Sistemele de astăzi generează o mulțime de date de înregistrare. Pe multe platforme, fiecare eveniment, important sau nu, este înregistrat undeva. De obicei, jurnalele sunt stocate local. Acest lucru are sens deoarece jurnalele sunt legate de sursa lor. Dar atunci când încercăm să depanăm problemele și să le găsim cauza principală, asta înseamnă adesea că trebuie să ne uităm la mai multe fișiere jurnal de pe numeroase dispozitive. Nu ar fi frumos dacă toate jurnalele de pe toate dispozitivele ar fi stocate într-un singur loc? Gestionarea jurnalelor este asta și multe altele, așa cum sunteți pe cale să aflați. Și astăzi, revizuim sistemele de top de gestionare a jurnalelor.
Vom începe prin a încerca să explicăm ce este gestionarea jurnalelor. După cum veți vedea, poate fi mult mai mult decât centralizarea stocării jurnalelor. În continuare, vom vorbi despre protocoalele de înregistrare. Este destul de important, deoarece gestionarea jurnalelor nu ar exista probabil fără ele. Vom încerca apoi să diferențiem serverele syslog de sistemele de gestionare a jurnalelor. Din păcate, nu există o delimitare clară între ele. Vom urma cu o discuție despre informațiile de securitate și sistemele de management al evenimentelor, deoarece acesta este un alt tip de sistem care este adesea confundat cu gestionarea jurnalelor, datorită definiției oarecum neclare a fiecăruia. Și, în sfârșit, vom trece în revistă primele opt sisteme de gestionare a jurnalelor pe care le-am putut găsi.
Cuprins
Managementul jurnalelor – Ce este
Înainte de a putea vorbi despre managementul jurnalului, să vedem ce este un jurnal. Simplu definit, un jurnal este documentația produsă automat și marcată de timp a evenimentelor relevante pentru un anumit sistem. Ori de câte ori are loc un eveniment pe un sistem, este generat un jurnal. Diferite sisteme vor genera jurnale pentru diferite evenimente și multe sisteme oferă administratorilor un anumit grad de control asupra a ceea ce generează un jurnal și a ceea ce nu.
Când vorbim de managementul jurnalelor, ne referim la procesele și politicile utilizate pentru a administra și facilita generarea, transmiterea, analiza, stocarea, arhivarea și eventuala eliminare a unor volume mari de date de jurnal. Gestionarea jurnalelor implică un sistem centralizat în care sunt colectate jurnalele din mai multe surse.
Dar gestionarea jurnalelor nu este doar o colectare a jurnalelor. Partea de management este cea mai importantă. Sistemele de gestionare a jurnalelor au de obicei mai multe funcționalități, colectarea jurnalelor fiind doar una dintre ele.
Odată ce jurnalele sunt primite de sistemul de gestionare a jurnalelor, acestea trebuie „traduse” într-un format comun. Sistemele diferite formatează jurnalele în mod diferit și includ date diferite în jurnalele lor. Unii încep un jurnal cu data și ora, alții îl încep cu un număr de eveniment. Unele includ doar un ID de jurnal, în timp ce altele includ o descriere textuală completă a evenimentului. Unul dintre scopurile sistemelor de gestionare a jurnalelor este de a se asigura că toate intrările de jurnal colectate sunt stocate într-un format uniform. Acest lucru va face căutarea și corelarea evenimentelor mult mai ușoare pe linie.
Vorbind despre căutare și chiar despre corelare, aceasta este o altă funcție importantă a multor sisteme de gestionare a jurnalelor. Unele dintre ele dispun de un motor de căutare puternic care le permite administratorilor să se concentreze exact pe ceea ce au nevoie. Funcțiile de corelare vor grupa automat evenimentele asociate, chiar dacă acestea provin din surse diferite. Cum – și cu cât succes – un sistem diferit de gestionare a jurnalelor realizează acesta este un factor de diferențiere major.
Protocoale de înregistrare
Gestionarea jurnalelor ar fi mult mai dificilă, dacă este posibil, dacă nu ar fi protocoalele de înregistrare. Există câteva dintre ele care definesc ce date trebuie incluse în jurnale, cum ar trebui să fie formatate și cum ar trebui să fie transmise între sisteme.
