Syslog е много полезен формат за отчитане, който използват много мрежови устройства и приложения. Съобщенията за състоянието и събитията, генерирани от Syslog, заедно образуват богат източник на информация, който ще ви позволи да предотвратите повреда на устройството, като същевременно ще ви помогне да откриете дейност на натрапник.
Има много задачи, които можете да изпълнявате по-добре с информацията, която предоставя Syslog. Въпреки това, ако нямате Syslog сървър, работещ във вашата мрежа, вие позволявате на всички тези полезни източници на информация да циркулират във вашата мрежа незабелязано.
Днес ще разгледаме най-добрите Syslog сървъри на пазара за Windows и Linux-базирани системи. Четете нататък!
Съдържание
Разбиране на управлението на Syslog файлове
Основната задача на Syslog сървърите е да улавят Syslog данни и да ги записват във файл. Не искате тези файлове да са безкрайни, така че е препоръчително да категоризирате съобщенията и да ги съхранявате в индексируеми файлове със смислени имена.
Например, обичайна практика е всеки ден да стартирате нов регистрационен файл и да поставяте датата на съобщенията в името на файла. Някои системни администратори избират да архивират съобщения според техния източник. В тези случаи ще създадете структура на директория с папка за всеки от стандартните източници, по които категоризирате съобщенията, и след това ще използвате датата като имена на файлове – натрупвайки хронологична библиотека от файлове за всяка категория.
Когато избирате Syslog сървър, възможността за управление на файловете, в които се съхраняват Syslog съобщенията, се откроява като огромно предимство. Отивайки още по-далеч, можете дори да потърсите Syslog сървър, който включва функции за анализ на данни.
Някои сървъри могат също да издават сигнали, когато честотата на определени типове Syslog съобщения внезапно се увеличи. Например, доклади за неуспешни влизания, които внезапно се увеличават, може да показват, че е в ход атака с груба сила върху потребителски акаунт от хакер, който се опитва да получи достъп до мрежата. Това събитие би било от особено значение и бихте искали да бъдете информирани за него възможно най-скоро.
Най-добрите Syslog сървъри за Windows
Syslog е стандарт, който е независим от операционната система. Дори ако вашият Syslog сървър е на устройство с Windows, вие ще можете да вземете данни от Syslog, произхождащи от сървър или мрежово устройство, работещо с напълно различна ОС. Ето списък на Syslog сървъри, които ще работят в Windows и Windows Server среди.
1. SolarWinds Kiwi Syslog сървър
Kiwi Syslog Server се инсталира на Windows и Windows Server и е безплатен за използване за наблюдение на до пет устройства. Този пакет събира съобщения, следващи протокола за просто мрежово управление (SNMP), както и данни от Syslog. Сървърът ще записва съобщения във файлове и ще ги показва в инструмента за преглед на интерфейса на помощната програма. Освен това сървърната програма ще ви предупреди, ако обемите на трафика от определени типове или източници на съобщения се покачат над прага.
Получавате опцията да изберете условията, които карат сървъра да отвори нов файл. Те включват типа устройство източник и датата на съобщението. Kiwi Syslog Server ще управлява съхранението на файлове в директории със смислени имена, което улеснява търсенето на съобщения в архива. Можете да зареждате файлове във визуализатора на сървъра, за да разгледате исторически данни.
2. Paessler PRTG Syslog
PRTG е цялостна система за мониторинг на инфраструктурата. Елементът за събиране на данни на пакета се състои от сензори. Не е нужно да включвате всички сензори; вместо това можете просто да приспособите монитора, за да се съсредоточите само върху една от неговите области на опит. Системата PRTG включва сензор Syslog, който се допълва от предварително написани отчети, дисплеи и процедура за обработка на данни.
Paessler предлага PRTG безплатно на тези, които използват до 100 сензора, така че можете ефективно да инсталирате PRTG и да го използвате като безплатен Syslog сървър. След като стартирате Syslog сървъра, вие също така ще имате възможност да стартирате някои от другите сензори и да получите данни за други части на вашата ИТ система.
3. WhatsUp Gold Syslog сървър
WhatsUp Gold е система за наблюдение на мрежата и нейните производители, Ipswitch, също предлагат безплатен Syslog сървър. Сървърът ще показва Syslog съобщения в своя интерфейс и също така ще записва записи във файлове. WhatsUp също така ще организира тези файлове в структура на директории, за да улесни намирането на набори от данни.
