8 найкращих програм для керування журналами для швидшого усунення несправностей

| | 0 Comments| 4:45 PM
Categories:

Сучасні системи генерують багато реєстраційних даних. На багатьох платформах кожна подія, важлива чи ні, десь реєструється. Як правило, журнали зберігаються локально. Це має сенс, оскільки журнали пов’язані з їх джерелом. Але намагаючись усунути проблеми та знайти їх першопричину, це часто означає, що нам доводиться переглядати кілька файлів журналів на багатьох пристроях. Чи не було б добре, якби всі журнали з усіх пристроїв зберігалися в одному місці? Керування журналами — це та багато іншого, як ви зараз дізнаєтесь. І сьогодні ми розглядаємо найкращі системи керування журналами.

Ми почнемо зі спроби пояснити, що таке керування журналами. Як ви побачите, це може бути набагато більше, ніж просто централізація зберігання журналів. Далі ми поговоримо про протоколи реєстрації. Це досить важливо, оскільки без них керування журналами не існувало б. Потім ми спробуємо відрізнити сервери системного журналу від систем керування журналами. На жаль, чіткого розмежування між ними немає. Далі ми обговоримо інформацію про безпеку та системи керування подіями, тому що це ще один тип системи, який часто плутають із керуванням журналами, завдяки дещо нечіткому визначенню кожного з них. І нарешті, ми розглянемо вісім найкращих систем керування журналами, які ми змогли знайти.

Управління журналами – що це таке

Перш ніж говорити про керування журналами, давайте подивимося, що таке журнал. Простіше кажучи, журнал — це автоматично створена документація про події, що мають відношення до певної системи, із мітками часу. Щоразу, коли в системі відбувається подія, створюється журнал. Різні системи створять журнали для різних подій, і багато систем надають адміністраторам певний рівень контролю над тим, що створює журнал, а що ні.

Коли ми говоримо про керування журналами, ми маємо на увазі процеси та політики, які використовуються для адміністрування та полегшення генерації, передачі, аналізу, зберігання, архівування та остаточного видалення великих обсягів даних журналу. Управління журналами передбачає централізовану систему, де журнали збираються з кількох джерел.

Але керування журналами — це не просто збір журналів. Управлінська частина є найважливішою. Системи керування журналами зазвичай мають кілька функціональних можливостей, і збір журналів є лише однією з них.

Після того, як журнали отримані системою керування журналами, їх потрібно «перевести» у загальний формат. Різні системи форматують журнали по-різному і включають різні дані в свої журнали. Деякі починають журнал з дати та часу, деякі починають його з номера події. Деякі містять лише ідентифікатор журналу, а інші містять повний текстовий опис події. Однією з цілей систем керування журналами є забезпечення того, щоб усі зібрані записи журналу зберігалися в єдиному форматі. Це значно полегшить пошук і кореляцію подій.

Якщо говорити про пошук і навіть кореляцію, то це ще одна важлива функція багатьох систем керування журналами. Деякі з них мають потужну пошукову систему, яка дозволяє адміністраторам визначити саме те, що їм потрібно. Функції кореляції автоматично групують пов’язані події, навіть якщо вони з різних джерел. Як і наскільки успішно різні системи керування журналами досягають цього, є основним фактором відмінності.

Протоколи реєстрації

Управління журналами було б набагато складніше, якщо взагалі можливо, якби не протоколи реєстрації. Існують деякі з них, які визначають, які дані мають бути включені в журнали, як вони мають бути відформатовані та як вони мають передаватися між системами.

Syslog, мабуть, є найбільш використовуваним протоколом реєстрації. Винайдений на початку вісімдесятих, він став де-факто стандартом для Unix-подібних систем. Однією з найбільших переваг протоколу syslog є те, як він розділяє програмне забезпечення, яке створює журнали, систему, яка їх зберігає, і програмне забезпечення, яке звітує та аналізує їх. Використання протоколу Syslog значно полегшує керування журналами. Багато пристроїв, що не належать до Unix, наприклад комутатори-маршрутизатори та інше мережеве обладнання від багатьох виробників, використовують варіант протоколу системного журналу.

Microsoft Windows, як ви вже здогадалися, використовує іншу систему реєстрації. Це може бути пов’язано з тим, що операційні системи та програми Windows мають журнали, які зазвичай містять набагато більше інформації, ніж дозволено системним журналом. На щастя, функції Windows Event Collector забезпечують засіб для систем керування журналами для отримання подій від хостів Windows.

  Як скопіювати та вставити на Chromebook

Незалежно від того, який протокол реєстрації використовується, важливою частиною керування журналами є налаштування пристроїв для надсилання своїх журналів у систему керування. Це відрізняється від інших інструментів, таких як системи моніторингу мережі, де інструмент отримує дані з хостів.