Syslog este, fără îndoială, cel mai folosit protocol de înregistrare. Inventat la începutul anilor optzeci, a devenit standardul de facto pentru sistemele de tip Unix. Unul dintre cele mai mari atuuri ale protocolului syslog este modul în care separă software-ul care generează jurnalele, sistemul care le stochează și software-ul care le raportează și le analizează. Utilizarea protocolului Syslog face gestionarea jurnalelor mult mai ușoară. Multe dispozitive non-Unix, cum ar fi switch-uri, routere și alte echipamente de rețea de la mulți furnizori, folosesc o variantă a protocolului syslog.
Microsoft Windows, după cum probabil ați ghicit, folosește un alt sistem de înregistrare. S-ar putea să aibă de-a face cu faptul că sistemele de operare și aplicațiile Windows au jurnale care de obicei conțin mult mai multe informații decât permite syslog. Din fericire, funcțiile Windows Event Collector oferă un mijloc pentru sistemele de gestionare a jurnalelor pe care îl pot folosi pentru a primi evenimente de la gazdele Windows.
Indiferent de protocolul de înregistrare folosit, o parte importantă a gestionării jurnalelor este configurarea dispozitivelor pentru a-și trimite jurnalele către sistemul de management. Acest lucru este diferit de alte instrumente, cum ar fi sistemele de monitorizare a rețelei, în care instrumentul preia date de la gazde.
Servere de jurnal vs gestionarea jurnalelor
Deoarece a fost disponibil pe fiecare sistem asemănător Unix de ceva timp, Syslog este adesea folosit ca server de jurnal, cu un computer care primește date syslog de la mai multe altele. Deși această stocare centralizată a jurnalelor are avantaje certe, nu este o gestionare a jurnalelor.
Pentru a merita numele Log Management System, un produs trebuie să includă cel puțin unele dintre funcțiile mai avansate. Conform Wikipedia, gestionarea jurnalelor este compusă din următoarele funcții: colectare jurnal, agregare centralizată a jurnalelor, stocare și reținere pe termen lung a jurnalelor, rotație a jurnalelor, analiză a jurnalelor, căutare a jurnalelor și raportare. Serverele de jurnal oferă adesea doar colectarea și stocarea jurnalelor și rareori mai mult decât atât. Fiecare dintre sistemele de gestionare a jurnalelor de pe lista noastră de top oferă cel puțin unele dintre funcțiile mai avansate.
Ce zici de SIEM Systems?
O altă tehnologie populară care este adesea asociată cu jurnalele și confundată cu sistemele de gestionare a jurnalelor este managementul informațiilor de securitate și al evenimentelor sau SIEM. Aceasta este destul de diferită de gestionarea jurnalelor, deși este strâns legată. De fapt, unele produse promovate ca sisteme de gestionare a jurnalelor sunt de fapt sisteme SIEM, în timp ce unele sisteme SIEM de bază nu sunt altceva decât sisteme de gestionare a jurnalelor.
Motivul principal pentru această confuzie este că gestionarea jurnalelor – sau cel puțin analiza jurnalelor – este o componentă importantă a sistemelor SIEM. De fapt, sistemele SIEM duc de obicei gestionarea jurnalelor la următorul nivel, adăugând o oarecare inteligență procesului. Aceste sisteme efectuează analize de jurnal cu scopul final de a identifica problemele de securitate. Ei vor căuta, de exemplu, semne de autentificare nereușită care ar indica o încercare de intruziune neautorizată. Aceste sisteme vor scana automat intrările de jurnal căutând ceva neobișnuit.
Sistemele SIEM au mai mult de-a face cu securitatea IT decât cu managementul IT și, în timp ce unele includ funcții extinse de gestionare a jurnalelor, multe pot folosi și sisteme externe de gestionare a jurnalelor și nu este neobișnuit să vedeți ambele sisteme rulând unul lângă celălalt.
Cel mai bun software de gestionare a jurnalelor
Acum că avem o înțelegere comună a ceea ce este și ce nu este gestionarea jurnalelor, să aruncăm o privire la ceea ce este disponibil. Am căutat pe piață unele dintre cele mai bune sisteme de gestionare a jurnalelor. Constatarea noastră inițială este că sunt multe și multe dintre ele foarte bune. Dar avem doar atât de mult spațiu, așa că suntem pe cale să trecem în revistă cele opt cele mai interesante pe care le-am putut găsi.
