Význam centralizované správy protokolů
Každý správce sítě se setkává s velkým množstvím událostí, které se odehrávají na zařízeních, o která se stará. Pamatuji si, jak jsem jako začínající administrátor musel denně kontrolovat protokoly chyb na každém zařízení. S růstem sítě to zabíralo stále více času a nakonec mi to trvalo téměř celé dopoledne. Naštěstí díky vzdálenému přihlašování syslog a inteligentním syslog službám je tento typ úkolů již minulostí. V tomto článku se podíváme na nejlepší bezplatné syslog servery.
Než se ale podíváme na naše nejlepší bezplatné syslog servery, probereme si důležitost centralizovaného protokolování. Vysvětlíme si, co je to syslog, odkud pochází a jak funguje. A protože mnoho administrátorů musí spravovat i zařízení s Windows, ukážeme si, jak lze události z těchto systémů konsolidovat s událostmi z ostatních systémů. Probereme si také SNMP pasti, což je další běžný způsob přenosu systémových zpráv. Nakonec si představíme naše nejlepší bezplatné syslog servery.
Proč je centralizované protokolování důležité?
Pokud jste někdy museli denně procházet protokoly na desítkách zařízení, víte, jak únavné, časově náročné a náchylné k chybám to může být. Je toho tolik ke kontrole, že je téměř jisté, že čas od času přehlédnete nějakou důležitou zprávu.
Navíc mnoho zařízení alokuje pro protokoly jen omezené zdroje, takže se protokoly přepisují a starší události se mažou, jakmile se objeví nové. Hrozí tak, že vám něco důležitého unikne. To platí zvláště proto, že některé události mohou být hlavní příčinou následných problémů.
Centralizované protokolování má několik výhod. Především zajistí, že všechny zaznamenané události budou bezpečně uloženy. A nebylo by skvělé, kdyby toto centralizované protokolování dokázalo události analyzovat a automaticky upozornit, když se stane něco významného? Právě to dělají některé špičkové syslog servery.
Co je to Syslog?
Systém Syslog je protokol, který definuje, jak počítačový systém protokoluje události. Je to také název formátu, ve kterém si systémy vyměňují syslog zprávy. Syslog má dvě složky: klientskou, která běží na každém protokolovacím zařízení, a serverovou, která přijímá informace o událostech od klientů.
Syslog vznikl v 80. letech ve světě Unixu, konkrétně jako systém pro výměnu logů pro Sendmail, systém pro doručování e-mailů. Fungovalo to tak dobře, že se brzy rozšířilo do dalších oblastí operačního systému Unix a následně se dostalo i do mnoha síťových zařízení, jako jsou směrovače, přepínače a firewally.
Formát zprávy Syslog
Syslog zpráva obsahuje několik informací: datum a čas události, název hostitele zařízení, proces, který událost spustil, úroveň závažnosti události, ID procesu zdroje události a text zprávy. Například:
Sep 14 14:09:09 test_device dhcp service[warning] 110 message body
Existuje osm úrovní závažnosti, od „ladění“ až po „nouzovou situaci“ (někdy nazývanou „panika“). To je důležité, protože mnoho syslog serverů lze nastavit tak, aby na zprávy určité závažnosti reagovaly specifickým způsobem.
Jak je to se systémy Windows?
Systémy Windows generují události již od verze Windows NT z roku 1993. Ty se obvykle prohlížejí pomocí aplikace Prohlížeč událostí, která je součástí každého operačního systému Windows. Ale pokud spravujete kombinaci Unixu/Linuxu, síťových zařízení a serverů Windows, nebylo by skvělé, kdyby všechny systémové události byly centralizovány na jednom místě?
Hlavní problém je, že události Windows nemají stejný formát jako události syslog. Existuje několik způsobů, jak toho dosáhnout, například pomocí příkazů WinRM a PowerShell. Můžete také použít software, který za vás automaticky nakonfiguruje všechny aspekty předávání. Jedním takovým softwarem je bezplatný SolarWinds Event Log Forwarder pro Windows.