Можете да зададете разделянето на данни между файлове според ниво на предупреждение, източник и данни. Възможно е да филтрирате и сортирате данни във визуализатора и това могат да бъдат данни на живо или записи, прочетени от файл. WhatsUp Gold Syslog Server е в състояние да обработва до 6 милиона Syslog съобщения на час, така че може да обслужва големи мрежи, въпреки че е безплатен. Този инструмент се инсталира на Windows и Windows Server.
4. Syslog Watcher
Syslog Watcher е друг безплатен Syslog сървър, който работи под Windows. Тази услуга работи с многонишкова архитектура, която й позволява да обработва много Syslog записи едновременно. Това е полезна функция, ако имате голяма мрежа с висока честота на Syslog съобщения, циркулиращи в мрежата.
Тези съобщения се показват в зрителя в реално време и също така се съхраняват във файлове, които могат да бъдат вмъкнати в база данни. Възможността за запазване на всички записи в база данни е голямо предимство, преди всичко, защото ви дава дълга перспектива за трафика на вашата мрежа за по-дълъг период от време, отколкото ежедневния списък със съобщения с регистрационни файлове.
Можете да четете записи във визуализатора от базата данни или от файл. Зрителят дори може да сортира, филтрира и групира съобщения, за да ви помогне да анализирате събитията, за които докладват. Syslog Watcher е наличен за инсталиране в средата на Windows.
5. Fastvue Syslog
Безплатният Fastvue Syslog работи в средата на Windows Server. Тази помощна програма не само създава Syslog файлове, но и ги пази. Всеки регистрационен файл, който Fastvue следи, има свързан хеш файл (изчислен с 256-битов SHA алгоритъм), който е контролна сума за съдържанието на този файл. Сървърът следи размера на всеки от вашите регистрационни файлове и дори докладва, когато тези размери се променят. Тези две мерки са важни функции за сигурност, тъй като хакерите, управляващи напреднала постоянна заплаха, ще променят регистрационните файлове, за да прикрият следите си.
Сървърът съхранява Syslog съобщенията във файлове, подредени по дата, с и опция за разделяне на данни по тип устройство. Файловете се съхраняват в директории, наречени за устройството източник, като всяко име на файл носи датата на съобщенията, които съдържа. И накрая, в интерфейса на Fastvue можете да преглеждате, сортирате и дори да филтрирате всички архивирани съобщения, заредени от тези файлове за лесен анализ.
6. Visual Syslog сървър
Visual Syslog Server е безплатна помощна програма с отворен код, която работи на Windows и Windows Server. Това е неусложнена помощна програма, която събира всички съобщения на Syslog във вашата мрежа и ги показва във визуализатор. Инструментът за цветно кодиране на съобщенията по тип сериозност — съобщенията за грешки са червени, а предупрежденията са жълти. Можете дори да промените цветовата схема и също така е възможно да филтрирате, сортирате и агрегирате записи във визуализатора. И накрая, сървърът също така съхранява тези Syslog съобщения във файлове.
Можете да настроите помощната програма да издава шум, когато срещне съобщение за грешка и можете също да я накарате да ви изпраща известия за всяко предупреждение и грешка. Тези известия могат дори да се изпращат по имейл, който може да бъде криптиран, ако вашата имейл система може да се справи с криптиране.
7. TFTPD32
TFTPD32 е много основен, създаден от ентусиасти Syslog сървър, който работи на 32-битови Windows системи. Има придружител, наречен TFTPD64, който е написан за 64-битови системи. Тази помощна програма няма много сложен интерфейс, но е широко използвана. Това се дължи на факта, че липсата на звънци и свирки го прави много лек.
Инструментът наистина е TFTP сървър. TFTP е Trivial File Transfer Protocol, който е много несигурен протокол, който не трябва да се използва през Интернет. Това обаче е стандартен метод за прехвърляне на малки системни файлове през частна мрежа. Интерфейсът може да се превключи, за да се превърне в DHCP сървър за управление на разпространението на IP адреси и може също да бъде настроен да действа като сървър на Syslog. И накрая, TFTPD32 ще съхранява вашите Syslog съобщения във файл.
Въпреки че съоръжението може да бъде TFTP сървър, TFTP клиент, DHCP сървър и Syslog сървър, един и същи екземпляр не може да изпълнява всички тези задачи едновременно.