Сервери журналів проти керування журналами

Оскільки він був доступний у кожній Unix-подібній системі протягом досить тривалого часу, Syslog часто використовується як сервер журналів з одним комп’ютером, який отримує дані системного журналу від кількох інших. Хоча це централізоване зберігання журналів має певні переваги, воно не є керуванням журналами.

Щоб заслужити назву системи керування журналами, продукт повинен включати принаймні деякі розширені функції. Згідно з Вікіпедією, керування журналами складається з таких функцій: збір журналів, централізоване зведення журналів, довготривале зберігання та збереження журналів, ротація журналів, аналіз журналів, пошук журналів та звітування. Сервери журналів часто пропонують лише збір і зберігання журналів і рідко більше того. Кожна з систем керування журналами у нашому топ-переліку пропонує принаймні деякі з більш розширених функцій.

Як щодо систем SIEM?

Іншою популярною технологією, яку часто асоціюють із журналами й плутають із системами керування журналами, є керування інформацією та подіями безпеки, або SIEM. Це дуже відрізняється від керування журналами, хоча і тісно пов’язане. Насправді, деякі продукти, рекламовані як системи керування журналами, насправді є системами SIEM, тоді як деякі базові системи SIEM — це не що інше, як системи керування журналами.

Основна причина цієї плутанини полягає в тому, що керування журналами — або, принаймні, аналіз журналів — є важливим компонентом систем SIEM. Насправді, системи SIEM зазвичай виводять управління журналами на новий рівень, додаючи в процес деякі інтелектуальні можливості. Ці системи виконують аналіз журналів з кінцевою метою виявлення проблем безпеки. Вони, наприклад, будуть шукати ознаки невдалого входу в систему, які вказують на спробу несанкціонованого вторгнення. Ці системи автоматично сканують записи журналу, шукаючи щось незвичайне.

Системи SIEM мають більше відношення до ІТ-безпеки, ніж до управління ІТ, і хоча деякі з них включають широкі функції керування журналами, багато з них також можуть використовувати зовнішні системи керування журналами, і нерідко можна побачити, що обидві системи працюють пліч-о-пліч.

Найкраще програмне забезпечення для керування журналами

Тепер, коли ми маємо спільне розуміння того, що таке керування журналами, а що ні, давайте подивимося, що доступно. Ми шукали на ринку одні з найкращих систем керування журналами. Наш початковий висновок полягає в тому, що їх багато, і багато з них дуже хороші. Але у нас лише так багато місця, тому ми збираємося розглянути вісім найцікавіших, які ми могли знайти.

1. SolarWinds Papertrail

SolarWinds — поширена назва в області інструментів адміністрування мережі. Він існує вже майже 20 років і приніс нам один з найкращих інструментів моніторингу пропускної здатності та один з найкращих аналізаторів і колекторів NetFlow. Компанія також добре відома тим, що видає кілька безкоштовних інструментів, які відповідають певним потребам мережевих адміністраторів, таких як калькулятор підмережі або сервер системного журналу.

Кілька років тому придбала SolarWinds Papertrail, популярна система керування журналами. Він об’єднує файли журналів з широкого спектру популярних продуктів, таких як Apache або MySQL, а також додатків Ruby on Rails, різних хмарних служб хостингу та інших стандартних текстових файлів журналів. Papertrail користувачі потім можуть використовувати веб-інтерфейс пошуку або інструменти командного рядка для пошуку в цих файлах, щоб допомогти діагностувати помилки та проблеми з продуктивністю. Papertrail також інтегрується з іншими продуктами SolarWinds, такими як Librato і Geckoboard, для створення графіків результатів.

Papertrail — це хмарне програмне забезпечення як послуга (SaaS), яке пропонує SolarWinds. Його легко реалізувати, використовувати та зрозуміти. І це дасть вам миттєву видимість у всіх системах за лічені хвилини. Інструмент має дуже ефективну пошукову систему, яка може шукати як збережені, так і потокові журнали. І це блискавично.

  Як вимкнути та видалити історію Siri на iPhone та iPad

Papertrail доступний за кількома планами, включаючи безкоштовний план. Однак він дещо обмежений і дозволяє щомісяця зберігати лише 100 МБ журналів. Однак це дозволить 16 ГБ журналів у перший місяць, що еквівалентно безкоштовній 30-денній пробній версії. Платні плани починаються від 7 доларів США на місяць за 1 Гб на місяць журналів, 1 рік архіву та 1 тиждень індексу. Фільтрація шуму дозволяє інструменту зберігати дані, не зберігаючи непотрібні журнали.

