În zilele noastre, sistemele generează un volum considerabil de date de înregistrare. Pe numeroase platforme, fiecare acțiune, indiferent de importanță, este consemnată undeva. De obicei, aceste înregistrări, numite jurnale, sunt stocate local, având sens deoarece sunt strâns legate de sursa lor. Însă, atunci când încercăm să depistăm erori și să identificăm cauzele principale ale problemelor, adesea trebuie să analizăm mai multe fișiere jurnal de pe diverse dispozitive. Nu ar fi mai simplu dacă toate aceste jurnale ar fi centralizate într-un singur loc? Gestionarea jurnalelor oferă această facilitate și multe altele, după cum vei descoperi. Astăzi, vom analiza cele mai performante sisteme de gestionare a jurnalelor.
Vom începe prin a defini conceptul de gestionare a jurnalelor. Vei observa că aceasta poate însemna mult mai mult decât o simplă centralizare a stocării jurnalelor. Apoi, vom discuta despre protocoalele de înregistrare, esențiale pentru existența gestionării jurnalelor. Vom clarifica diferența dintre serverele syslog și sistemele de gestionare a jurnalelor, deși nu există o linie de demarcație strictă între ele. Vom aborda, de asemenea, sistemele de informații și management al evenimentelor de securitate (SIEM), care adesea sunt confundate cu sistemele de gestionare a jurnalelor, datorită naturii ambigue a definițiilor. În final, vom analiza primele opt sisteme de gestionare a jurnalelor pe care le-am identificat.
Ce este Managementul Jurnalelor
Înainte de a intra în detalii despre gestionarea jurnalelor, să definim ce este un jurnal. Simplu spus, un jurnal reprezintă documentația automată și marcată temporal a evenimentelor relevante pentru un anumit sistem. De fiecare dată când are loc un eveniment pe un sistem, este creat un jurnal. Diferite sisteme înregistrează evenimente diferite, iar majoritatea oferă administratorilor posibilitatea de a controla ce evenimente sunt consemnate și ce nu.
Gestionarea jurnalelor se referă la procesele și politicile folosite pentru a administra și facilita generarea, transmiterea, analiza, stocarea, arhivarea și, eventual, eliminarea unui volum mare de date jurnal. Aceasta implică un sistem centralizat în care jurnalele sunt colectate din diverse surse.
Însă gestionarea jurnalelor nu se rezumă la colectarea acestora. Componenta de management este cea mai importantă. Sistemele de gestionare a jurnalelor oferă de obicei multiple funcționalități, colectarea jurnalelor fiind doar una dintre ele.
Odată ce un sistem de gestionare a jurnalelor primește jurnalele, acestea trebuie standardizate într-un format comun. Sisteme diferite formatează jurnalele în mod diferit, incluzând diverse tipuri de informații. Unele încep jurnalul cu data și ora, altele cu un număr de eveniment. Unele includ doar un ID de jurnal, în timp ce altele oferă o descriere textuală detaliată a evenimentului. Unul dintre scopurile sistemelor de gestionare a jurnalelor este de a stoca toate înregistrările într-un format uniform, simplificând căutarea și corelarea evenimentelor.
Căutarea și corelarea reprezintă o altă funcție importantă a multor sisteme de gestionare a jurnalelor. Unele dispun de motoare de căutare puternice, care permit administratorilor să se concentreze exact pe informația dorită. Funcțiile de corelare grupează automat evenimentele asociate, chiar dacă acestea provin din surse diferite. Modul în care fiecare sistem de gestionare a jurnalelor realizează acest lucru este un factor diferențiator cheie.
Protocoale de Înregistrare
Gestionarea jurnalelor ar fi mult mai complicată, dacă nu chiar imposibilă, fără protocoalele de înregistrare. Acestea definesc ce date trebuie incluse în jurnale, cum ar trebui formatate și cum ar trebui transmise între sisteme.
Syslog este, fără îndoială, cel mai utilizat protocol de înregistrare. Creat la începutul anilor ’80, a devenit standardul de facto pentru sistemele de tip Unix. Unul dintre avantajele majore ale protocolului Syslog este separarea software-ului care generează jurnalele, de sistemul care le stochează și software-ul care le raportează și analizează. Utilizarea protocolului Syslog simplifică considerabil gestionarea jurnalelor. Multe dispozitive non-Unix, cum ar fi switch-urile, routerele și alte echipamente de rețea de la diferiți furnizori, folosesc o variantă a protocolului syslog.
Microsoft Windows utilizează un alt sistem de înregistrare, probabil datorită faptului că sistemele de operare și aplicațiile Windows înregistrează jurnale care conțin de obicei mai multe informații decât permite syslog. Din fericire, funcțiile Windows Event Collector oferă un mecanism prin care sistemele de gestionare a jurnalelor pot primi evenimente de la gazdele Windows.