1. SolarWinds Papertrail
SolarWinds este un nume comun în domeniul instrumentelor de administrare a rețelei. Există de aproape 20 de ani și ne-a adus unul dintre cele mai bune instrumente de monitorizare a lățimii de bandă și unul dintre cele mai bune analizoare și colectoare NetFlow. Compania este, de asemenea, binecunoscută pentru publicarea mai multor instrumente gratuite care se adresează unor nevoi specifice ale administratorilor de rețea, cum ar fi calculatorul de subrețea sau un server syslog.
În urmă cu câțiva ani, SolarWinds a achiziționat Urma de hartie, un sistem popular de gestionare a jurnalelor. Agregează fișierele jurnal dintr-o mare varietate de produse populare precum Apache sau MySQL, precum și aplicațiile Ruby on Rails, diferite servicii de găzduire în cloud și alte fișiere jurnal text standard. Urma de hartie utilizatorii pot folosi apoi interfața de căutare bazată pe web sau instrumentele din linia de comandă pentru a căuta prin aceste fișiere pentru a ajuta la diagnosticarea erorilor și a problemelor de performanță. Urma de hartie se integrează, de asemenea, cu alte produse SolarWinds, cum ar fi Librato și Geckoboard, pentru graficarea rezultatelor.
Urma de hartie este o ofertă de software ca serviciu (SaaS) bazată pe cloud de la SolarWinds. Este ușor de implementat, utilizat și de înțeles. Și vă va oferi vizibilitate instantanee asupra tuturor sistemelor în câteva minute. Instrumentul are un motor de căutare foarte eficient care poate căuta atât jurnalele stocate, cât și în flux. Și este fulgerător.
Urma de hartie este disponibil în mai multe planuri, inclusiv un plan gratuit. Totuși, este oarecum limitat și permite doar 100 MB de jurnale în fiecare lună. Cu toate acestea, va permite 16 GB de jurnale în prima lună, ceea ce echivalează cu o perioadă de încercare gratuită de 30 de zile. Planurile plătite încep de la 7 USD/lună pentru 1 GB/lună de jurnale, 1 an de arhivă și 1 săptămână de index. Filtrarea de zgomot permite instrumentului să păstreze datele fără a salva jurnalele inutile.
2. SolarWinds Log & Event Manager (ÎNCERCARE GRATUITĂ)
Următoarea noastră intrare este un alt produs de la SolarWinds numit SolarWinds Manager de jurnal și evenimente. Spre deosebire de intrarea noastră anterioară, acesta este un produs instalat local. Și este, de asemenea, mult mai mult decât un simplu sistem de gestionare a jurnalelor. Multe dintre caracteristicile avansate ale acestui produs îl plasează în gama SIEM. Are corelare în timp real a ventilației și remediere în timp real, de exemplu.
Iată o prezentare generală a Manager de jurnal și evenimente SolarWindscaracteristicile principale ale lui. Elimină rapid amenințările utilizând detectarea instantanee a activităților suspecte și răspunsurile automate. De asemenea, poate efectua investigații privind evenimentele de securitate și criminalistică pentru atenuare și conformitate. Și vorbind despre conformitate, produsul vă va permite să o demonstrați, datorită raportării sale dovedite de audit pentru HIPAA, PCI DSS și SOX, printre altele. Acest instrument are, de asemenea, monitorizarea integrității fișierelor și monitorizarea dispozitivului USB, două caracteristici care sunt mult peste ceea ce vedem de obicei în sistemele de gestionare a jurnalelor.
Preturi pentru Manager de jurnal și evenimente SolarWinds începe de la 4.585 USD pentru până la 30 de noduri monitorizate. Pot fi achiziționate licențe pentru până la 2500 de noduri, făcând produsul foarte scalabil. Și dacă doriți să verificați practic că produsul este potrivit pentru dvs., este disponibilă o versiune de încercare gratuită, cu funcții complete, de 30 de zile.
