Централізований збір журналів: огляд безкоштовних серверів Syslog
В роботі мережевого адміністратора постійно виникає безліч подій на різних пристроях, які потребують уваги.
Раніше, коли я був ще молодим фахівцем, щоденною рутиною було перевіряти журнали помилок кожного окремого пристрою.
Зі зростанням мережі це завдання ставало все більш часозатратним, забираючи майже весь ранок.
На щастя, завдяки технологіям віддаленого журналу syslog та інтелектуальним системам ведення логів, ці часи залишились у минулому.
У цій статті ми розглянемо найкращі безкоштовні сервери системного журналу, які доступні для використання.
Перш ніж перейти до огляду кращих безкоштовних серверів, важливо обговорити необхідність централізованого ведення журналів.
Ми розглянемо, що таке система системного журналу, її походження та принципи роботи.
Оскільки багато адміністраторів працюють з Windows, ми також розглянемо, як можна об’єднати події з цих систем з подіями інших платформ.
Окремо згадаємо пастки SNMP, як ще один популярний спосіб передачі системних повідомлень.
І наостанок, ми представимо наш список найкращих безкоштовних серверів системного журналу.
Навіщо потрібне централізоване ведення журналів?
Якщо вам, як і мені колись, доводилось щодня аналізувати журнали на десятках пристроїв, ви розумієте, наскільки це може бути одноманітним, трудомістким та схильним до помилок процесом.
Велика кількість повідомлень, які необхідно переглянути, підвищує ймовірність пропустити важливу інформацію.
Крім того, багато пристроїв виділяють обмежені ресурси для зберігання журналів, видаляючи старі події, коли виникають нові.
Це створює серйозний ризик пропустити важливу подію, особливо якщо врахувати, що деякі події можуть бути першопричинами інших.
Централізоване ведення журналів має кілька важливих переваг.
По-перше, воно гарантує, що всі зафіксовані події будуть збережені.
По-друге, ідеально, щоб централізована система мала інтелект для аналізу подій і автоматичного сповіщення у разі виявлення чогось важливого.
Саме такі можливості надають багато сучасних серверів системного журналу.
Що таке Syslog?
Syslog – це, по суті, дві речі.
По-перше, це протокол, який визначає стандарти ведення журналів подій в комп’ютерних системах.
По-друге, це формат, в якому обмінюються повідомленнями між системами.
Система syslog складається з двох компонентів: клієнтського, що працює на кожному пристрої, який реєструє події, і серверного, що приймає інформацію від клієнтів.
Syslog зародився у 1980-х роках у світі Unix, зокрема як система обміну журналами для Sendmail – системи доставки електронної пошти.
Система виявилась настільки ефективною, що її швидко поширили на інші частини Unix, а потім і на мережеві пристрої, такі як маршрутизатори, комутатори та брандмауери.
Формат повідомлення Syslog
Повідомлення syslog містить декілька елементів: дату і час події, ім’я хоста, процес, який ініціював подію, рівень серйозності (в квадратних дужках), ідентифікатор процесу та тіло повідомлення.
Приклад:
Sep 14 14:09:09 test_device dhcp service[warning] 110 message body
Існує вісім рівнів серйозності, від «налагодження» до «аварійної ситуації» (іноді називають «панікою»).
Це важливо, оскільки багато серверів системного журналу можна налаштувати для реагування на повідомлення певного рівня серйозності.
Як бути з системами Windows?
Починаючи з Windows NT у 1993 році, системи Windows також генерують події, які зазвичай переглядаються за допомогою програми перегляду журналів.
Однак, якщо ви керуєте комбінованим середовищем з Unix/Linux, мережевими пристроями та серверами Windows, було б зручно мати всі системні події в одному централізованому місці.
Основна складність полягає у відмінності форматів. Події Windows не містять тієї самої інформації, що й події syslog.
Для інтеграції є декілька способів. Ви можете використовувати WinRM та PowerShell, або ж спеціальне програмне забезпечення, яке автоматизує пересилання.
Одним з таких є безкоштовне програмне забезпечення SolarWinds Event Log Forwarder for Windows.
SolarWinds Event Log Forwarder для Windows (БЕЗКОШТОВНО)
SolarWinds відома своїми інструментами для управління та моніторингу мереж.
