Ca administratori de rețea, ne confruntăm constant cu o multitudine de evenimente ce au loc pe diversele dispozitive de care suntem responsabili. Îmi amintesc, pe vremea când eram un administrator începător, una dintre sarcinile mele zilnice era să verific logurile de erori ale fiecărui dispozitiv. Această operațiune, pe măsură ce rețeaua se extindea, devenea din ce în ce mai laborioasă, ajungând să ocupe aproape întreaga dimineață. Datorită sistemelor de logare la distanță syslog și a serviciilor inteligente syslog, acest tip de activitate aparține acum trecutului. Continuă să citești pentru a descoperi cele mai performante servere syslog gratuite disponibile.
Înainte de a prezenta cel mai bun server syslog gratuit, vom discuta despre necesitatea logării centralizate. Vom explica apoi sistemul syslog, originea și funcționarea sa. Deoarece mulți administratori gestionează și dispozitive Windows, vom analiza modul în care evenimentele din aceste sisteme pot fi integrate cu cele din alte medii. Vom menționa, de asemenea, capcanele SNMP, o altă metodă populară de transmitere a mesajelor de sistem. La final, vom prezenta cele mai bune servere syslog gratuite pe care le-am identificat.
Importanța logării centralizate
Dacă, la fel ca mine, ai avut vreodată sarcina de a verifica logurile a zeci de dispozitive în fiecare zi, știi cât de anostă, consumatoare de timp și predispusă la erori poate fi această activitate. Există atât de multe mesaje de analizat, încât este aproape inevitabil să treci cu vederea unul important.
Adaugă la aceasta faptul că multe dispozitive alocă doar o cantitate limitată de resurse pentru logare, ștergând evenimentele mai vechi pe măsură ce apar altele noi. Exista un risc real de a pierde informații esențiale. Acest lucru este valabil mai ales când iei în considerare că unele evenimente pot fi cauza principală a unor evenimente ulterioare.
Există mai multe motive pentru a utiliza logarea centralizată. În primul rând, dorim să ne asigurăm că toate evenimentele sunt înregistrate și salvate. Dar nu ar fi benefic dacă această logare centralizată ar avea și capacitatea de a analiza evenimentele și de a ne alerta automat când apare ceva semnificativ? Exact acest lucru fac unele dintre cele mai bune servere syslog.
Sistemul Syslog
Din punct de vedere tehnic, Syslog reprezintă două concepte. În primul rând, este un protocol care definește un sistem de înregistrare a evenimentelor computerizate. În al doilea rând, este formatul în care mesajele syslog sunt transmise între sisteme. Sistemul syslog este format din două componente: o componentă client, care rulează pe fiecare dispozitiv care generează loguri, și o componentă server, care recepționează informațiile de la clienți.
Syslog a apărut în anii 1980 în universul Unix, inițial ca un sistem de schimb de loguri pentru Sendmail, un sistem de livrare a e-mailurilor. Funcționând eficient, a fost extins rapid în alte zone ale sistemului de operare Unix și, mai târziu, inclus în numeroase dispozitive de rețea, cum ar fi routerele, switch-urile și firewall-urile.
Formatul mesajului Syslog
Un mesaj syslog include informații precum data și ora evenimentului, numele gazdei echipamentului, procesul care a inițiat evenimentul, nivelul de severitate (între paranteze pătrate), ID-ul procesului sursei și corpul mesajului. De exemplu:
Sep 14 14:09:09 test_device dhcp service[warning] 110 message body
Există opt niveluri de severitate, de la „depanare” la „urgență” (uneori numită „panică”). Acest aspect este important, deoarece multe servere syslog pot fi configurate să răspundă în mod specific la mesajele cu o anumită gravitate.