3. ipswitch Log Management Suite
The Suita de gestionare a jurnalelor este un instrument de la Ipswitch, aceeași companie care ne-a adus WhatsUp Gold, un instrument de monitorizare a rețelei extrem de popular. Acesta este un instrument automat care colectează, stochează, arhivează și salvează jurnalele de sistem, evenimentele Windows și jurnalele W3C/IIC. În plus, supravegherea sa continuă a jurnalelor vă va alerta în legătură cu orice activitate suspectă.
Evenimentele auditate frecvent, cum ar fi drepturile de acces și privilegiile fișierelor, folderelor și obiectelor pot fi urmărite, generând alerte după cum este necesar și utilizate pentru a crea rapoarte de conformitate pentru conformitatea HIPAA, SOX, FISMA, PCI, MiFID sau Basel II. Instrumentul vă poate ajuta, de asemenea, să transformați datele dvs. brute de jurnal în date semnificative pentru manageri sau echipele de securitate IT, datorită caracteristicilor sale automate de filtrare, corelare, raportare și conversie.
Informații de preț pentru Suita de gestionare a jurnalelor nu este ușor disponibil de la Ipswitch. Produsul poate fi achiziționat fie direct de la editor, fie prin intermediul rețelei de reselleri Ipswitch. Este disponibilă și o versiune de probă gratuită.
4. ManageEngine EventLog Analyzer
ManageEngine, un alt nume comun cu administratorul de rețea, face un excelent sistem de gestionare a jurnalelor numit ManageEngine EventLog Analyzer. Produsul va colecta, gestiona, analiza, corela și căuta prin datele de jurnal a peste 700 de surse folosind o combinație sau o colectare de jurnal fără agent și bazată pe agenți, precum și importul de jurnal.
Viteza este una dintre ManageEngine EventLog Analyzerputerea lui. Poate procesa datele de jurnal la un impresionant 25.000 de loguri/secundă și poate detecta atacurile în timp real. De asemenea, poate efectua analize criminalistice rapide pentru a reduce impactul unei încălcări. Capacitățile de audit ale sistemului se extind la jurnalele dispozitivelor din perimetrul rețelei, activitățile utilizatorilor, modificările contului de server, accesele utilizatorilor și multe altele, ajutându-vă să îndepliniți nevoile de auditare de securitate.
The ManageEngine EventLog Analyzer este disponibil într-o ediție gratuită cu caracteristici reduse, care acceptă doar 5 surse de jurnal sau într-o ediție premium care începe de la 595 USD și variază în funcție de numărul de dispozitive și aplicații. Este disponibilă și o versiune de probă gratuită, cu funcții complete, de 30 de zile.
5. Nagios Log Server
Nagios este cel mai bine cunoscut pentru software-ul său excelent de monitorizare a rețelei, dar serverul său de jurnal este posibil la fel de interesant. Pe bună dreptate numită Nagios Log Server, oferă management centralizat de jurnal, monitorizare și analiză. The Nagios Log Server simplifică procesul de căutare a datelor din jurnal. De asemenea, vă permite să setați alerte pentru a fi notificat cu privire la potențialele amenințări. În plus, software-ul are o disponibilitate ridicată și un fail-over integrat. Asistentele sale ușoare de configurare a sursei vă vor ajuta să configurați rapid serverele pentru a trimite toate datele de jurnal și pentru a începe să vă monitorizați jurnalele în câteva minute. .
The Nagios Log Server vă permite să corelați cu ușurință evenimentele de jurnal pe toate serverele în doar câteva clicuri. Și vă permite să vizualizați datele de jurnal în timp real, oferindu-vă posibilitatea de a analiza și rezolva problemele pe măsură ce apar. Produsul are o scalabilitate impresionantă și va continua să vă satisfacă nevoile pe măsură ce organizația dumneavoastră se dezvoltă. Adiţional Nagios Log Server instanțe pot fi adăugate la un cluster de monitorizare, permițându-vă să adăugați rapid mai multă putere, viteză, stocare și fiabilitate.
Prețul pentru o singură instanță pentru Nagios Log Server este de 3 995 USD și, deși o versiune de încercare gratuită nu pare să fie disponibilă, un demo online gratuit este dacă preferați să aruncați o privire directă asupra produsului.