8. SureLog
SureLog е насочен към малкия бизнес, но не е безплатен. Можете да инсталирате софтуера на Windows. Той е насочен към пазара на системна сигурност и филтрира редовни съобщения за събития, за да подчертае заплахите за сигурността. Освен че улавя съобщенията от Syslog и ги съхранява във файлове, услугата SureLog следи тези регистрационни файлове, за да гарантира, че те не са подправени от хакери, които се опитват да прикрият следите им. И накрая, помощната програма също показва тези важни съобщения в своя инструмент за преглед на журнали.
Най-добрите Syslog сървъри за Linux/Unix
Linux е известна като операционна система, подобна на Unix. Като цяло, част от софтуера, който ще работи на Linux, вероятно ще работи и на Unix. Ето списък на Syslog сървъри, които се инсталират на Linux и/или Unix.
9. Icinga 2
Icinga е един от водещите инструменти за мониторинг на системи с отворен код в света. Той е безплатен за използване и най-новата му версия се нарича Icinga 2. Инструментът се инсталира на Linux и една от функциите му е средство за наблюдение на съобщения в лог. Можете да посочите типа съобщения, които да улавяте и една от опциите е Syslog. Сървърът ще показва Syslog съобщения и също така ще ги записва във файл. И накрая, можете също да заредите съхранени съобщения във визуализатора.
Системата Icinga има две части, които са секция за обработка, наречена Icinga Core и преден край, който се нарича Web 2.0. Дори не е нужно да използвате Web 2.0 като интерфейс към процесора на данни, защото има други съвместими приложения. Тъй като кодът е с отворен код, можете също да адаптирате програмата Web 2.0, за да създадете свой собствен корпоративен интерфейс.
10. Syslog-NG
Syslog-NG се инсталира на компютри с Linux. Този инструмент е безплатен и е проект с отворен код. Помощната програма събира Syslog съобщения и Windows събития. Той ще съхранява тези съобщения във файлове. Можете също да изберете да получите инструмента за вмъкване на записи в SQL база данни или да ги препратите към други приложения. Syslog-NG не включва никакви инструменти за анализ, но файловете, които сървърът създава, могат да бъдат отворени в други съоръжения.
11. Logstash
Logstash е система с отворен код, която се инсталира на Linux. Това е безплатна помощна програма, която е част от група приложения, наречени „Elastic Stack“. Ключовата програма в Elastic Stack е Elasticsearch. Друг модул в стека се нарича Kibana, който е много добре познат безплатен преден край, който може да взаимодейства с много различни машини за обработка. Logstash е колекторът в стека. Той прослушва Syslog съобщения и ги архивира. Ако искате повече функционалност, инсталирайте Elasticsearch, който ще сортира и филтрира данните от Syslog за анализ. Накрая след това добавяте Kibana за достъп до записите чрез зрител.
Процесите за откриване на регистрационни съобщения на Logstash са универсални и не са специфични за един конкретен тип формат за регистриране на грешки. Ще трябва да персонализирате системата, за да се фокусира върху данните от Syslog, като инсталирате безплатен плъгин. Функциите за обработка на съобщения на Logstash могат условно да архивират записи, да пропускат по-малко важни съобщения и да пишат в различни файлове според набор от правила, които дефинирате в потребителския интерфейс. Logstash може дори да извежда файлове във формати, които са съвместими с Nagios, Icinga, Loggly, Graylog, AWS и Graphite.
12. Сиво дърво
Graylog е мениджър на регистрационни файлове, който работи под Linux. Можете да получите помощната програма безплатно — но тази версия е ограничена до събиране само до 5 GB данни на ден. Интерфейсът за Graylog е базиран на браузър, което го прави независим от операционната система и лесен за окото. Можете да използвате предния край на Graylog и модула за събиране на данни на някой друг инструмент, като Logstash. Като алтернатива можете да използвате модула за събиране на данни на Graylog с Kibana като преден край. Както можете да видите, този инструмент ви дава много опции.
13. Fluentd
Fluend е безплатен Syslog сървър с отворен код, който работи под Linux и Mac OS. Помощната програма може да събира широк спектър от типове съобщения в журнала, както и Syslog. Трябва да добавите плъгин, за да разширите възможностите на инструмента. Трябва обаче да сте наясно, че това е само система за събиране на данни. Ще трябва да добавите друг преден край, като Nagios, за да получите интерфейс за анализ и преглед на предната част на възможностите за обработка на Fluentd.
14. Хумио
Humio работи на Linux, но можете да го получите и като онлайн услуга. Системата не е безплатна за използване, но е достъпна за бъдещи купувачи, за да я изпробват с безплатна пробна версия. Инструментът се поддържа от потребителска общност и дори може да бъде разширен чрез плъгини. Това обаче е само колекционер и ще ви трябват други инструменти за преглед и анализ на Syslog записите, които се събират от Humio.