Sistemele Windows
Începând cu Windows NT în 1993, sistemele Windows au generat, de asemenea, evenimente. Acestea sunt, de obicei, vizualizate cu ajutorul aplicației de vizualizare a jurnalelor, o componentă a fiecărui sistem de operare Windows. Dar, dacă gestionezi o combinație de sisteme Unix/Linux, dispozitive de rețea și servere Windows, nu ar fi ideal ca toate evenimentele de sistem să fie centralizate într-un singur loc?
Principala dificultate în realizarea acestui lucru este legată de formatul diferit. Evenimentele Windows nu includ aceleași informații ca evenimentele syslog. Există mai multe modalități de a face acest lucru în Windows. Poți folosi comenzile WinRM și PowerShell sau software care configurează automat redirecționarea. Un astfel de software este SolarWinds Event Log Forwarder pentru Windows.
SolarWinds Event Log Forwarder pentru Windows (DESCARCĂ GRATUIT)
Probabil că cunoști deja SolarWinds. Această companie produce unele dintre cele mai bune software-uri de management și monitorizare a rețelei. Este cunoscută pentru versiunile de evaluare gratuite de 30 de zile ale majorității produselor sale. SolarWinds oferă și unele dintre cele mai performante instrumente gratuite de management al rețelei. Unul dintre acestea este Event Log Forwarder gratuit pentru Windows.
Pe scurt, SolarWinds Event Log Forwarder pentru Windows poate redirecționa automat jurnalele de evenimente Windows ca mesaje syslog către orice serviciu syslog. Îl poți folosi pentru a specifica rapid și a trimite automat evenimente de la stații de lucru și servere. Poate exporta date despre evenimente atât de pe serverele Windows, cât și de pe stațiile de lucru. Acest software îți permite să specifici evenimentele pe care să le transmiți, în funcție de sursă, tip ID sau cuvinte cheie. Poate fi configurat să trimită evenimente către mai multe servere.
Descarcă software-ul de pe site-ul SolarWinds și instalează-l pe fiecare server de unde dorești să exporti datele despre evenimente. Datorită interfeței sale grafice, configurarea parametrilor de export este simplă. Practic, specifici ce evenimente să incluzi și unde să le trimiți.
Vizitează: https://www.solarwinds.com/free-tools/event-log-forwarder-for-windows
Capcane SNMP – Un alt tip de notificare a evenimentelor
Dacă ai experiență cu instrumentele de monitorizare a rețelei, cu siguranță ai auzit de SNMP (Simple Network Management Protocol). Este utilizat frecvent de aceste instrumente pentru a citi contoarele de interfață și a calcula utilizarea lățimii de bandă. Există și un alt tip de trafic SNMP, numit capcane SNMP. Acestea sunt mesaje trimise de un dispozitiv către altul pentru a-l alerta cu privire la o anumită situație.
Multe dispozitive de rețea pot fi configurate să trimită capcane SNMP când ceva nu funcționează corect. Acest sistem diferă de syslog, deoarece fiecare tip de capcană trebuie configurat manual. Un dispozitiv poate fi configurat, de exemplu, să trimită o capcană când o interfață scade sau când traficul depășește un anumit prag. Aceste capcane sunt trimise către un receptor de capcane în lumea SNMP.
Am vrut să menționăm capcanele SNMP aici deoarece unele dintre instrumentele pe care le vom prezenta pot fi folosite și ca receptoare de capcane. Cu un sistem care acceptă și integrează evenimentele primite atât din mesajele syslog, cât și din capcanele SNMP, vei avea o soluție unificată care oferă monitorizare integrată într-un singur pachet. Vom specifica care servere acceptă și SNMP, pe măsură ce vom analiza fiecare server syslog gratuit.