Indiferent de protocolul de înregistrare utilizat, un aspect important al gestionării jurnalelor este configurarea dispozitivelor pentru a trimite jurnalele către sistemul de management. Acest lucru este diferit față de alte instrumente, cum ar fi sistemele de monitorizare a rețelei, unde instrumentul preia date de la gazde.
Servere de Jurnal vs. Gestionarea Jurnalelor
Deoarece protocolul Syslog a fost disponibil pe fiecare sistem similar Unix de mult timp, acesta este adesea folosit ca server de jurnal, un computer primind date syslog de la multiple alte sisteme. Deși această stocare centralizată a jurnalelor are avantaje clare, aceasta nu reprezintă gestionarea jurnalelor.
Pentru a fi considerat un Sistem de Gestionare a Jurnalelor, un produs trebuie să includă cel puțin o parte din funcțiile mai avansate. Conform Wikipedia, gestionarea jurnalelor implică colectarea, agregarea centralizată, stocarea și păstrarea pe termen lung, rotația, analiza, căutarea și raportarea jurnalelor. Serverele de jurnal oferă, de obicei, doar colectarea și stocarea, rar mai mult. Fiecare dintre sistemele de gestionare a jurnalelor din lista noastră oferă cel puțin câteva dintre funcțiile avansate.
Sistemele SIEM
O altă tehnologie populară asociată cu jurnalele și confundată cu sistemele de gestionare a jurnalelor este managementul informațiilor și evenimentelor de securitate (SIEM). Aceasta este destul de diferită de gestionarea jurnalelor, deși este strâns legată. De fapt, unele produse promovate ca sisteme de gestionare a jurnalelor sunt de fapt sisteme SIEM, în timp ce unele sisteme SIEM de bază sunt doar sisteme de gestionare a jurnalelor.
Confuzia principală apare deoarece gestionarea jurnalelor (sau cel puțin analiza acestora) este o componentă importantă a sistemelor SIEM. De fapt, sistemele SIEM duc gestionarea jurnalelor la un alt nivel, adăugând inteligență procesului. Aceste sisteme efectuează analize cu scopul final de a identifica problemele de securitate, căutând, de exemplu, semne de autentificare eșuată care ar indica o încercare de intruziune neautorizată. Aceste sisteme scanează automat intrările de jurnal pentru a identifica orice anomalie.
Sistemele SIEM sunt mai mult despre securitatea IT decât despre managementul IT, și, deși unele includ funcții extinse de gestionare a jurnalelor, multe pot utiliza și sisteme externe de gestionare a jurnalelor. De aceea, nu este neobișnuit să vezi ambele sisteme funcționând în paralel.
Cele mai bune Software-uri de Gestionare a Jurnalelor
Acum că am stabilit ce este și ce nu este gestionarea jurnalelor, să analizăm opțiunile disponibile. Am cercetat piața pentru a găsi cele mai bune sisteme de gestionare a jurnalelor. Am observat că există multe sisteme foarte bune. Însă, din cauza spațiului limitat, vom analiza cele opt mai interesante pe care le-am identificat.
1. SolarWinds Papertrail
SolarWinds este un nume cunoscut în domeniul instrumentelor de administrare a rețelei. Cu o experiență de aproape 20 de ani, a creat unele dintre cele mai bune instrumente de monitorizare a lățimii de bandă și de analiză și colectare NetFlow. Compania este recunoscută pentru numeroase instrumente gratuite, care acoperă nevoi specifice ale administratorilor de rețea, cum ar fi calculatorul de subrețele sau serverul syslog.
Cu câțiva ani în urmă, SolarWinds a achiziționat Papertrail, un sistem popular de gestionare a jurnalelor. Acesta agregă fișierele jurnal de la o varietate mare de produse populare, cum ar fi Apache sau MySQL, dar și aplicații Ruby on Rails, diverse servicii de găzduire în cloud și fișiere jurnal text standard. Utilizatorii Papertrail pot utiliza interfața de căutare bazată pe web sau instrumentele din linia de comandă pentru a căuta în aceste fișiere și a diagnostica erorile și problemele de performanță. Papertrail se integrează și cu alte produse SolarWinds, cum ar fi Librato și Geckoboard, pentru reprezentarea grafică a rezultatelor.
Papertrail este o ofertă software ca serviciu (SaaS) bazată pe cloud de la SolarWinds. Este ușor de implementat, utilizat și înțeles, oferind vizibilitate instantanee asupra tuturor sistemelor în câteva minute. Instrumentul are un motor de căutare foarte eficient care poate căuta atât jurnalele stocate, cât și cele în timp real, fiind extrem de rapid.
