5 najlepszych narzędzi do zarządzania logami typu open source dla systemu Linux

1. Analizator dziennika zdarzeń ManageEngine

ManageEngine EventLog Analyzer to lokalne rozwiązanie do zarządzania logami przeznaczone dla firm różnej wielkości i działających w różnych branżach, takich jak technologie informacyjne, służba zdrowia, handel detaliczny, finanse, edukacja i nie tylko. Rozwiązanie zapewnia użytkownikom gromadzenie logów w oparciu o agenta i bez agenta, możliwości analizowania logów, zaawansowaną wyszukiwarkę logów i opcje archiwizowania logów.

Dzięki funkcji audytu urządzeń sieciowych umożliwia użytkownikom monitorowanie w czasie rzeczywistym urządzeń użytkowników końcowych, zapór sieciowych, routerów, przełączników i innych elementów. Rozwiązanie wyświetla analizowane dane w formie wykresów i intuicyjnych raportów.

Mechanizmy wykrywania incydentów w EventLog Analyzer, takie jak korelacja dzienników zdarzeń, analiza zagrożeń, implementacja platformy MITRE ATT&CK, zaawansowana analiza zagrożeń i inne, pomagają wykrywać zagrożenia bezpieczeństwa natychmiast po ich wystąpieniu.

System ostrzegania w czasie rzeczywistym ostrzega użytkowników o podejrzanych działaniach, dzięki czemu mogą oni nadać priorytet zagrożeniom bezpieczeństwa wysokiego ryzyka. Dzięki zautomatyzowanemu systemowi reagowania na incydenty SOC mogą łagodzić potencjalne zagrożenia.

Rozwiązanie pomaga również użytkownikom zachować zgodność z różnymi standardami zgodności IT, takimi jak PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, RODO i innymi. Usługi abonamentowe oferowane są w zależności od liczby źródeł logów do monitorowania. Wsparcie jest dostępne dla użytkowników za pośrednictwem telefonu, filmów o produktach i internetowej bazy wiedzy.

2. Szara Kłoda 2

Graylog to wiodące, niezawodne, scentralizowane narzędzie do zarządzania logami typu open source, które jest szeroko stosowane do gromadzenia i przeglądania logów w różnych środowiskach, w tym w środowiskach testowych i produkcyjnych. Jest łatwy w konfiguracji i jest wysoce zalecany dla małych firm.

Graylog pomaga w łatwym gromadzeniu danych z wielu urządzeń, w tym przełączników sieciowych, routerów i punktów dostępu bezprzewodowego. Integruje się z silnikiem analitycznym Elasticsearch i wykorzystuje MongoDB do przechowywania danych, a zebrane dzienniki zapewniają głęboki wgląd i są pomocne w rozwiązywaniu usterek i błędów systemu.

Dzięki Graylog otrzymujesz schludny i senny interfejs WebUI z fajnymi pulpitami nawigacyjnymi, które pomagają bezproblemowo śledzić dane. Otrzymujesz także zestaw fajnych narzędzi i funkcji, które pomagają w audytowaniu zgodności, wyszukiwaniu zagrożeń i wielu innych. Możesz włączyć powiadomienia w taki sposób, aby w przypadku spełnienia określonego warunku lub wystąpienia problemu uruchamiał się alert.

Ogólnie rzecz biorąc, Graylog radzi sobie całkiem nieźle zestawiając duże ilości danych i upraszcza wyszukiwanie i analizowanie danych. Najnowsza wersja to Graylog 4.0 i oferuje nowe funkcje, takie jak tryb ciemny, integrację ze Slackiem i ElasticSearch 7 i wiele więcej.

3. Kontrola logu

Logcheck to kolejne narzędzie do monitorowania logów typu open source, które jest uruchamiane jako zadanie cron. Przesiewa tysiące plików dziennika w celu wykrycia naruszeń lub wywołanych zdarzeń systemowych. Następnie Logcheck wysyła szczegółowe podsumowanie alertów na skonfigurowany adres e-mail, aby powiadomić zespoły operacyjne o problemie, takim jak nieautoryzowane naruszenie lub awaria systemu.

W tym systemie rejestrowania opracowano trzy różne poziomy filtrowania plików dziennika, które obejmują:

• Paranoid: jest przeznaczony dla systemów o wysokim poziomie bezpieczeństwa, w których uruchamiana jest możliwie mała liczba usług.
• Serwer: jest to domyślny poziom filtrowania dla sprawdzania logów, a jego reguły są zdefiniowane dla wielu różnych demonów systemowych. Zasady określone na poziomie paranoicznym są również zawarte na tym poziomie.
• Stacja robocza: przeznaczona dla systemów chronionych i pomaga filtrować większość wiadomości. Zawiera także zasady zdefiniowane na poziomach paranoicznych i serwerowych.

