Syslog este un format de raportare extrem de util pe care îl folosesc multe dispozitive și aplicații de rețea. Mesajele de stare și evenimente produse de Syslog formează împreună o sursă bogată de informații care vă va permite să evitați defecțiunile dispozitivului, ajutându-vă în același timp la detectarea activității intrușilor.
Există multe sarcini pe care le puteți realiza mai bine cu informațiile furnizate de Syslog. Cu toate acestea, dacă nu aveți un server Syslog care operează în rețeaua dvs., lăsați toate acele surse utile de informații să circule în rețeaua dvs. nedetectate.
Astăzi, vom acoperi cele mai bune servere Syslog de pe piață pentru sisteme bazate pe Windows și Linux. Citiți mai departe!
Cuprins
Înțelegerea gestionării fișierelor Syslog
Sarcina principală a serverelor Syslog este de a capta datele Syslog și de a le scrie în fișier. Nu doriți ca acele fișiere să fie nesfârșite, așa că este recomandabil să clasificați mesajele și să le stocați în fișiere indexabile cu nume semnificative.
De exemplu, este o practică obișnuită să începeți un nou fișier jurnal în fiecare zi și să puneți data mesajelor în numele fișierului. Unii administratori de sistem aleg să arhivească mesajele în funcție de sursa lor. În aceste cazuri, veți crea o structură de directoare, cu un folder pentru fiecare dintre sursele standard după care clasificați mesajele, apoi veți folosi data ca nume de fișiere, acumulând o bibliotecă cronologică de fișiere pentru fiecare categorie.
Atunci când alegeți un server Syslog, capacitatea de a gestiona fișierele în care sunt stocate mesajele Syslog iese în evidență ca un beneficiu extraordinar. Mergând un pas mai departe, ai putea chiar să cauți un server Syslog care să includă funcții de analiză a datelor.
De asemenea, unele servere pot emite alerte atunci când frecvența anumitor tipuri de mesaje Syslog crește brusc. De exemplu, rapoartele privind conectările eșuate care cresc brusc ar putea indica faptul că un atac cu forță brută asupra unui cont de utilizator este în curs de către un hacker care încearcă să obțină acces la rețea. Acest eveniment ar fi de o importanță deosebită și ați dori să fiți conștient de el cât mai curând posibil.
Cele mai bune servere Syslog pentru Windows
Syslog este un standard care este independent de sistemul de operare. Chiar dacă serverul dvs. Syslog este pe un dispozitiv Windows, veți putea prelua date Syslog care provin de la un server sau un dispozitiv de rețea care rulează un sistem de operare complet diferit. Iată o listă de servere Syslog care vor rula în mediile Windows și Windows Server.
1. SolarWinds Kiwi Syslog Server
Kiwi Syslog Server se instalează pe Windows și Windows Server și este gratuit pentru a monitoriza până la cinci dispozitive. Acest pachet colectează mesaje urmând protocolul SNMP (Simple Network Management Protocol), precum și datele Syslog. Serverul va scrie mesaje în fișiere și, de asemenea, le va afișa în vizualizatorul interfeței utilitarului. În plus, programul server vă va avertiza dacă volumele de trafic de anumite tipuri sau surse de mesaje depășesc un prag.
Aveți opțiunea de a alege condițiile care determină serverul să deschidă un fișier nou. Acestea includ tipul de dispozitiv sursă și data mesajului. Kiwi Syslog Server va gestiona stocarea fișierelor în directoare cu nume semnificative, ceea ce facilitează căutarea mesajelor prin arhivă. Puteți încărca fișiere în vizualizatorul serverului pentru a examina datele istorice.
2. Paessler PRTG Syslog
PRTG este un sistem cuprinzător de monitorizare a infrastructurii. Elementul de colectare a datelor al pachetului este format din senzori. Nu trebuie să porniți toți senzorii; în schimb, puteți personaliza monitorul pentru a se concentra doar pe unul dintre domeniile sale de expertiză. Sistemul PRTG include un senzor Syslog, care este completat de rapoarte pre-scrise, afișaje și procedură de procesare a datelor.
