Днешните системи генерират много данни за регистриране. На много платформи всяко едно събитие, важно или не, се записва някъде. Обикновено журналите се съхраняват локално. Това има смисъл, тъй като журналите са свързани с техния източник. Но когато се опитваме да отстраним проблемите и да открием тяхната първопричина, това често означава, че трябва да разглеждаме множество регистрационни файлове на множество устройства. Не би ли било хубаво всички регистрационни файлове от всички устройства да се съхраняват на едно място? Управлението на регистрационни файлове е това и много повече, както предстои да разберете. И днес преглеждаме най-добрите системи за управление на регистрационни файлове.
Ще започнем, като се опитаме да обясним какво е управление на регистрационни файлове. Както ще видите, това може да бъде много повече от просто централизирано съхранение на регистрационни файлове. След това ще говорим за протоколите за регистриране. Това е доста важно, тъй като управлението на регистрационни файлове вероятно няма да съществува без тях. След това ще се опитаме да разграничим сървърите на syslog от системите за управление на журнали. За съжаление между тях няма ясно разграничение. Ще последваме дискусия относно системите за информация за сигурност и управление на събития, защото това е друг тип система, която често се бърка с управлението на регистрационни файлове, благодарение на малко неясното определение на всяка от тях. И накрая, ще прегледаме осемте най-добри системи за управление на регистрационни файлове, които можем да намерим.
Съдържание
Управление на регистрационни файлове – какво е това
Преди да можем да говорим за управление на регистрационни файлове, нека видим какво е дневник. Опростено дефиниран, дневникът е автоматично създадена и маркирана с време документация за събития, свързани с конкретна система. Всеки път, когато се случи събитие в системата, се генерира дневник. Различните системи ще генерират регистрационни файлове за различни събития и много системи дават на администраторите известна степен на контрол върху това какво генерира регистър и какво не.
Когато говорим за управление на регистрационни файлове, имаме предвид процесите и политиките, използвани за администриране и улесняване на генерирането, предаването, анализа, съхранението, архивирането и евентуалното изхвърляне на големи обеми данни от регистрационни файлове. Управлението на регистрационни файлове предполага централизирана система, при която се събират регистрационни файлове от множество източници.
Но управлението на регистрационни файлове не е просто събиране на регистрационни файлове. Управленската част е най-важна. Системите за управление на регистрационни файлове обикновено имат множество функции, като събирането на регистрационни файлове е само една от тях.
След като регистрационните файлове бъдат получени от системата за управление на регистрационни файлове, те трябва да бъдат „преведени“ в общ формат. Различните системи форматират дневниците по различен начин и включват различни данни в своите регистрационни файлове. Някои започват дневник с дата и час, други го започват с номер на събитие. Някои включват само регистрационен номер, докато други включват пълно текстово описание на събитието. Една от целите на системите за управление на регистрационни файлове е да гарантират, че всички събрани записи в дневника се съхраняват в еднакъв формат. Това ще направи търсенето и корелацията на събития много по-лесни в бъдеще.
Говорейки за търсене и дори корелация, това е друга важна функция на много системи за управление на регистрационни файлове. Някои от тях разполагат с мощна търсачка, която позволява на администраторите да определят точно това, от което се нуждаят. Функциите за корелация автоматично ще групират свързани събития, дори ако са от различни източници. Как и колко успешно различните системи за управление на регистрационни файлове постигат това е основен диференциращ фактор.
Протоколи за регистриране
Управлението на лог би било много по-трудно, ако изобщо е възможно, ако не бяха протоколите за регистриране. Съществуват няколко от тях, които определят какви данни трябва да бъдат включени в регистрационните файлове, как трябва да бъдат форматирани и как трябва да се предават между системите.
Syslog е може би най-използваният протокол за регистриране. Изобретен в началото на осемдесетте, той се превърна в де-факто стандарт за Unix-подобни системи. Едно от най-големите предимства на протокола syslog е как той разделя софтуера, който генерира регистрационни файлове, системата, която ги съхранява, и софтуера, който ги отчита и анализира. Използването на протокола Syslog прави управлението на регистрационни файлове много по-лесно. Много устройства, различни от Unix, като рутери за комутатори и друго мрежово оборудване от много доставчици, използват вариант на протокола syslog.
Microsoft Windows, както може би се досещате, използва различна система за регистриране. Това може да е свързано с факта, че операционните системи и приложенията на Windows имат регистрационни файлове, които обикновено съдържат много повече информация от разрешението на syslog. За щастие функциите на Windows Event Collector предоставят средство, което системите за управление на регистрационни файлове могат да използват за получаване на събития от хостове на Windows.
