5 geriausi atvirojo kodo žurnalų valdymo įrankiai, skirti Linux

Kai veikia operacinė sistema, pvz., Linux, įvyksta daug įvykių ir procesų, kurie vykdomi fone, kad būtų galima efektyviai ir patikimai naudoti sistemos išteklius. Šie įvykiai gali įvykti sistemos programinėje įrangoje, pvz., init arba systemd procese arba naudotojo programose, pvz., Apache, MySQL , FTP ir daug daugiau.

Kad suprastų sistemos ir skirtingų programų būseną bei jų veikimą, sistemos administratoriai turi kasdien peržiūrėti žurnalo failus gamybos aplinkoje.

Galite įsivaizduoti, kad reikia peržiūrėti žurnalo failus iš kelių sistemos sričių ir programų, todėl registravimo sistemos yra naudingos. Jie padeda stebėti, peržiūrėti, analizuoti ir net generuoti ataskaitas iš skirtingų žurnalo failų, kuriuos sukonfigūravo sistemos administratorius.

Šiame straipsnyje apžvelgsime keturias dažniausiai naudojamas atvirojo kodo registravimo valdymo sistemas „Linux“, o standartinis registravimo protokolas daugelyje, jei ne visuose platinimuose šiandien yra Syslog.

1. ManageEngine EventLog Analyzer

„ManageEngine EventLog Analyzer“ yra vietinis žurnalų valdymo sprendimas, sukurtas įvairaus dydžio įmonėms įvairiose pramonės šakose, tokiose kaip informacinės technologijos, sveikata, mažmeninė prekyba, finansai, švietimas ir kt. Sprendimas vartotojams suteikia tiek agentu pagrįstą, tiek be agento žurnalų rinkimą, žurnalų analizavimo galimybes, galingą žurnalų paieškos variklį ir žurnalų archyvavimo parinktis.

Naudojant tinklo įrenginių audito funkciją, vartotojai gali stebėti savo galutinio vartotojo įrenginius, užkardas, maršrutizatorius, jungiklius ir kt. Sprendimas pateikia analizuotus duomenis grafikų ir intuityvių ataskaitų pavidalu.

„EventLog Analyzer“ incidentų aptikimo mechanizmai, tokie kaip įvykių žurnalo koreliacija, grėsmių žvalgyba, MITER ATT&CK sistemos diegimas, pažangi grėsmių analizė ir kt., padeda pastebėti saugumo grėsmes, kai tik jos atsiranda.

Realaus laiko įspėjimo sistema įspėja vartotojus apie įtartiną veiklą, todėl jie gali teikti pirmenybę didelės rizikos grėsmėms saugumui. O naudojant automatizuotą reagavimo į incidentus sistemą, SOC gali sumažinti galimas grėsmes.

Sprendimas taip pat padeda vartotojams laikytis įvairių IT atitikties standartų, tokių kaip PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR ir kt. Prenumeratos paslaugos siūlomos atsižvelgiant į stebėjimui skirtų žurnalų šaltinių skaičių. Palaikymas vartotojams teikiamas telefonu, produktų vaizdo įrašais ir internetinėje žinių bazėje.

2. Pilkasis 2

„Graylog“ yra pirmaujantis atvirojo kodo ir patikimas centralizuoto registravimo valdymo įrankis, plačiai naudojamas žurnalams rinkti ir peržiūrėti įvairiose aplinkose, įskaitant testavimo ir gamybos aplinkas. Jį lengva nustatyti ir labai rekomenduojama mažoms įmonėms.

Graylog padeda lengvai rinkti duomenis iš kelių įrenginių, įskaitant tinklo jungiklius, maršruto parinktuvus ir belaidžio ryšio prieigos taškus. Jis integruojamas su Elasticsearch analizės varikliu ir naudoja MongoDB duomenims saugoti, o surinkti žurnalai suteikia išsamių įžvalgų ir yra naudingi šalinant sistemos gedimus ir klaidas.

Naudodami Graylog gaunate tvarkingą ir mieguistą žiniatinklio sąsają su šauniomis informacijos suvestinėmis, kurios padeda sklandžiai sekti duomenis. Be to, gausite puikių įrankių ir funkcijų rinkinį, kurie padeda atlikti atitikties auditą, ieškoti grėsmių ir dar daugiau. Galite įjungti pranešimus taip, kad būtų suaktyvintas įspėjimas, kai įvykdoma tam tikra sąlyga arba iškyla problema.

Apskritai, Graylog atlieka gana gerą darbą sugretindama didelius duomenų kiekius ir supaprastina duomenų paiešką bei analizę. Naujausia versija yra Graylog 4.0 ir siūlo naujas funkcijas, pvz., tamsųjį režimą, integraciją su slack ir ElasticSearch 7 ir dar daugiau.

3. Logcheck

Logcheck yra dar vienas atvirojo kodo žurnalų stebėjimo įrankis, kuris vykdomas kaip cron užduotis. Jis peržiūri tūkstančius žurnalo failų, kad nustatytų pažeidimus arba suaktyvintus sistemos įvykius. Tada „Logcheck“ siunčia išsamią įspėjimų santrauką sukonfigūruotu el. pašto adresu, kad įspėtų operacijų grupes apie problemą, pvz., neteisėtą pažeidimą arba sistemos gedimą.