Paessler oferă PRTG gratuit celor care folosesc până la 100 de senzori, astfel încât să puteți instala eficient PRTG și să-l utilizați ca server Syslog gratuit. Odată ce rulează serverul Syslog, veți avea și opțiunea de a porni unii dintre ceilalți senzori și de a obține date despre alte părți ale sistemului dumneavoastră IT.
3. WhatsUp Gold Syslog Server
WhatsUp Gold este un sistem de monitorizare a rețelei, iar producătorii săi, Ipswitch, oferă și un server Syslog gratuit. Serverul va afișa mesaje Syslog în interfața sa și, de asemenea, va scrie înregistrări în fișiere. WhatsUp va organiza, de asemenea, aceste fișiere într-o structură de directoare pentru a facilita găsirea seturilor de date.
Puteți specifica împărțirea datelor între fișiere în funcție de nivelul de avertizare, sursă și date. Este posibil să filtrați și să sortați datele în vizualizator, iar acestea pot fi date live sau înregistrări citite dintr-un fișier. Serverul WhatsUp Gold Syslog este capabil să proceseze până la 6 milioane de mesaje Syslog pe oră, astfel încât poate satisface rețele mari, chiar dacă este gratuit. Acest instrument se instalează pe Windows și Windows Server.
4. Syslog Watcher
Syslog Watcher este un alt server Syslog gratuit care rulează pe Windows. Acest serviciu operează o arhitectură cu mai multe fire care îi permite să proceseze simultan multe înregistrări Syslog. Aceasta este o caracteristică utilă dacă aveți o rețea mare cu o rată mare de mesaje Syslog care circulă în rețea.
Aceste mesaje sunt afișate într-un vizualizator în timp real și sunt, de asemenea, stocate în fișiere care pot fi inserate într-o bază de date. Oportunitatea de a salva toate înregistrările într-o bază de date este un mare avantaj, în primul rând pentru că vă oferă o perspectivă lungă asupra traficului rețelei dvs. pe o perioadă mai lungă decât lista de mesaje zilnice a fișierelor jurnal.
Puteți citi înregistrările în vizualizator din baza de date sau dintr-un fișier. Vizionatorul poate chiar să sorteze, să filtreze și să grupeze mesajele pentru a vă ajuta să analizați evenimentele despre care raportează. Syslog Watcher este disponibil pentru a fi instalat în mediul Windows.
5. Fastvue Syslog
Fastvue Syslog gratuit rulează în mediul Windows Server. Acest utilitar nu numai că creează fișiere Syslog, dar le păzește și pe acestea. Fiecare fișier jurnal pe care Fastvue îl monitorizează are un fișier hash înrudit (calculat cu un algoritm SHA de 256 de biți) care este o sumă de control pentru conținutul acelui fișier. Serverul monitorizează dimensiunea fiecărui fișier jurnal și chiar raportează când aceste dimensiuni se modifică. Aceste două măsuri sunt caracteristici de securitate importante, deoarece hackerii care operează intruziuni avansate de amenințări persistente vor modifica fișierele de jurnal pentru a-și acoperi urmele.
Serverul stochează mesajele Syslog în fișiere ordonate după dată, cu opțiunea de partiționare a datelor după tipul de dispozitiv. Fișierele sunt stocate în directoare numite pentru dispozitivul sursă, fiecare nume de fișier având data mesajelor pe care le conține. În cele din urmă, în interfața Fastvue, puteți vizualiza, sorta și chiar filtra toate mesajele arhivate încărcate din aceste fișiere pentru o analiză ușoară.
6. Visual Syslog Server
Visual Syslog Server este un utilitar open source gratuit care rulează pe Windows și Windows Server. Acesta este un utilitar necomplicat care colectează toate mesajele Syslog din rețeaua dvs. și le afișează într-un vizualizator. Codurile de culoare ale vizualizatorului codifică mesajele după tipul de gravitate — mesajele de eroare sunt roșii, iar avertismentele sunt galbene. Puteți chiar modifica schema de culori și este, de asemenea, posibilă filtrarea, sortarea și agregarea înregistrărilor în vizualizator. În cele din urmă, serverul stochează și acele mesaje Syslog în fișiere.