Без значение какъв протокол за регистриране се използва, важна част от управлението на регистрационни файлове е конфигурирането на устройствата да изпращат своите регистрационни файлове към системата за управление. Това е различно от други инструменти като системи за наблюдение на мрежата, където инструментът извлича данни от хостовете.
Log сървъри срещу управление на лог
Тъй като е наличен във всяка подобна на Unix система от доста време, Syslog често се използва като сървър за логове с един компютър, получаващ данни от системния журнал от няколко други. Въпреки че това централизирано съхранение на регистрационни файлове има определени предимства, то не е управление на регистрационни файлове.
За да заслужи името на системата за управление на журнали, продуктът трябва да включва поне някои от по-модерните функции. Според Wikipedia управлението на регистрационни файлове се състои от следните функции: събиране на регистрационни файлове, централизирано агрегиране на регистрационни файлове, дългосрочно съхранение и задържане на регистрационни файлове, ротация на регистрационни файлове, анализ на регистрационни файлове, търсене в регистрационни файлове и отчитане. Сървърите на регистрационни файлове често предлагат само събиране и съхранение на регистрационни файлове и рядко повече от това. Всяка от системите за управление на регистрационни файлове в нашия топ списък предлага поне някои от по-модерните функции.
Какво ще кажете за SIEM системите?
Друга популярна технология, която често се свързва с регистрационни файлове и се бърка със системите за управление на регистрационни файлове, е управлението на информация за сигурността и събития или SIEM. Това е доста различно от управлението на регистрационни файлове, въпреки че е тясно свързано. Всъщност някои продукти, рекламирани като системи за управление на регистрационни файлове, всъщност са SIEM системи, докато някои основни SIEM системи не са нищо повече от системи за управление на регистрационни файлове.
Основната причина за това объркване е, че управлението на регистрационни файлове – или поне анализът на регистрационните файлове – е важен компонент на SIEM системите. Всъщност SIEM системите обикновено издигат управлението на журналите на следващото ниво, като добавят известна интелигентност към процеса. Тези системи извършват анализ на регистрационни файлове с крайната цел да идентифицират проблеми със сигурността. Те, например, ще търсят признаци на неуспешни влизания, които биха означавали опит за неоторизирано проникване. Тези системи автоматично ще сканират записите в дневника, търсейки нещо необичайно.
SIEM системите имат повече общо с ИТ сигурността, отколкото с ИТ управлението и докато някои включват обширни функции за управление на регистрационни файлове, много могат да използват и външни системи за управление на регистрационни файлове и не е необичайно да видите и двете системи да работят една до друга.
Най-добрият софтуер за управление на журнали
Сега, когато имаме общо разбиране за това какво е управлението на регистрационни файлове и какво не е, нека да разгледаме какво е налично. Потърсихме на пазара едни от най-добрите системи за управление на дневници. Първоначалната ни констатация е, че има много от тях и много от тях са много добри. Но имаме толкова много място, така че сме на път да прегледаме осемте най-интересни, които можем да намерим.
1. SolarWinds Papertrail
SolarWinds е често срещано име в областта на инструментите за мрежово администриране. Той съществува от почти 20 години и ни донесе един от най-добрите инструменти за мониторинг на честотната лента и един от най-добрите NetFlow анализатори и колектори. Компанията е добре известна и с публикуването на няколко безплатни инструмента, които отговарят на някои специфични нужди на мрежовите администратори, като калкулатор на подмрежа или сървър на системен журнал.
Преди няколко години SolarWinds придоби Papertrail, популярна система за управление на журнали. Той обобщава лог файлове от голямо разнообразие от популярни продукти като Apache или MySQL, както и приложения на Ruby on Rails, различни облачни хостинг услуги и други стандартни текстови лог файлове. Papertrail След това потребителите могат да използват уеб-базирания интерфейс за търсене или инструментите на командния ред, за да търсят в тези файлове, за да помогнат за диагностицирането на грешки и проблеми с производителността. Papertrail също така се интегрира с други продукти на SolarWinds като Librato и Geckoboard за графични резултати.
Papertrail е базиран на облак софтуер като услуга (SaaS), предлаган от SolarWinds. Лесен е за прилагане, използване и разбиране. И ще ви даде незабавна видимост във всички системи за минути. Инструментът има много ефективна търсачка, която може да търси както съхранени, така и стрийминг журнали. И е светкавично бърз.
Papertrail се предлага под няколко плана, включително безплатен план. Той обаче е малко ограничен и позволява само 100 MB регистрационни файлове всеки месец. Той обаче ще позволи 16 GB регистрационни файлове през първия месец, което е еквивалентно на безплатна 30-дневна пробна версия. Платените планове започват от $7/месец за 1GB/месец журнали, 1 година архив и 1 седмица индекс. Филтрирането на шума позволява на инструмента да запази данните, като не запазва безполезни регистрационни файлове.
