghi nhật ký của chúng. Các nguồn dữ liệu nhật ký không giới hạn ở các máy chủ tại chỗ của bạn. Tất nhiên, hệ thống này có thể xử lý nhật ký được tạo bởi các máy chủ trực tuyến, chẳng hạn như AWS của Amazon và nó có thể bao gồm các thông báo được tạo bởi các ứng dụng cụ thể như Docker và Logstash.

Các Loggly dịch vụ được phát hành theo ba phương án khác nhau, với sự gia tăng giới hạn xử lý dữ liệu và thời gian lưu. Bạn cần chọn đúng để cung cấp đủ dung lượng cho dữ liệu nhật ký của mình. Gói đầu vào được gọi là Loggly Lite. Nó là miễn phí để sử dụng. Theo kế hoạch này, bạn có thể tải lên 200 MB dữ liệu nhật ký mỗi ngày và hệ thống sẽ lưu giữ mỗi bản ghi trong bảy ngày. Tiếp theo là gói Standard cung cấp cho bạn dung lượng tải lên là 1 GB mỗi ngày và lưu giữ các bản ghi trong 30 ngày. Các gói trả phí cũng cho phép bạn sử dụng nhiều tài khoản người dùng. Với gói Standard, bạn có thể có ba tài khoản người dùng. Cấp cao nhất được gọi là Loggly Enterprise. Nó không có giới hạn về số lượng tài khoản người dùng mà bạn có thể thiết lập và giá cả khác nhau tùy thuộc vào dung lượng tải lên và khoảng thời gian lưu giữ mà bạn yêu cầu. Thanh toán cho tất cả các gói trả phí có thể là hàng tháng hoặc hàng năm và bản dùng thử miễn phí 14 ngày có sẵn trên gói Tiêu chuẩn .

3. Splunk

Splunk là một hệ thống nổi tiếng - trong cộng đồng quản trị hệ thống - hệ thống quản lý nhật ký toàn diện dành cho Linux, Mac OS và Windows. Không chỉ là một hệ thống quản lý nhật ký cơ bản, một số còn coi nó là một hệ thống phòng chống xâm nhập chính thức. Sản phẩm có sẵn trong ba phiên bản. Đứng đầu là Splunk Enterprise , là một hệ thống quản lý mạng hơn là một công cụ quản lý nhật ký. Giá bắt đầu từ $ 173 mỗi tháng và bạn nhận được rất nhiều chức năng.

Ngoài ra còn có một phiên bản miễn phí của Splunk , về cơ bản là cùng một công cụ nhưng không có một số chức năng tiên tiến nhất của nó. Về bản chất, nó bị hạn chế để phân tích tệp nhật ký. Bạn có thể cung cấp bất kỳ tệp nhật ký tiêu chuẩn nào của mình hoặc gửi dữ liệu trực tiếp qua tệp vào máy phân tích. Phiên bản miễn phí có một số hạn chế. Chẳng hạn, nó có thể chỉ có một tài khoản người dùng và thông lượng dữ liệu của nó bị giới hạn ở 500 MB nhật ký mỗi ngày. Chức năng sắp xếp và lọc dữ liệu được tích hợp trong Splunk, tạo điều kiện thuận lợi cho nỗ lực khắc phục sự cố của bạn. Bạn có thể sử dụng các tính năng này để phân chia các bản ghi nhật ký theo ngày và ghi từng nhóm ra các tệp mới. Trên thực tế, chức năng này rất linh hoạt.

4. Máy chủ nhật ký Nagios

Nagios nổi tiếng với phần mềm giám sát mạng xuất sắc nhưng Log Server của nó cũng thú vị không kém. Sản phẩm được gọi đơn giản là Nagios Log Server và nó cung cấp khả năng quản lý, giám sát và phân tích nhật ký tập trung. Công cụ này có thể đơn giản hóa quá trình tìm kiếm dữ liệu nhật ký của bạn. Nó cũng cho phép bạn đặt cảnh báo để được thông báo về các mối đe dọa tiềm ẩn Hơn nữa, phần mềm có tính khả dụng cao và khả năng xử lý lỗi được tích hợp ngay trong nó. Hơn nữa, trình hướng dẫn thiết lập nguồn dễ dàng của nó sẽ giúp bạn nhanh chóng định cấu hình máy chủ để gửi tất cả dữ liệu nhật ký và bắt đầu theo dõi nhật ký của bạn trong vài phút.