Puteți seta utilitarul să sune un zgomot atunci când întâlnește un mesaj de eroare și, de asemenea, îl puteți face să vă trimită o notificare pentru fiecare avertisment și eroare. Acele notificări pot fi trimise chiar și prin e-mail, care poate fi criptat dacă sistemul dvs. de e-mail poate gestiona criptarea.
7. TFTPD32
TFTPD32 este un server Syslog foarte simplu, creat de entuziaști, care rulează pe sisteme Windows pe 32 de biți. Există o facilitate însoțitoare numită TFTPD64, care este scrisă pentru sisteme pe 64 de biți. Acest utilitar nu are o interfață foarte sofisticată, dar este utilizat pe scară largă. Acest lucru se datorează faptului că lipsa de clopoței și fluiere îl face foarte ușor.
Instrumentul este într-adevăr un server TFTP. TFTP este Trivial File Transfer Protocol, care este un protocol foarte nesigur care nu ar trebui utilizat pe Internet. Cu toate acestea, este o metodă standard pentru transferul fișierelor de sistem mici într-o rețea privată. Interfața poate fi schimbată pentru a deveni un server DHCP pentru a gestiona distribuția adreselor IP și poate fi, de asemenea, setată să acționeze ca server Syslog. În cele din urmă, TFTPD32 va stoca mesajele dvs. Syslog în fișier.
Deși instalația poate fi un server TFTP, un client TFTP, un server DHCP și un server Syslog, aceeași instanță nu poate îndeplini toate aceste sarcini simultan.
8. SureLog
SureLog este destinat întreprinderilor mici, dar nu este gratuit. Puteți instala software-ul pe Windows. Este destinat pieței de securitate a sistemului și filtrează mesajele de evenimente regulate pentru a evidenția amenințările de securitate. Pe lângă captarea mesajelor Syslog și stocarea lor în fișiere, serviciul SureLog monitorizează acele fișiere jurnal pentru a se asigura că nu sunt manipulate de hackeri care încearcă să-și acopere urmele. În cele din urmă, utilitarul arată și acele mesaje importante în vizualizatorul său de jurnal.
Cele mai bune servere Syslog pentru Linux/Unix
Linux este cunoscut ca un sistem de operare „asemănător Unix”. În general, o bucată de software care va rula pe Linux va rula probabil și pe Unix. Iată o listă de servere Syslog care se instalează pe Linux și/sau Unix.
9. Icinga 2
Icinga este unul dintre cele mai importante instrumente de monitorizare a sistemelor open source din lume. Este gratuit de utilizat și cea mai recentă versiune se numește Icinga 2. Instrumentul se instalează pe Linux și una dintre caracteristicile sale este o facilitate de monitorizare a mesajelor de jurnal. Puteți specifica tipul de mesaje de capturat și una dintre opțiuni este Syslog. Serverul va afișa mesaje Syslog și, de asemenea, le va scrie în fișier. În cele din urmă, puteți încărca și mesajele stocate în vizualizator.
Sistemul Icinga are două părți, care sunt o secțiune de procesare, numită Icinga Core și un front end, care se numește Web 2.0. Nici măcar nu trebuie să utilizați Web 2.0 ca interfață cu procesorul de date deoarece există și alte aplicații care sunt compatibile. Deoarece codul este open source, puteți, de asemenea, adapta programul Web 2.0 pentru a vă crea propriul front-end corporativ.
10. Syslog-NG
Syslog-NG se instalează pe computere Linux. Acest instrument este gratuit și este un proiect open source. Utilitarul colectează mesaje Syslog și evenimente Windows. Va stoca acele mesaje în fișiere. De asemenea, puteți alege să obțineți instrumentul de inserare a înregistrărilor într-o bază de date SQL sau să le transmiteți către alte aplicații. Syslog-NG nu include niciun instrument de analiză, dar fișierele pe care le creează serverul pot fi deschise în alte facilități.