Cele mai bune servere Syslog gratuite
Serverele syslog sunt disponibile într-o varietate de forme și dimensiuni, diferențiindu-se prin funcționalitățile lor. Unele stochează pur și simplu logurile într-o locație centralizată, în timp ce altele permit afișarea acestora pe o consolă de management, uneori după aplicarea filtrelor. Anumite servere pot fi configurate să reacționeze la evenimente specifice de la anumite gazde, generând, de exemplu, alerte afișate pe ecranul consolei, împreună cu o alarmă sonoră, sau trimise prin e-mail sau SMS. Mai mult, unele servere acceptă doar protocolul syslog, în timp ce altele gestionează și evenimente Windows și/sau capcane SNMP.
Am creat o listă cu cele mai performante șase servere syslog gratuite. Unele sunt complet gratuite, în timp ce altele sunt versiuni reduse ale unor ediții plătite, bogate în funcții. Iată lista noastră Top 6:
SolarWinds Kiwi Syslog Server Free Edition
ManageEngine EventLog Analyzer
Paessler PRTG
WhatsUp Gold Syslog Server
Syslog Watcher
Visual Syslog Server pentru Windows
1. SolarWinds Kiwi Syslog Server Free Edition (DESCARCĂ GRATUIT)
Am menționat deja SolarWinds când am discutat despre redirecționarea jurnalelor de evenimente pentru Windows. Kiwi Syslog Server Free Edition este un alt produs gratuit excelent oferit de această companie. Acesta are o limitare importantă: poate gestiona mesajele syslog de la doar cinci dispozitive. Prin urmare, va fi potrivit doar pentru rețelele foarte mici.
Serverul Kiwi Syslog, care poate fi instalat doar pe serverele Windows 2008 sau 2012 sau Windows 7, 8 sau 10, scrie toate mesajele primite într-un fișier jurnal consolidat, afișându-le și pe tabloul de bord. Acesta va colecta date de pe aproape orice dispozitiv care poate genera mesaje syslog sau capcane SNMP, inclusiv majoritatea routerelor, switch-urilor și dispozitivelor de securitate.
Poți solicita serverului să înregistreze jurnalele după dată sau după tipul sursei mesajului. Poți seta alerte pentru traficul intens. Versiunea plătită oferă o varietate mai mare de condiții de alertă.
LINK DE DESCĂRCARE: https://www.solarwinds.com/free-tools/kiwi-free-syslog-server
2. ManageEngine EventLog Analyzer
Similar cu alegerea noastră principală, versiunea gratuită a ManageEngine EventLog Analyzer poate colecta date syslog de la maxim cinci dispozitive, necesitând achiziționarea unei licențe pentru a depăși această limitare. Ca și SolarWinds, ManageEngine are o reputație solidă pentru crearea de instrumente excelente de management al rețelei și oferirea de software gratuit de calitate.
Având în vedere denumirea de EventLog Analyzer, te-ai aștepta la mai mult decât un simplu server syslog. Și pe bună dreptate. Pe lângă agregarea tuturor surselor de logare într-un singur loc, EventLog Analyzer oferă funcții avansate, precum raportarea conformității și analiza criminalistică a logurilor. Versiunile plătite adaugă și mai multe caracteristici unice, pe care nu le vei găsi în alte produse.
3. Paessler PRTG
Dacă ești familiarizat cu sistemele de monitorizare a rețelei, probabil că cunoști PRTG de la Paessler, unul dintre cele mai cunoscute pachete de monitorizare a rețelei. Poate nu știi însă că PRTG poate primi și date syslog, chiar și în versiunea sa gratuită, limitată. PRTG poate fi utilizat gratuit cu până la 100 de senzori. Ei bine, syslog poate fi unul dintre acești senzori. Aceasta înseamnă că o instalare PRTG gratuită poate fi utilizată pentru a centraliza datele syslog și a monitoriza alți 99 de parametri.
PRTG Syslog Receiver, așa cum se numește, va colecta toate mesajele Syslog din rețea și le va păstra într-o bază de date. Odată stocate, le poți înregistra în fișierele jurnal sau le poți interoga din tabloul de bord PRTG și poți declanșa acțiuni ca răspuns la anumite condiții.