Най-добрите Syslog сървъри за Windows или Linux/Unix
Въпреки че Windows е най-инсталираната компютърна операционна система в света, много мрежови помощни програми изискват Linux за работа. За да хванат и двата пазара, много производители на софтуер създават своя софтуер, така че да имат както версия на Windows, така и на Linux. Ето списък на Syslog сървъри, които се произвеждат във версии за Windows и Linux/Unix.
15. ManageEngine Event Log Analyzer
ManageEngine е един от водещите световни производители на инструменти за мониторинг на инфраструктура. Неговият Event Log Analyzer се инсталира на Windows и Linux и е безплатен за използване за наблюдение на пет източника или по-малко. Инструментът ManageEngine не просто събира съобщения в Syslog, но използва информацията за заглавката при предаване на съобщения, за да картографира вашата мрежа. И накрая, помощната програма може също да събира SNMP съобщения.
Можете да преглеждате нови съобщения в таблото на инструмента и също така да ги записвате във файлове. Докато сте в таблото за управление, можете да сортирате и филтрирате съобщения за анализ. Регистрационните файлове са компресирани и криптирани, като достъпът е ограничен само до оторизиран персонал. Файловете могат да бъдат прочетени в таблото за управление от архива, така че дори имате достъп до исторически данни за анализ. Този инструмент се интегрира добре с пакета за наблюдение на мрежата ManageEngine, който се нарича OpManager.
16. Пичът
The Dude е продукт на производителя на мрежово оборудване MikroTik. Въпреки това, той може да приема съобщения от Syslog, генерирани от оборудването, произведено от всеки производител. Това е безплатна помощна програма и може да бъде инсталирана на Windows, Linux или Mac OS. Инструментът е много гъвкав и може да събира SNMP съобщения, както и данни от Syslog.
Инструментът ще анализира съобщенията в различни файлове според изискванията, които въвеждате в страниците с настройки на интерфейса. Съобщенията също ще се показват в таблото за управление и дори можете да бъдете предупредени със звук или изскачащо съобщение, когато пристигнат съобщения. И накрая, инструментът за преглед на съобщения ви позволява да сортирате и филтрирате записи за анализ.
17. Nagios Log Server
Nagios Core е безплатна система за наблюдение на мрежата с отворен код. Icinga 2, който е описан подробно по-горе, е разработен от копие на кода Nagios Core. Това е много уважаван инструмент, който буквално се имитира от другите. Има и платена версия на Nagios, наречена Nagios XI, а разработчиците на този продукт създадоха и инструмент за лог сървър. Сървърът за регистрационни файлове не е безплатен, но не е нужно да плащате, за да го използвате за наблюдение на 500 MB данни на ден или по-малко.
Nagios Log Server работи на Windows и Linux. Той ще събира събития на Windows, както и данни от Syslog. Записите ще бъдат записани във файл и те също са изброени в таблото за управление на сървъра за лог. Дневниците могат да се съхраняват на едно централно място или да се разпределят на няколко сървъра. Има и опция за създаване на резервни копия на лог файлове. Можете дори да филтрирате съобщенията в Syslog, така че да не се съхраняват всички, или по избор да прехвърлите важни съобщения в отделен файл. И накрая, таблото ви позволява да сортирате и филтрирате данни в реално време, както и да анализирате исторически данни, прочетени от Syslog файлове.
18. Splunk
Пакетът за анализ на файлове Splunk, който е, се предлага както в безплатни, така и в платени версии. Безплатната версия е ограничена до анализиране на файлови данни. Можете обаче да го накарате да гледа вашите живи съобщения в Syslog, ако ги канализирате чрез файл. За съжаление, на първо място ще трябва да използвате различен инструмент, за да съберете тези съобщения. Splunk ще работи на Linux, Windows и Mac Os. Безплатната версия е ограничена до пропускателна способност от 500 MB на ден.
Изберете Syslog сървър
Можете да опитате няколко от сървърите на Syslog в този списък, защото повечето от тях са безплатни, а тези, които не предлагат безплатни пробни версии. Управлението на съобщенията в Syslog ще ви позволи да получите важна обратна връзка във вашата мрежа и този канал за обратна връзка не бива да се пренебрегва!
Използвате ли вече Syslog сървър, който бихте препоръчали на други? Използвате ли някоя от системите, препоръчани в нашия списък? Оставете съобщение в секцията за коментари по-долу и споделете своя опит.