Logcheck może także sortować zgłaszane wiadomości na trzy możliwe warstwy, które obejmują zdarzenia związane z bezpieczeństwem, zdarzenia systemowe i alerty o atakach systemowych. Administrator systemu może wybrać poziom szczegółowości raportowania zdarzeń systemowych w zależności od poziomu filtrowania, chociaż nie ma to wpływu na zdarzenia związane z bezpieczeństwem i alerty dotyczące ataków systemowych.

Logcheck udostępnia następujące funkcje:

• Predefiniowane szablony raportów.
• Mechanizm filtrowania logów za pomocą wyrażeń regularnych.
• Natychmiastowe powiadomienia e-mailowe.
• Natychmiastowe alerty bezpieczeństwa.

4. Logwatch

Logwatch to otwarta i wysoce konfigurowalna aplikacja do gromadzenia i analizy logów o otwartym kodzie źródłowym. Analizuje dzienniki systemu i aplikacji i generuje raport na temat działania aplikacji. Raport jest dostarczany z linii poleceń lub poprzez dedykowany adres e-mail.

Możesz łatwo dostosować Logwatch do swoich preferencji, modyfikując parametry w ścieżce /etc/logwatch/conf. Zapewnia także coś dodatkowego w postaci gotowych skryptów Perla, ułatwiających analizowanie logów.

Logwatch oferuje podejście wielopoziomowe i istnieją 3 główne lokalizacje, w których definiowane są szczegóły konfiguracji:

• /usr/share/logwatch/default.conf/*
• /etc/logwatch/conf/dist.conf/*
• /etc/logwatch/conf/*

Wszystkie ustawienia domyślne są zdefiniowane w pliku /usr/share/logwatch/default.conf/logwatch.conf. Zalecaną praktyką jest pozostawienie tego pliku nienaruszonego i zamiast tego utworzenie własnego pliku konfiguracyjnego w ścieżce /etc/logwatch/conf/ poprzez skopiowanie oryginalnego pliku konfiguracyjnego, a następnie zdefiniowanie ustawień niestandardowych.

Najnowsza wersja Logwatch to wersja 7.5.5 i zapewnia obsługę wysyłania zapytań do dziennika systemd bezpośrednio przy użyciu journalctl. Jeśli nie stać Cię na własne narzędzie do zarządzania logami, Logwatch zapewni Ci spokój ducha, wiedząc, że wszystkie zdarzenia będą rejestrowane, a powiadomienia dostarczane w przypadku, gdy coś pójdzie nie tak.

5. Logstash

Logstash to potok przetwarzania danych typu open source po stronie serwera, który akceptuje dane z wielu źródeł, w tym plików lokalnych lub systemów rozproszonych, takich jak S3. Następnie przetwarza logi i przesyła je do platform takich jak Elasticsearch, gdzie są później analizowane i archiwizowane. Jest to dość potężne narzędzie, ponieważ może pobierać duże ilości dzienników z wielu aplikacji, a następnie wysyłać je do różnych baz danych lub silników jednocześnie.

Logstash porządkuje nieustrukturyzowane dane i przeprowadza wyszukiwanie geolokalizacji, anonimizuje dane osobowe, a także skaluje się w wielu węzłach. Istnieje obszerna lista źródeł danych, które Logstash może nasłuchiwać, w tym SNMP, pulsy, Syslog, Kafka, marionetka, dziennik zdarzeń systemu Windows itp.

Logstash opiera się na „beats”, które są lekkimi dostawcami danych, które dostarczają dane do Logstash w celu analizy i strukturyzacji itp. Dane są następnie wysyłane do innych miejsc docelowych, takich jak Google Cloud, MongoDB i Elasticsearch w celu indeksowania. Logstash to kluczowy komponent Elastic Stack, który pozwala użytkownikom zestawiać dane w dowolnej formie, analizować je i wizualizować na interaktywnych pulpitach nawigacyjnych.

Co więcej, Logstash cieszy się szerokim wsparciem społeczności i regularnymi aktualizacjami.

Streszczenie

To na razie tyle i pamiętajcie, że to nie wszystkie dostępne systemy zarządzania logami, z których można korzystać w systemie Linux. Będziemy na bieżąco przeglądać i aktualizować listę w przyszłych artykułach. Mam nadzieję, że ten artykuł okaże się przydatny i możesz poinformować nas o innych ważnych narzędziach lub systemach rejestrowania, zostawiając komentarz.