2. SolarWinds Log & Event Manager (БЕЗПЛАТЕН ПРОБЕН ПРОБЕН)
Следващият ни запис е друг продукт от SolarWinds, наречен SolarWinds Мениджър на журнали и събития. Противно на предишния ни запис, това е локално инсталиран продукт. И също така е много повече от просто система за управление на дневници. Много от разширените функции на този продукт го поставят в гамата SIEM. Има например корелация на отдушниците в реално време и възстановяване в реално време.
Ето преглед на SolarWinds Log & Event Managerосновните характеристики на. Той елиминира заплахите бързо, като използва незабавно откриване на подозрителна дейност и автоматизирани отговори. Той може също да извършва разследване на събития в областта на сигурността и криминалистика за смекчаване и съответствие. И като говорим за съответствие, продуктът ще ви позволи да го демонстрирате, благодарение на доказаното от одита докладване за HIPAA, PCI DSS и SOX, наред с други. Този инструмент също има мониторинг на целостта на файловете и наблюдение на USB устройство, две функции, които са много над това, което обикновено виждаме в системите за управление на регистрационни файлове.
Цени за SolarWinds Log & Event Manager започнете от $4585 за до 30 наблюдавани възела. Могат да бъдат закупени лицензи за до 2500 възела, което прави продукта силно мащабируем. И ако искате да проверите на практика, че продуктът е подходящ за вас, е налична безплатна, пълнофункционална 30-дневна пробна версия.
3. ipswitch Log Management Suite
В Пакет за управление на журнали е инструмент от Ipswitch, същата компания, която ни донесе WhatsUp Gold, изключително популярен инструмент за наблюдение на мрежата. Това е автоматизиран инструмент, който събира, съхранява, архивира и записва системни регистрационни файлове, Windows събития и W3C/IIC регистрационни файлове. Освен това, неговото непрекъснато наблюдение на журнала ще ви предупреди за всяка подозрителна дейност.
Често одитирани събития като права за достъп и привилегии на файлове, папки и обекти могат да бъдат следвани, генерирайки сигнали при необходимост и използвани за създаване на отчети за съответствие за съответствие с HIPAA, SOX, FISMA, PCI, MiFID или Basel II. Инструментът може също да ви помогне да трансформирате вашите необработени регистрационни данни в значими данни за мениджъри или екипи по ИТ сигурност, благодарение на неговите функции за автоматично филтриране, корелиране, отчитане и преобразуване.
Информация за цените за Пакет за управление на журнали не е лесно достъпен от Ipswitch. Продуктът може да бъде закупен или директно от издателя, или чрез мрежата за дистрибутори на Ipswitch. Налична е и безплатна пробна версия.
4. ManageEngine EventLog Analyzer
ManageEngine, друго често срещано име с мрежовия администратор, прави отлична система за управление на журнали, наречена ManageEngine EventLog Analyzer. Продуктът ще събира, управлява, анализира, съпоставя и търси в регистрационните данни от над 700 източника, използвайки комбинирано или безагентно и базирано на агенти събиране на дневници, както и импортиране на регистрационни файлове.
Скоростта е една от ManageEngine EventLog Analyzerсилата на. Той може да обработва регистрационни данни с впечатляващите 25 000 лога в секунда и да открива атаки в реално време. Той може също така да извършва бърз криминалистичен анализ, за да намали въздействието на нарушение. Възможностите за одит на системата се простират до регистрационните файлове на устройствата по периметъра на мрежата, потребителски дейности, промени в акаунта на сървъра, потребителски достъп и други, като ви помагат да посрещнете нуждите от одит на сигурността.
В ManageEngine EventLog Analyzer се предлага в безплатно издание с намалени функции, което поддържа само 5 източника на регистрационни файлове или в премиум издание, което започва от $595 и варира в зависимост от броя на устройствата и приложенията. Налична е и безплатна, пълнофункционална 30-дневна пробна версия.
5. Nagios Log Server
Nagios е най-известен с отличния си софтуер за наблюдение на мрежата, но неговият Log Server е вероятно също толкова интересен. Подходящо наречена Nagios Log Server, той предлага централизирано управление на регистрационни файлове, наблюдение и анализ. В Nagios Log Server опростява процеса на търсене на вашите регистрационни данни. Той също така ви позволява да задавате сигнали, за да бъдете уведомявани за потенциални заплахи. Освен това софтуерът има вградена висока наличност и възможност за отказване. Неговите лесни съветници за настройка на източника ще ви помогнат бързо да конфигурирате сървърите да изпращат всички регистрационни данни и да започнете да наблюдавате вашите регистрационни файлове за минути .