11. Logstash
Logstash este un sistem open source care se instalează pe Linux. Acesta este un utilitar gratuit care face parte dintr-un grup de aplicații numit „Elastic Stack”. Programul cheie din Elastic Stack este Elasticsearch. Un alt modul din stivă se numește Kibana, care este un front end gratuit foarte bine cunoscut, care poate interfața cu multe motoare de procesare diferite. Logstash este colectorul din stivă. Ascultă mesajele Syslog și le înregistrează. Dacă doriți mai multe funcționalități, instalați Elasticsearch, care va sorta și filtra datele Syslog pentru analiză. În cele din urmă, adăugați apoi Kibana pentru a accesa înregistrările printr-un vizualizator.
Procesele de detectare a mesajelor de jurnal ale Logstash sunt universale și nu specifice unui anumit tip de format de înregistrare a erorilor. Ar trebui să personalizați sistemul pentru a vă concentra pe datele Syslog instalând un plug-in gratuit. Funcțiile de procesare a mesajelor din Logstash pot înregistra în mod condiționat înregistrări, pierzând mesajele mai puțin importante și scriind în diferite fișiere conform unui set de reguli pe care îl definiți în interfața cu utilizatorul. Logstash poate scoate chiar și fișiere în formate care sunt compatibile cu Nagios, Icinga, Loggly, Graylog, AWS și Graphite.
12. Graylog
Graylog este un manager de fișiere jurnal care rulează pe Linux. Puteți obține utilitarul gratuit – dar acea versiune este limitată la colectarea de până la doar 5 GB de date pe zi. Interfața pentru Graylog este bazată pe browser, ceea ce îl face independent de sistemul de operare și ușor la ochi. Puteți utiliza partea frontală a Graylog și modulul de colectare a datelor al unui alt instrument, cum ar fi Logstash. Alternativ, puteți utiliza modulul de colectare a datelor din Graylog cu Kibana ca front-end. După cum puteți vedea, acest instrument vă oferă o mulțime de opțiuni.
13. Fluentd
Fluend este un server Syslog gratuit care rulează pe Linux și Mac OS. Utilitarul poate colecta o gamă largă de tipuri de mesaje de jurnal, precum și Syslog. Trebuie să adăugați un plug-in pentru a extinde capacitățile instrumentului. Cu toate acestea, trebuie să știți că acesta este doar un sistem de colectare a datelor. Va trebui să adăugați un alt front end, cum ar fi Nagios, pentru a obține o interfață de analiză și vizualizare în fața capabilităților de procesare ale Fluentd.
14. Humio
Humio rulează pe Linux, dar îl puteți obține și ca serviciu online. Sistemul nu este gratuit de utilizat, dar este disponibil pentru potențialii cumpărători pentru a-l rula prin ritmul său cu o încercare gratuită. Instrumentul este susținut de o comunitate de utilizatori și poate fi chiar extins prin plug-in-uri. Cu toate acestea, acesta este doar un colector și veți avea nevoie de alte instrumente pentru a vizualiza și analiza înregistrările Syslog care sunt colectate de Humio.
Cele mai bune servere Syslog pentru Windows sau Linux/Unix
Deși Windows este cel mai instalat sistem de operare pentru computer din lume, multe utilitare de rețea necesită Linux pentru a funcționa. Asigurându-vă că prindeți ambele piețe, mulți producători de software își creează software-ul astfel încât să aibă atât o versiune Windows, cât și una Linux. Iată o listă de servere Syslog care sunt produse în versiuni pentru Windows și Linux/Unix.
15. Analizor de jurnal de evenimente ManageEngine
ManageEngine este unul dintre cei mai importanți producători mondiali de instrumente de monitorizare a infrastructurii. Analizorul de jurnal de evenimente se instalează pe Windows și Linux și poate fi utilizat gratuit pentru a monitoriza cinci surse sau mai puțin. Instrumentul ManageEngine nu doar colectează mesaje Syslog, ci folosește informațiile din antet în transmiterea mesajelor pentru a vă mapa rețeaua. În cele din urmă, utilitarul poate colecta și mesaje SNMP.