Papertrail este disponibil în mai multe planuri, inclusiv unul gratuit. Totuși, acesta este oarecum limitat, permițând doar 100 MB de jurnale pe lună. Cu toate acestea, oferă 16 GB de jurnale în prima lună, echivalentul unei perioade de încercare gratuite de 30 de zile. Planurile plătite încep de la 7 USD/lună pentru 1 GB/lună de jurnale, 1 an de arhivă și 1 săptămână de index. Filtrarea zgomotului permite instrumentului să păstreze datele fără a salva jurnale inutile.
2. SolarWinds Log & Event Manager (ÎNCERCARE GRATUITĂ)
Următorul produs este un alt produs de la SolarWinds numit SolarWinds Log & Event Manager. Spre deosebire de precedentul, acesta este un produs instalat local și mult mai mult decât un simplu sistem de gestionare a jurnalelor. Multe dintre caracteristicile avansate îl plasează în categoria SIEM, având, de exemplu, corelarea în timp real a evenimentelor și remedierea în timp real.
Iată o prezentare generală a SolarWinds Log & Event Manager: elimină rapid amenințările prin detectarea instantanee a activităților suspecte și răspunsuri automatizate. De asemenea, poate efectua investigații privind evenimentele de securitate și criminalistică, și oferă rapoarte de audit pentru conformitate cu HIPAA, PCI DSS și SOX. Instrumentul monitorizează integritatea fișierelor și dispozitivele USB, caracteristici rar întâlnite în sistemele de gestionare a jurnalelor.
Prețurile pentru SolarWinds Log & Event Manager încep de la 4.585 USD pentru până la 30 de noduri monitorizate. Se pot achiziționa licențe pentru până la 2500 de noduri, produsul fiind foarte scalabil. O versiune de încercare gratuită, cu funcții complete, de 30 de zile este disponibilă pentru a verifica dacă produsul este potrivit.
3. ipswitch Log Management Suite
Suita de Gestionare a Jurnalelor este un instrument de la Ipswitch, aceeași companie care a creat WhatsUp Gold, un instrument de monitorizare a rețelei foarte popular. Acesta este un instrument automat care colectează, stochează, arhivează și salvează jurnalele de sistem, evenimentele Windows și jurnalele W3C/IIC. Supravegherea sa continuă a jurnalelor alertează asupra oricărei activități suspecte.
Evenimentele auditate frecvent, cum ar fi drepturile de acces și privilegiile fișierelor, folderelor și obiectelor, pot fi monitorizate, generând alerte și rapoarte de conformitate pentru HIPAA, SOX, FISMA, PCI, MiFID sau Basel II. Instrumentul ajută, de asemenea, la transformarea datelor brute de jurnal în informații semnificative pentru manageri sau echipele de securitate IT, datorită funcțiilor automate de filtrare, corelare, raportare și conversie.
Informații de preț pentru Suita de Gestionare a Jurnalelor nu sunt ușor disponibile. Produsul poate fi achiziționat direct de la editor sau prin rețeaua de reselleri Ipswitch. O versiune de probă gratuită este, de asemenea, disponibilă.
4. ManageEngine EventLog Analyzer
ManageEngine, un alt nume comun în rândul administratorilor de rețea, oferă un sistem excelent de gestionare a jurnalelor numit ManageEngine EventLog Analyzer. Produsul colectează, gestionează, analizează, corelează și caută în datele jurnal de la peste 700 de surse, utilizând o combinație de colectare de jurnal bazată sau nu pe agent, precum și importul de jurnal.
Viteza este unul dintre punctele forte ale ManageEngine EventLog Analyzer, procesând datele de jurnal la o viteză impresionantă de 25.000 de jurnale/secundă și detectând atacurile în timp real. De asemenea, efectuează analize criminalistice rapide pentru a reduce impactul unei încălcări. Capacitățile de audit se extind la jurnalele dispozitivelor din perimetrul rețelei, activitățile utilizatorilor, modificările conturilor de server, accesele utilizatorilor, ajutând la îndeplinirea cerințelor de auditare de securitate.
ManageEngine EventLog Analyzer este disponibil într-o ediție gratuită cu funcții limitate, care acceptă doar 5 surse de jurnal, sau într-o ediție premium, care începe de la 595 USD și variază în funcție de numărul de dispozitive și aplicații. O versiune de probă gratuită, cu funcții complete, de 30 de zile este, de asemenea, disponibilă.
5. Nagios Log Server
Nagios este cunoscut pentru software-ul său excelent de monitorizare a rețelei, dar serverul său de jurnal, Nagios Log Server, este la fel de interesant. Acesta oferă management centralizat de jurnal, monitorizare și analiză, simplificând căutarea datelor jurnal. De asemenea, permite configurarea alertelor pentru a primi notificări despre potențialele amenințări, având disponibilitate ridicată și fail-over integrat. Asistenții de configurare a sursei ajută la configurarea rapidă a serverelor pentru a trimite toate datele jurnal și pentru a începe monitorizarea în câteva minute.