2. Менеджер журналів і подій SolarWinds (БЕЗКОШТОВНА ПРОБНА ОПЕРАЦІЯ)

Наш наступний запис — це ще один продукт від SolarWinds під назвою SolarWinds Менеджер журналів і подій. На відміну від нашого попереднього запису, це локально встановлений продукт. І це набагато більше, ніж просто система керування журналами. Багато розширених функцій цього продукту включають його в діапазон SIEM. Наприклад, він має кореляцію вентиляційних каналів у режимі реального часу та відновлення в режимі реального часу.

Ось огляд Менеджер журналів і подій SolarWindsосновні риси. Він швидко усуває загрози за допомогою миттєвого виявлення підозрілої активності та автоматизованих відповідей. Він також може проводити розслідування подій безпеки та криміналістичну експертизу для пом’якшення та відповідності. А якщо говорити про відповідність, продукт дозволить вам продемонструвати це завдяки перевіреній аудитом звітності для HIPAA, PCI DSS та SOX, серед інших. Цей інструмент також має моніторинг цілісності файлів і моніторинг USB-пристроїв, дві функції, які набагато вище того, що ми зазвичай бачимо в системах керування журналами.

Ціни на Менеджер журналів і подій SolarWinds від 4 585 доларів США за до 30 контрольованих вузлів. Можна придбати ліцензії до 2500 вузлів, що робить продукт високомасштабованим. І якщо ви хочете власноруч переконатися, що продукт підходить саме вам, доступна безкоштовна повнофункціональна 30-денна пробна версія.

3. ipswitch Log Management Suite

The Пакет керування журналами це інструмент від Ipswitch, тієї самої компанії, яка представила нам WhatsUp Gold, надзвичайно популярний інструмент моніторингу мережі. Це автоматизований інструмент, який збирає, зберігає, архівує та зберігає системні журнали, події Windows і журнали W3C/IIC. Крім того, його безперервне спостереження за журналами попередить вас про будь-які підозрілі дії.

Часто перевіряються події, такі як права доступу та привілеї файлів, папок та об’єктів, можна відстежувати, генеруючи сповіщення за потреби та використовувати для створення звітів про відповідність вимогам HIPAA, SOX, FISMA, PCI, MiFID або Basel II. Інструмент також може допомогти вам перетворити ваші вихідні дані журналу в значущі дані для менеджерів або команд з ІТ-безпеки завдяки своїм функціям автоматичної фільтрації, кореляції, звітності та перетворення.

Інформація про ціни на Пакет керування журналами недоступний з Ipswitch. Продукт можна придбати або безпосередньо у видавця, або через мережу посередників Ipswitch. Також доступна безкоштовна пробна версія.

4. ManageEngine EventLog Analyzer

ManageEngine, інше поширене ім’я адміністратора мережі, створює чудову систему керування журналами під назвою ManageEngine EventLog Analyzer. Продукт буде збирати, керувати, аналізувати, співвідносити та шукати дані журналів понад 700 джерел, використовуючи комбінацію або безагентну збірку журналів на основі агентів, а також імпорт журналів.

Швидкість є однією з ManageEngine EventLog Analyzerсила. Він може обробляти дані журналів зі вражаючою швидкістю 25 000 журналів у секунду і виявляти атаки в режимі реального часу. Він також може виконувати швидкий криміналістичний аналіз, щоб зменшити вплив порушення. Можливості аудиту системи поширюються на журнали пристроїв периметра мережі, діяльність користувачів, зміни облікового запису сервера, доступ користувачів тощо, допомагаючи вам задовольнити потреби аудиту безпеки.

The ManageEngine EventLog Analyzer доступний у безкоштовній версії зі зниженими функціями, яка підтримує лише 5 джерел журналів, або в преміум-версії, вартість якої починається від 595 доларів США і залежить від кількості пристроїв і програм. Також доступна безкоштовна повнофункціональна 30-денна пробна версія.

5. Сервер журналів Nagios

Nagios найбільш відомий своїм чудовим програмним забезпеченням для моніторингу мережі, але його Log Server, можливо, не менш цікавий. Влучно назвав Сервер журналів Nagios, він пропонує централізоване керування журналами, моніторинг та аналіз. The Сервер журналів Nagios спрощує процес пошуку даних журналу. Він також дозволяє налаштувати сповіщення, щоб отримувати сповіщення про потенційні загрози. Крім того, програмне забезпечення має високу доступність і вбудовану функцію перемикання збоїв. Його прості майстри налаштування джерела допоможуть вам швидко налаштувати сервери для надсилання всіх даних журналів і почати моніторинг ваших журналів за лічені хвилини. .