Các Nagios Đăng nhập máy chủ cho phép một sự tương quan dễ dàng các sự kiện đăng nhập trên tất cả các máy chủ chỉ trong một vài cú nhấp chuột. Hệ thống sẽ cho phép bạn xem dữ liệu nhật ký trong thời gian thực, cho phép bạn phân tích và giải quyết các vấn đề khi chúng xảy ra. Sản phẩm có khả năng mở rộng ấn tượng và nó sẽ tiếp tục đáp ứng nhu cầu của bạn khi tổ chức của bạn phát triển. Các phiên bản Máy chủ nhật ký Nagios bổ sung có thể được thêm vào một cụm giám sát, cho phép bạn nhanh chóng bổ sung thêm sức mạnh, tốc độ, dung lượng lưu trữ và độ tin cậy.

Giá một phiên bản duy nhất cho Máy chủ nhật ký Nagios là $ 3 995 và mặc dù bản dùng thử miễn phí dường như không có sẵn, nhưng bản demo trực tuyến miễn phí sẽ có, nếu bạn muốn có cái nhìn trực tiếp về sản phẩm.

5. Graylog

Tiếp theo trong danh sách của chúng tôi là một sản phẩm có tên là Graylog . Sản phẩm cung cấp nhiều tính năng thú vị. Công cụ sẽ phân tích cú pháp và làm phong phú nhật ký và dữ liệu sự kiện từ bất kỳ nguồn dữ liệu nào. Các đường ống xử lý của nó cho phép một số linh hoạt trong việc định tuyến, đưa vào danh sách đen, sửa đổi và làm phong phú các thông điệp trong thời gian thực. Graylog sẽ tìm kiếm qua hàng terabyte dữ liệu nhật ký để khám phá và phân tích thông tin quan trọng. Cú pháp tìm kiếm mạnh mẽ cho phép bạn tìm thấy chính xác những gì bạn đang tìm kiếm.

Với Graylog , bạn có thể tạo trang tổng quan để trực quan hóa các chỉ số và quan sát xu hướng ở một vị trí trung tâm. Bạn có thể sử dụng thống kê trường, giá trị nhanh và biểu đồ từ trang kết quả tìm kiếm để đi sâu vào phân tích sâu hơn dữ liệu của mình. Hệ thống cũng có tùy chọn để kích hoạt các hành động hoặc đưa ra thông báo về các sự kiện như đăng nhập không thành công, ngoại lệ hoặc suy giảm hiệu suất.

Graylog là một hệ thống dựa trên tệp nhật ký mã nguồn mở miễn phí có thể cung cấp cho bạn nhiều chức năng hơn chỉ là một tiện ích lưu trữ nhật ký. Trình phân tích nhật ký này có giao diện người dùng đồ họa và nó có thể chạy trên Ubuntu, Debian, CentOS và SUSE Linux. Bạn cũng có thể chạy nó trên một máy ảo trên Microsoft Windows và bạn có thể cài đặt hệ thống Graylog trên Amazon AWS.

6. ManageEngine EventLog Analyzer

ManageEngine , một tên thông dụng khác của quản trị viên mạng, tạo ra một hệ thống quản lý nhật ký tuyệt vời được gọi là ManageEngine EventLog Analyzer . Sản phẩm sẽ thu thập, quản lý, phân tích, tương quan và tìm kiếm thông qua dữ liệu nhật ký của hơn 700 nguồn bằng cách sử dụng kết hợp thu thập nhật ký không tác nhân và dựa trên tác nhân cũng như nhập nhật ký.

Tốc độ là một trong những điểm mạnh của ManageEngine EventLog Analyzer . Nó có thể xử lý dữ liệu nhật ký ở mức ấn tượng 25.000 bản ghi / giây và phát hiện các cuộc tấn công trong thời gian thực. Nó cũng có thể thực hiện phân tích pháp y nhanh chóng để giảm tác động của vi phạm. Khả năng kiểm tra của hệ thống mở rộng đến nhật ký của thiết bị ngoại vi mạng, hoạt động của người dùng, thay đổi tài khoản máy chủ, quyền truy cập của người dùng và hơn thế nữa, giúp bạn đáp ứng nhu cầu kiểm tra bảo mật.

Các ManageEngine EventLog Analyzer có sẵn trong một phiên bản miễn phí tính năng giảm mà chỉ hỗ trợ 5 nguồn log hoặc trong một phiên bản cao cấp mà bắt đầu từ $ 595 và thay đổi tùy theo số lượng thiết bị và các ứng dụng. Phiên bản dùng thử 30 ngày miễn phí, đầy đủ tính năng cũng có sẵn.