В Nagios Log Server ви позволява лесно да корелирате събития в регистрационните файлове на всички сървъри само с няколко щраквания. И ви позволява да преглеждате регистрационните данни в реално време, като ви дава възможност да анализирате и решавате проблемите, когато се появят. Продуктът се отличава с впечатляваща мащабируемост и ще продължи да отговаря на вашите нужди с разрастването на вашата организация. Допълнителен Nagios Log Server екземпляри могат да бъдат добавени към мониторингов клъстер, което ви позволява бързо да добавите повече мощност, скорост, съхранение и надеждност.
Цената за един екземпляр за Nagios Log Server е $3 995 и въпреки че изглежда безплатна пробна версия не е налична, безплатна онлайн демонстрация е, ако предпочитате да разгледате продукта от първа ръка.
6. Alert Logic Log Manager
Основният фокус на Alert Logic е сигурността и съответствието. И тъй като управлението на дневниците е тясно свързано и с двете, не е изненада, че компанията предлага Alert Logic Log Manager. Този облачен инструмент предлага автоматизирано и унифицирано управление на регистрационни файлове във всички ваши среди. Той ще събира, обобщава и търси регистрационни данни от облака, сървъра, приложенията, сигурността и мрежовите активи.
В Alert Logic Log Manager включва мониторинг и анализ на регистрационни файлове, както и преглед на дневник, който се извършва на живо от човешки анализатори. Експертите на Alert Logic ще ви предупреждават за възможна заплаха 365 дни в годината. Услугата също така ще помогне да се изпълнят изискванията за преглед на регистрационни файлове на SOC 2, HIPAA и SOX и да се освободи тежестта от преглед на регистрационни файлове и проследяване на събития, за да се съобрази с PCI/DSS 10.6, 10.6.1, 10.6.3
Информация за цените за Alert Logic Log Manager не е лесно достъпен от мрежата и ще трябва да се свържете с продажбите на Alert Logic, за да получите официална оферта. Безплатна пробна версия също не е налична, но може да се организира безплатна демонстрация, като се свържете с Alert Logic.
7. LogDNA
Основана през 2015 г., LogDNA е новото дете в блока. Компанията твърди, че „LogDNA е най-бързата, най-интуитивната и рентабилна система за управление на регистрационни файлове“. Всичко започва с инсталацията, която отнема само няколко минути, преди да можете да започнете да наблюдавате вашите регистрационни файлове. Без значение как се генерират и предават регистрационните файлове, са налични стотици персонализирани схеми за интеграция за централизиране на регистрационните файлове в един панел.
LogDNA може да бъде базиран в облак или самостоятелно хостван, в зависимост от вашите предпочитания. Той е силно мащабируем и може да обработва стотици хиляди регистрационни файлове в секунда и десетки терабайта на клиент на ден при пълна сигурност с анализ на регистрационни файлове в реално време. Компанията и нейните продукти са съвместими с SOC2, PCI и HIPAA, както и сертифицирани от Privacy Shield.
Със своя прост модел на ценообразуване с плащане на GB, който елиминира договорите и фиксираните пакети с данни, компанията има една от най-ниските общи разходи за притежание. Предлагат се няколко абонаментни плана с увеличаващи се функции. Планът от най-долно ниво е безплатен, а платените планове варират от $1,50/GB/месец до $3/GB/месец в зависимост от продължителността на задържане и броя на потребителите. Предлага се и безплатна, пълнофункционална 14-дневна пробна версия.
8. Сиво дърво
Последен в нашия списък е продукт, наречен Грейлог. Продуктът предлага много интересни функции. Инструментът ще анализира и обогатява регистрационните файлове и данните за събития от всеки източник на данни. Неговите тръбопроводи за обработка позволяват известна гъвкавост при маршрутизиране, черен списък, модифициране и обогатяване на съобщения в реално време. Грейлог ще търси в терабайти регистрационни данни, за да открие и анализира важна информация. Мощният синтаксис за търсене ви позволява да намерите точно това, което търсите.
С Грейлог, можете да създавате табла за управление, за да визуализирате показатели и да наблюдавате тенденции на едно централно място. Можете да използвате статистика на полето, бързи стойности и диаграми от страницата с резултати от търсенето, за да се потопите за по-задълбочен анализ на вашите данни. Системата също така има опцията да задейства действия или да издава известия за събития като неуспешни опити за влизане, изключения или влошаване на производителността.
Грейлог се предлага или като безплатна версия с отворен код, ограничена по функции, която също има ограничена поддръжка, или като корпоративна версия с разширени функции и неограничена поддръжка. Пробен лиценз може да се получи и като се свържете Грейлог продажби.