Компанія пропонує безкоштовні 30-денні ознайомлювальні версії для більшості продуктів, а також ряд безкоштовних інструментів.
Одним з таких є Event Log Forwarder for Windows.
SolarWinds Event Log Forwarder for Windows автоматично пересилає журнали подій Windows як повідомлення syslog на будь-який сервер.
Ви можете використовувати його для швидкого визначення та автоматичного надсилання подій з робочих станцій та серверів.
Програма дозволяє вказувати, які події пересилати за джерелом, ідентифікатором типу або ключовими словами, а також надсилати події на кілька серверів.
Для налаштування потрібно завантажити програмне забезпечення з веб-сайту SolarWinds і встановити його на кожний сервер, з якого ви хочете експортувати події.
Завдяки графічному інтерфейсу користувача легко налаштувати параметри експорту.
Ви вказуєте, які події включати та куди їх надсилати.
Посилання: https://www.solarwinds.com/free-tools/event-log-forwarder-for-windows
SNMP Traps: ще один тип сповіщень про події
Якщо ви знайомі з моніторингом мережі, то напевно чули про SNMP (простий протокол управління мережею).
Він використовується для збору лічильників інтерфейсу та обчислення використання пропускної здатності.
Існує також тип SNMP-трафіку, званий SNMP traps. Це повідомлення, які надсилаються одним пристроєм іншому для сповіщення про певну ситуацію.
Багато мережевих пристроїв можна налаштувати на розсилання пасток SNMP, коли виникає проблема.
На відміну від системного журналу, кожен тип пастки потрібно налаштувати окремо.
Наприклад, пристрій може надсилати пастку, коли інтерфейс виходить з ладу або трафік перевищує певний поріг.
Ми згадуємо SNMP traps, оскільки деякі з інструментів, які ми розглянемо, можуть працювати і як приймачі пасток.
Маючи систему, яка підтримує та об’єднує події syslog та SNMP, ви отримуєте уніфіковане рішення для моніторингу.
Ми обов’язково вкажемо, які сервери системного журналу підтримують SNMP, коли будемо розглядати кожен з них.
Кращі безкоштовні сервери Syslog
Сервери Syslog бувають різних типів і з різними функціональними можливостями.
Деякі лише зберігають журнали в централізованому місці, інші дозволяють відображати їх на консолі після застосування фільтрів.
Деякі сервери налаштовуються для реагування на певні типи подій, наприклад, створюючи сповіщення, які можуть відображатися на екрані, надсилатися електронною поштою або SMS.
Крім того, одні сервери підтримують лише протокол syslog, а інші обробляють події Windows та/або SNMP.
Ми підготували список із шести найкращих безкоштовних серверів системного журналу.
Деякі з них є повноцінними безкоштовними рішеннями, а інші — обмеженими версіями платних продуктів.
Ось наш список:
- SolarWinds Kiwi Syslog Server Free Edition
- ManageEngine EventLog Analyzer
- Paessler PRTG
- WhatsUp Gold Syslog Server
- Syslog Watcher
- Visual Syslog Server for Windows
1. SolarWinds Kiwi Syslog Server Free Edition (БЕЗКОШТОВНО)
Ми вже згадували про SolarWinds у контексті пересилання журналів подій для Windows.
Kiwi Syslog Server Free Edition є ще одним чудовим безкоштовним продуктом компанії, хоча й з обмеженням на обробку повідомлень лише з п’яти пристроїв.
Тому він підійде лише для невеликих мереж.
Kiwi Syslog Server, встановлюється лише на Windows Server 2008/2012 або Windows 7/8/10, записує всі отримані повідомлення до консолідованого журналу та відображає їх на інформаційній панелі.
Він збирає дані з будь-якого пристрою, який може генерувати повідомлення syslog або пастки SNMP, включаючи більшість маршрутизаторів, комутаторів та пристроїв безпеки.
Сервер дозволяє записувати журнали за датою або за типом джерела.
Ви можете налаштувати сповіщення про високий трафік.
Платна версія пропонує розширені можливості оповіщення.