6. Alert Logic Log Manager
Obiectivul principal al Alert Logic este securitatea și conformitatea. Și, deoarece gestionarea jurnalelor este strâns legată de ambele, nu este surprinzător faptul că compania oferă Alert Logic Log Manager. Acest instrument bazat pe cloud oferă o gestionare automată și unificată a jurnalelor în toate mediile dumneavoastră. Acesta va colecta, agrega și căuta date din jurnal din cloud, server, aplicație, securitate și active de rețea.
The Alert Logic Log Manager include monitorizarea și analiza jurnalelor, precum și revizuirea jurnalelor, care este efectuată în direct de analizori umani. Experții de la Alert Logic vă vor avertiza cu privire la o posibilă activitate de amenințare 365 de zile pe an. Serviciul va ajuta, de asemenea, la îndeplinirea cerințelor de revizuire a jurnalelor din SOC 2, HIPAA și SOX și va descărca sarcina de revizuire a jurnalelor și de urmărire a evenimentelor, pentru a se conforma cu PCI/DSS 10.6, 10.6.1, 10.6.3
Informații de preț pentru Alert Logic Log Manager nu este ușor disponibil de pe web și va trebui să contactați vânzările Alert Logic pentru a obține o ofertă oficială. De asemenea, nu este disponibilă o versiune de încercare gratuită, dar o demonstrație gratuită poate fi aranjată contactând Alert Logic.
7. LogDNA
Fondată în 2015, LogDNA este noul copil de la bloc. Compania susține că „LogDNA este cel mai rapid, mai intuitiv și mai rentabil sistem de gestionare a jurnalelor”. Totul începe cu instalarea, care durează doar câteva minute înainte de a începe să vă monitorizați jurnalele. Indiferent de modul în care sunt generate și transmise jurnalele, sute de scheme de integrare personalizate sunt disponibile pentru a centraliza jurnalele într-un singur panou.
LogDNA poate fi bazat pe cloud sau auto-găzduit, în funcție de preferințele dvs. Este foarte scalabil și poate gestiona sute de mii de jurnale pe secundă și zeci de teraocteți per client, pe zi, în siguranță totală, cu analiză de jurnal în timp real. Compania și produsele sale sunt conforme cu SOC2, PCI și HIPAA, precum și certificate Privacy Shield.
Cu modelul său de preț simplu, cu plată pe GB, care elimină contractele și compartimentele de date fixe, compania are unul dintre cele mai scăzute costuri totale de proprietate. Sunt disponibile mai multe planuri de abonament cu funcții în creștere. Planul de nivel inferior este gratuit, iar planurile plătite variază de la 1,50 USD/GB/lună la 3 USD/GB/lună, în funcție de durata de păstrare și de numărul de utilizatori. Este disponibilă și o versiune de încercare gratuită, cu funcții complete, de 14 zile.
8. Graylog
Ultimul pe lista noastră este un produs numit Graylog. Produsul oferă multe caracteristici interesante. Instrumentul va analiza și îmbogăți jurnalele și datele despre evenimente din orice sursă de date. Conductele sale de procesare permit o oarecare flexibilitate în rutarea, includerea pe lista neagră, modificarea și îmbogățirea mesajelor în timp real. Graylog va căuta prin terabytes de date de jurnal pentru a descoperi și analiza informații importante. Sintaxa puternică de căutare vă permite să găsiți exact ceea ce căutați.
Cu Graylog, puteți crea tablouri de bord pentru a vizualiza valorile și a observa tendințele într-o locație centrală. Puteți utiliza statisticile de câmp, valorile rapide și diagramele din pagina cu rezultatele căutării pentru a explora o analiză mai profundă a datelor dvs. Sistemul are, de asemenea, opțiunea de a declanșa acțiuni sau de a emite notificări cu privire la evenimente precum încercările eșuate de autentificare, excepții sau degradarea performanței.
Graylog este disponibil fie ca versiune gratuită și open-source, cu funcții limitate, care are, de asemenea, suport limitat, fie ca versiune de întreprindere cu funcții extinse și suport nelimitat. O licență de probă poate fi obținută și contactând Graylog vânzări.