Šioje registravimo sistemoje sukurti trys skirtingi žurnalo failų filtravimo lygiai, kurie apima:

  • Paranoidinis: skirtas didelio saugumo sistemoms, kuriose teikiama kuo mažiau paslaugų.
  • Serveris: tai numatytasis logcheck filtravimo lygis, o jo taisyklės yra apibrėžtos daugeliui skirtingų sistemos demonų. Paranojinio lygio taisyklės taip pat įtrauktos į šį lygį.
  • Darbo stotis: ji skirta apsaugotoms sistemoms ir padeda filtruoti daugumą pranešimų. Tai taip pat apima taisykles, apibrėžtas paranojinio ir serverio lygiuose.

„Logcheck“ taip pat gali rūšiuoti pranešimus, apie kuriuos pranešama, į tris galimus sluoksnius, įskaitant saugos įvykius, sistemos įvykius ir sistemos atakos įspėjimus. Sistemos administratorius gali pasirinkti išsamios informacijos, kuriai bus pranešama apie sistemos įvykius, lygį, atsižvelgdamas į filtravimo lygį, tačiau tai neturi įtakos saugos įvykiams ir sistemos atakų įspėjimams.

Logcheck suteikia šias funkcijas:

  • Iš anksto nustatyti ataskaitų šablonai.
  • Žurnalų filtravimo naudojant reguliariąsias išraiškas mechanizmas.
  • Momentiniai pranešimai el. paštu.
  • Momentiniai saugumo įspėjimai.

4. Logwatch

„Logwatch“ yra atvirojo kodo ir lengvai pritaikoma žurnalų rinkimo ir analizės programa. Jis analizuoja sistemos ir programų žurnalus ir generuoja ataskaitą apie tai, kaip veikia programos. Ataskaita pateikiama komandinėje eilutėje arba tam skirtu el. pašto adresu.

Galite lengvai tinkinti „Logwatch“ pagal savo pageidavimus, pakeisdami parametrus /etc/logwatch/conf kelyje. Tai taip pat suteikia papildomų iš anksto parašytų PERL scenarijų, kad būtų lengviau analizuoti žurnalus.

Logwatch pateikiamas naudojant pakopinį metodą ir yra 3 pagrindinės vietos, kuriose apibrėžiama išsami konfigūracijos informacija:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

Visi numatytieji nustatymai apibrėžti faile /usr/share/logwatch/default.conf/logwatch.conf. Rekomenduojama palikti šį failą nepažeistą ir sukurti savo konfigūracijos failą keliu /etc/logwatch/conf/, nukopijuojant pradinį konfigūracijos failą ir apibrėžiant tinkintus nustatymus.

Naujausia Logwatch versija yra 7.5.5 ir ji palaiko užklausą systemd žurnale tiesiogiai naudojant journalctl. Jei negalite sau leisti naudoti patentuoto žurnalų valdymo įrankio, Logwatch suteiks jums ramybę, nes visi įvykiai bus registruojami ir pranešimai bus pateikti, jei kas nors nutiktų.

5. Logstash

Logstash yra atvirojo kodo serverio duomenų apdorojimo dujotiekis, kuris priima duomenis iš daugybės šaltinių, įskaitant vietinius failus, arba paskirstytas sistemas, pvz., S3. Tada jis apdoroja žurnalus ir nukreipia juos į tokias platformas kaip Elasticsearch, kur jie vėliau analizuojami ir archyvuojami. Tai gana galingas įrankis, nes jis gali gauti daugybę žurnalų iš kelių programų ir vėliau išvesti juos į skirtingas duomenų bazes ar variklius vienu metu.

Logstash struktūrizuoja nestruktūrizuotus duomenis ir atlieka geografinės vietos paieškas, anonimizuoja asmeninius duomenis ir taip pat keičia mastelį keliuose mazguose. Yra platus duomenų šaltinių, kuriuos galite leisti „Logstash“ klausytis, sąrašas, įskaitant SNMP, širdies ritmus, „Syslog“, „Kafka“, lėlę, „Windows“ įvykių žurnalą ir kt.

„Logstash“ remiasi „beats“, kurie yra lengvi duomenų siuntėjai, kurie pateikia duomenis į „Logstash“, kad būtų galima juos analizuoti, struktūrizuoti ir pan. Tada duomenys siunčiami į kitas paskirties vietas, pvz., „Google Cloud“, „MongoDB“ ir „Elasticsearch“, kad būtų galima indeksuoti. „Logstash“ yra pagrindinis „Elastic Stack“ komponentas, leidžiantis vartotojams palyginti duomenis bet kokia forma, juos analizuoti ir vizualizuoti interaktyviose informacijos suvestinėse.

Be to, Logstash naudojasi plačiu bendruomenės palaikymu ir reguliariais atnaujinimais.

Santrauka

Tai kol kas ir atminkite, kad tai ne visos galimos žurnalų valdymo sistemos, kurias galite naudoti „Linux“. Sąrašą nuolat peržiūrėsime ir atnaujinsime kituose straipsniuose, tikiuosi, kad šis straipsnis jums bus naudingas ir palikdami komentarą galėsite pranešti mums apie kitus svarbius registravimo įrankius ar sistemas.