Nagios Log Server permite corelarea evenimentelor de jurnal de pe toate serverele cu ușurință, afișând datele jurnal în timp real pentru a analiza și rezolva problemele pe măsură ce apar. Produsul are o scalabilitate impresionantă, continuând să îndeplinească nevoile pe măsură ce organizația crește. Instanțe suplimentare Nagios Log Server pot fi adăugate la un cluster de monitorizare, pentru a crește puterea, viteza, stocarea și fiabilitatea.
Prețul pentru o singură instanță a Nagios Log Server este de 3.995 USD, și, deși o versiune de încercare gratuită nu este disponibilă, un demo online gratuit este accesibil pentru a analiza direct produsul.
6. Alert Logic Log Manager
Obiectivul principal al Alert Logic este securitatea și conformitatea. Și, deoarece gestionarea jurnalelor este strâns legată de ambele, compania oferă Alert Logic Log Manager, un instrument bazat pe cloud care oferă gestionarea automată și unificată a jurnalelor în toate mediile. Acesta colectează, agregă și caută date jurnal din cloud, server, aplicație, securitate și active de rețea.
Alert Logic Log Manager include monitorizarea și analiza jurnalelor, precum și revizuirea jurnalelor, realizată live de analiști umani. Experții de la Alert Logic oferă alerte cu privire la activități potențial amenințătoare, 365 de zile pe an. Serviciul ajută și la îndeplinirea cerințelor de revizuire a jurnalelor din SOC 2, HIPAA și SOX, descărcând sarcinile de revizuire și urmărire a evenimentelor, pentru conformitatea cu PCI/DSS 10.6, 10.6.1, 10.6.3.
Informații de preț pentru Alert Logic Log Manager nu sunt ușor disponibile online, fiind necesar un contact direct cu vânzările Alert Logic pentru a obține o ofertă oficială. O versiune de încercare gratuită nu este disponibilă, dar o demonstrație gratuită poate fi aranjată contactând Alert Logic.
7. LogDNA
Fondată în 2015, LogDNA este o companie nouă pe piață. Aceasta susține că „LogDNA este cel mai rapid, mai intuitiv și mai rentabil sistem de gestionare a jurnalelor”. Instalarea durează câteva minute, permițând imediat monitorizarea jurnalelor. Indiferent de modul în care jurnalele sunt generate și transmise, sute de scheme de integrare personalizate sunt disponibile pentru a centraliza jurnalele într-un singur panou.
LogDNA poate fi bazat pe cloud sau auto-găzduit, în funcție de preferințe. Este foarte scalabil, gestionând sute de mii de jurnale pe secundă și zeci de terabytes pe client pe zi, cu analiză de jurnal în timp real, într-un mediu sigur. Compania și produsele sale sunt conforme cu SOC2, PCI și HIPAA, precum și certificate Privacy Shield.
Cu un model de preț simplu, cu plată per GB, eliminând contractele și compartimentele de date fixe, compania are unul dintre cele mai scăzute costuri totale de proprietate. Sunt disponibile mai multe planuri de abonament cu funcții în creștere. Planul de bază este gratuit, iar planurile plătite variază de la 1,50 USD/GB/lună la 3 USD/GB/lună, în funcție de durata de păstrare și numărul de utilizatori. O versiune de încercare gratuită, cu funcții complete, de 14 zile este, de asemenea, disponibilă.
8. Graylog
Ultimul produs de pe lista noastră este Graylog, oferind multe caracteristici interesante. Instrumentul analizează și îmbogățește jurnalele și datele despre evenimente din orice sursă de date. Conductele de procesare oferă flexibilitate în rutarea, includerea pe lista neagră, modificarea și îmbogățirea mesajelor în timp real. Graylog caută în terabytes de date jurnal pentru a descoperi și analiza informații importante, iar sintaxa puternică de căutare ajută la găsirea informației precise.
Cu Graylog, se pot crea tablouri de bord pentru a vizualiza valorile și tendințele într-o locație centrală. Statisticile de câmp, valorile rapide și diagramele din pagina cu rezultatele căutării permit o analiză mai profundă a datelor. Sistemul are și opțiunea de a declanșa acțiuni sau notificări pentru evenimente precum încercările eșuate de autentificare, excepții sau degradarea performanței.
Graylog este disponibil ca versiune gratuită și open-source, cu funcții și suport limitat, sau ca versiune de întreprindere, cu funcții extinse și suport nelimitat. O licență de probă poate fi obținută contactând vânzările Graylog.