Посилання: https://www.solarwinds.com/free-tools/kiwi-free-syslog-server
2. ManageEngine EventLog Analyzer
Як і у випадку з SolarWinds, безкоштовна версія ManageEngine EventLog Analyzer дозволяє збирати дані системного журналу лише з п’яти пристроїв.
Для більшої кількості пристроїв потрібна ліцензія.
ManageEngine має хорошу репутацію в розробці інструментів управління мережею і пропонує безкоштовні програми.
EventLog Analyzer надає не лише базові можливості сервера системного журналу.
Окрім агрегації журналів, він має розширені функції, такі як звіти про відповідність та криміналістична експертиза.
Платні версії пропонують ще більше унікальних функцій.
3. Paessler PRTG
PRTG від Paessler – це відома платформа для моніторингу мережі, яка також підтримує отримання даних системного журналу, навіть у безкоштовній версії.
PRTG безкоштовно працює з до 100 датчиками, і одним з них може бути syslog.
Це дозволяє використовувати PRTG для централізації даних syslog та моніторингу 99 інших параметрів.
PRTG Syslog Receiver збирає всі повідомлення syslog у мережі та зберігає їх у базі даних.
Збережені дані можна записувати у файли журналів, запитувати з панелі інструментів PRTG, а також ініціювати дії у відповідь на певні події.
4. WhatsUp Gold Free Syslog Server
WhatsUp Gold – відоме ім’я в сфері моніторингу мережі.
Ipswitch, виробник WhatsUp Gold, також пропонує WhatsUp Gold Free Syslog Server.
Це дійсно безкоштовна програма для Windows, яку можна завантажити з веб-сайту Ipswitch.
WhatsUp Gold Free Syslog Server — це багатофункціональний інструмент, що відповідає більшості потреб адміністраторів.
Він має розширені можливості експорту, відображає повідомлення в реальному часі з фільтрацією результатів.
Сервер може обробляти до шести мільйонів повідомлень на годину, чого достатньо для більшості мереж.
5. Syslog Watcher
Компанія EZ5 Systems з Ванкувера, Канада, розробляє хороший сервер syslog для Windows – Syslog Watcher.
Це швидкий сервер, який використовує багатопотоковість для забезпечення надійного отримання та обробки повідомлень syslog.
Розподіл прийому та обробки повідомлень гарантує, що жодне повідомлення не буде пропущено.
Він підтримує повідомлення TCP та UDP, а також IPv4 та IPv6.
Syslog Watcher має розширені функції, такі як експорт даних у файл або базу даних.
Зберігання подій в базі даних дозволяє обробляти їх різними способами, включаючи фільтрацію, сортування, групування та підрахунок.
Сервер також має гнучкі налаштування оповіщення, навіть дозволяючи комбінувати події для створення сповіщень.
6. Visual Syslog Server for Windows
Visual Syslog Server for Windows – це невелике програмне забезпечення з відкритим кодом.
Він сумісний з RFC 3164, що означає, що підтримує повідомлення TCP та UDP.
Консоль відображає повідомлення в реальному часі з підсвічуванням кольорами та зберігає їх на диску.
Збережені файли журналів автоматично перезаписуються за розміром або датою.
Відображення повідомлень можна фільтрувати за різними критеріями, такими як об’єкт, пріоритет, хост або вміст повідомлення.
Умови оповіщення та дії визначаються користувачем і можуть включати відправку електронної пошти або запуск зовнішніх програм із налаштованими параметрами.
На відміну від інших серверів системного журналу для Windows, Visual Syslog працює як звичайна програма, а не служба.
Коли консоль не використовується, програма згортається до системного трея та продовжує працювати у фоновому режимі.
Висновок
Централізація журналів є ефективним способом зменшити робоче навантаження та покращити реагування на інциденти.
Завдяки налаштовуваним оповіщенням, більшість цих програм дозволяють автоматизувати один з найважливіших етапів реагування на інцидент.
Є багато безкоштовних серверів syslog, але ми розглянули лише ті, які вважаються одними з найкращих.
Хоча всі перераховані програми – чудові варіанти, ми віддаємо перевагу SolarWinds Kiwi Syslog Server Free Edition.
Це мій особистий фаворит, і хоча це не самий багатофункціональний сервер, він добре виконує свою роботу.