4. WhatsUp Gold Free Syslog Server
WhatsUp Gold este un alt nume binecunoscut în domeniul monitorizării rețelei. Puțini sunt administratorii de rețea care nu au auzit de el. Există de mult timp și se numără printre cele mai bune pachete din categoria sa. Ipswitch, producătorul WhatsUp Gold, oferă și WhatsUp Gold Free Syslog Server, un pachet gratuit ce rulează pe Windows și poate fi descărcat de pe site-ul Ipswitch.
WhatsUp Gold Free Syslog Server este un instrument bogat în funcții, care acoperă majoritatea nevoilor de syslog ale administratorilor. Versiunea gratuită are capacități îmbunătățite de export și poate afișa mesajele înregistrate în timp real, cu opțiunea de a filtra rezultatele pentru a personaliza afișarea în funcție de cerințe. Serverul poate procesa până la șase milioane de mesaje pe oră, ceea ce este suficient pentru toate rețelele, cu excepția celor mai extinse.
5. Syslog Watcher
EZ5 Systems din Vancouver, Canada, oferă un server syslog eficient pentru Windows, numit Syslog Watcher. Acesta este un server rapid, care folosește multithreading pentru a primi și procesa corect toate mesajele syslog. Prin separarea primirii și procesării mesajelor, se asigură că niciun mesaj nu este pierdut. Acesta funcționează atât cu mesajele TCP, cât și cu cele UDP și acceptă IPv4 și IPv6.
Din punct de vedere al funcționalităților, acesta este un pachet excelent. Poate exporta datele jurnal fie într-un fișier, fie într-o bază de date. Stocarea evenimentelor într-o bază de date permite procesarea lor în diferite moduri: filtrare, sortare, grupare și numărare. Serverul oferă și alerte flexibile. Poți chiar combina evenimente pentru a genera alerte.
6. Visual Syslog Server pentru Windows
Visual Syslog Server pentru Windows este un software open-source gratuit, cu o interfață simplă. Este compatibil cu RFC 3164, funcționând atât cu mesajele TCP, cât și cu cele UDP. Consola afișează mesajele primite în timp real, cu evidențiere colorată personalizabilă, și le stochează și pe disc. Fișierele jurnal salvate sunt rotite automat, în funcție de dimensiune sau dată.
Afișarea mesajelor poate fi filtrată în funcție de diverse criterii, cum ar fi facilitatea, prioritatea, gazda sau conținutul mesajului. Condițiile și acțiunile de alertă pot fi definite de utilizator și includ nu doar e-mailul, ci și posibilitatea de a rula programe externe cu parametri personalizați. Spre deosebire de multe alte servere Syslog Windows, serverul Syslog vizual rulează mai degrabă ca o aplicație decât ca un serviciu, dar se minimizează în bara de sistem atunci când consola nu este utilizată și continuă să se conecteze în fundal, eliberând spațiul de pe ecran.
Concluzie
Centralizarea logării este, fără îndoială, una dintre cele mai eficiente metode de a-ți reduce volumul de muncă, îmbunătățind în același timp capacitatea de răspuns la incidente. Datorită alertelor personalizabile oferite de majoritatea acestor pachete, poți automatiza una dintre cele mai importante componente ale răspunsului tău la incidente. Există multe alte servere syslog gratuite disponibile pe internet. Ți-am prezentat doar o listă cu cele pe care le-am considerat cele mai performante. Deși toate sugestiile noastre sunt opțiuni excelente, nu ne putem abține să nu recomandăm alegerea noastră de top, SolarWinds Kiwi Syslog Server Free Edition. A fost preferatul meu personal chiar înainte ca SolarWinds să achiziționeze Kiwi cu câțiva ani în urmă și continuă să fie prima mea alegere. S-ar putea să nu fie serverul cu cele mai multe funcții, dar își face treaba și o face bine.