Puteți vizualiza mesaje noi în tabloul de bord al instrumentului și, de asemenea, le puteți scrie în fișiere. În timp ce vă aflați în tabloul de bord, puteți sorta și filtra mesajele pentru analiză. Fișierele jurnal sunt comprimate și criptate, accesul fiind limitat doar personalului autorizat. Fișierele pot fi citite în tabloul de bord din arhivă, astfel încât să aveți acces chiar și la datele istorice pentru analiză. Acest instrument se integrează bine cu pachetul de monitorizare a rețelei ManageEngine, care se numește OpManager.
16. Tipul
The Dude este un produs al producătorului de echipamente de rețea MikroTik. Cu toate acestea, poate prelua mesajele Syslog generate de echipamentele produse de orice producător. Acesta este un utilitar gratuit și poate fi instalat pe Windows, Linux sau Mac OS. Instrumentul este foarte flexibil și poate colecta mesaje SNMP, precum și date Syslog.
Instrumentul va analiza mesajele în diferite fișiere în funcție de cerințele pe care le introduceți în paginile de setări ale interfeței. Mesajele vor fi, de asemenea, afișate în tabloul de bord și puteți chiar fi alertat printr-un sunet sau un mesaj pop-up când sosesc mesajele. În cele din urmă, vizualizatorul de mesaje vă permite să sortați și să filtrați înregistrările pentru analiză.
17. Nagios Log Server
Nagios Core este un sistem de monitorizare a rețelei open source gratuit. Icinga 2, care este detaliat mai sus, a fost dezvoltat dintr-o copie a codului Nagios Core. Acesta este un instrument foarte respectat, care este literalmente imitat de alții. Există, de asemenea, o versiune plătită de Nagios, numită Nagios XI, iar dezvoltatorii acestui produs au creat și un instrument de server de jurnal. Serverul de jurnal nu este gratuit, dar nu trebuie să plătiți pentru a-l utiliza pentru a monitoriza 500 MB de date pe zi sau mai puțin.
Nagios Log Server rulează pe Windows și Linux. Acesta va aduna evenimente Windows, precum și date Syslog. Înregistrările vor fi scrise în fișier și sunt, de asemenea, listate în tabloul de bord al serverului de jurnal. Jurnalele pot fi stocate într-o locație centrală sau distribuite pe mai multe servere. Există, de asemenea, o opțiune de a crea copii de rezervă ale fișierelor jurnal. Puteți chiar să filtrați mesajele Syslog, astfel încât să nu fie stocate toate sau, opțional, să redirecționați mesajele importante într-un fișier separat. În cele din urmă, tabloul de bord vă permite să sortați și să filtrați datele live și, de asemenea, să analizați datele istorice citite din fișierele Syslog.
18. Splunk
Pachetul de analiză a fișierelor Splunk este disponibil atât în versiunea gratuită, cât și în versiunea plătită. Versiunea gratuită este limitată la analiza datelor fișierelor. Cu toate acestea, îl puteți face să se uite la mesajele dvs. Syslog live dacă le canalizați printr-un fișier. Din păcate, va trebui să utilizați un alt instrument pentru a colecta mesajele respective. Splunk va rula pe Linux, Windows și Mac Os. Versiunea gratuită este limitată la un flux de date de 500 MB pe zi.
Alegeți un server Syslog
Puteți încerca câteva dintre serverele Syslog de pe această listă, deoarece majoritatea sunt gratuite, iar cele care nu oferă teste gratuite. Gestionarea mesajelor Syslog vă va permite să obțineți feedback important despre rețeaua dvs. și acel canal de feedback nu trebuie trecut cu vederea!
Utilizați deja un server Syslog pe care l-ați recomanda altora? Utilizați vreunul dintre sistemele recomandate în lista noastră? Lăsați un mesaj în secțiunea Comentarii de mai jos și împărtășiți-vă experiența.