  Найкращий додаток для сну 2021 року (включаючи програми для відстеження сну)

The Сервер журналів Nagios дозволяє легко співвідносити події журналу на всіх серверах лише за кілька кліків. І це дозволяє вам переглядати дані журналу в режимі реального часу, надаючи вам можливість аналізувати та вирішувати проблеми в міру їх виникнення. Продукт має вражаючу масштабованість і продовжуватиме відповідати вашим потребам у міру зростання вашої організації. Додатковий Сервер журналів Nagios екземпляри можна додати до кластеру моніторингу, що дозволить вам швидко додати більше потужності, швидкості, зберігання та надійності.

Ціна за один екземпляр за Сервер журналів Nagios коштує 3 995 доларів США, і хоча безкоштовна пробна версія, здається, недоступна, безкоштовна онлайн-демонстрація – це якщо ви віддаєте перевагу познайомитися з продуктом з перших рук.

6. Диспетчер логіки попереджень

Основною метою Alert Logic є безпека та відповідність. І оскільки керування журналами тісно пов’язане з обома, не дивно, що компанія пропонує Менеджер логіки попереджень. Цей хмарний інструмент пропонує автоматизоване й уніфіковане керування журналами в усіх ваших середовищах. Він буде збирати, об’єднувати та шукати дані журналу з хмари, сервера, програми, безпеки та мережевих ресурсів.

The Менеджер логіки попереджень включає моніторинг та аналіз журналів, а також огляд журналу, який виконується в реальному часі людськими аналізаторами. Експерти Alert Logic повідомлятимуть вас про можливу загрозу 365 днів на рік. Служба також допоможе задовольнити вимоги до перегляду журналів SOC 2, HIPAA і SOX і зніме тягар перегляду журналів і подальших подій, щоб відповідати PCI/DSS 10.6, 10.6.1, 10.6.3

Інформація про ціни на Менеджер логіки попереджень не доступний в Інтернеті, і вам потрібно буде зв’язатися з відділом продажів Alert Logic, щоб отримати офіційну пропозицію. Безкоштовна пробна версія також недоступна, але безкоштовну демонстрацію можна організувати, звернувшись до Alert Logic.

7. LogDNA

Заснована в 2015 році, LogDNA це нова дитина на блоку. Компанія стверджує, що «LogDNA є найшвидшою, найбільш інтуїтивно зрозумілою та економічно ефективною системою керування журналами». Все починається з інсталяції, яка займає всього пару хвилин, перш ніж ви зможете почати відстежувати свої журнали. Незалежно від того, як створюються та передаються журнали, доступні сотні спеціальних схем інтеграції для централізації журналів в одній панелі.

LogDNA може бути хмарним або самостійно розміщеним, залежно від ваших уподобань. Він має високу масштабованість і може обробляти сотні тисяч журналів за секунду та десятки терабайт на кожного клієнта на день із повною безпекою з аналізом журналів у реальному часі. Компанія та її продукти відповідають вимогам SOC2, PCI та HIPAA, а також мають сертифікат Privacy Shield.

Завдяки своїй простій моделі ціноутворення з оплатою за ГБ, яка виключає контракти та фіксовані сегменти даних, компанія має одну з найнижчих загальних витрат на володіння. Доступно кілька планів підписки з розширеними функціями. План нижнього рівня є безкоштовним, а платні плани варіюються від $1,50/ГБ/місяць до 3$/ГБ/місяць залежно від тривалості збереження та кількості користувачів. Також доступна безкоштовна повнофункціональна 14-денна пробна версія.

8. Сіра колода

Останнім у нашому списку є продукт під назвою Сірий журнал. Продукт має багато цікавих функцій. Інструмент буде аналізувати та збагачувати журнали та дані про події з будь-якого джерела даних. Його конвеєри обробки надають певну гнучкість у маршрутизації, внесенні в чорний список, модифікації та збагаченні повідомлень у режимі реального часу. Сірий журнал здійснюватиме пошук у терабайтах даних журналу, щоб виявити та проаналізувати важливу інформацію. Потужний синтаксис пошуку дозволяє знайти саме те, що ви шукаєте.

З Сірий журнал, ви можете створювати інформаційні панелі для візуалізації показників і спостереження за тенденціями в одному центральному місці. Ви можете використовувати статистику полів, швидкі значення та діаграми зі сторінки результатів пошуку, щоб зануритися в глибший аналіз ваших даних. Система також має можливість ініціювати дії або надсилати сповіщення про такі події, як невдалі спроби входу, винятки або зниження продуктивності.

Сірий журнал доступна як безкоштовна версія з відкритим вихідним кодом, обмежена функція, яка також має обмежену підтримку, або як версія для підприємства з розширеними функціями та необмеженою підтримкою. Пробну ліцензію також можна отримати, звернувшись Сірий журнал продажів.