SolarWinds Event Log Forwarder pro Windows (ZDARMA KE STAŽENÍ)
Společnost SolarWinds je známá výrobou špičkového softwaru pro správu a monitorování sítí. Nabízí také některé vynikající bezplatné nástroje pro správu sítí. Jedním z nich je bezplatný Event Log Forwarder pro Windows.
SolarWinds Event Log Forwarder pro Windows umí automaticky předávat protokoly událostí Windows jako syslog zprávy na libovolný syslog server. Můžete jej použít k rychlému odesílání událostí z pracovních stanic a serverů. Umožňuje exportovat data událostí ze serverů i pracovních stanic. Software umožňuje definovat, které události se mají předávat na základě zdroje, ID typu nebo klíčových slov. Může být nakonfigurován pro odesílání událostí na více serverů.
Software si jednoduše stáhnete z webových stránek SolarWinds a nainstalujete ho na každý server, odkud chcete exportovat data událostí. Díky intuitivnímu grafickému rozhraní je konfigurace parametrů exportu snadná. Určíte, které události zahrnout a kam je odeslat.
Navštivte: https://www.solarwinds.com/free-tools/event-log-forwarder-for-windows
SNMP pasti – Další typ upozornění na událost
Pokud se zajímáte o monitorování sítě, určitě jste se setkali s protokolem SNMP (Simple Network Management Protocol). Tento protokol se používá ke čtení čítačů rozhraní a výpočtu využití šířky pásma. Dalším typem provozu SNMP jsou tzv. SNMP pasti. To jsou zprávy zasílané z jednoho zařízení do druhého, které upozorňují na konkrétní situaci.
Mnoho síťových zařízení lze nakonfigurovat tak, aby zasílala SNMP pasti, když se něco pokazí. Každý typ pasti se musí nastavit ručně. Například zařízení může odeslat past, když dojde k výpadku rozhraní nebo když provoz překročí určitou prahovou hodnotu. Tyto pasti se odesílají do tzv. přijímače pastí.
SNMP pasti zmiňujeme, protože některé z nástrojů, které si představíme, lze použít i jako přijímače pastí. Díky systému, který podporuje a integruje události ze zpráv syslog a SNMP pastí, získáte jednotné řešení pro komplexní monitorování. U každého z nejlepších bezplatných syslog serverů si uvedeme, zda podporuje i SNMP.
Nejlepší bezplatné Syslog servery
Syslog servery se liší svými funkcemi. Některé servery pouze ukládají protokoly na centralizovaném místě. Některé umožňují jejich zobrazení na konzoli po použití různých filtrů. Některé servery lze nakonfigurovat tak, aby reagovaly na určité typy událostí od konkrétních hostitelů, například generováním výstrahy. Taková výstraha se může zobrazit na obrazovce, nebo může být zaslána e-mailem či SMS. A jak jsme uvedli, některé servery podporují pouze protokol syslog, zatímco jiné zvládají i události Windows a/nebo SNMP pasti.
Sestavili jsme seznam šesti nejlepších bezplatných syslog serverů. Některé jsou plnohodnotné servery, jiné jsou omezené verze placených produktů. Zde je náš seznam:
SolarWinds Kiwi Syslog Server Free Edition
ManageEngine Event Log Analyzer
Paessler PRTG
Syslog server WhatsUp Gold
Syslog Watcher
Visual Syslog Server pro Windows
1. SolarWinds Kiwi Syslog Server Free Edition (ZDARMA KE STAŽENÍ)
Společnost SolarWinds jsme již představili v souvislosti s Event Log Forwarder pro Windows. Kiwi Syslog Server Free Edition je dalším vynikajícím bezplatným produktem této společnosti. Má však omezení – dokáže zpracovat syslog zprávy pouze z pěti zařízení. Hodí se tedy pouze pro menší sítě.
Kiwi Syslog Server (který lze nainstalovat pouze na Windows server 2008 nebo 2012, nebo Windows 7, 8 nebo 10) zapisuje všechny přijaté zprávy do souboru konsolidovaného protokolu a zároveň je zobrazuje na svém řídicím panelu. Shromažďuje data z téměř jakéhokoli zařízení, které může generovat syslog zprávy nebo SNMP pasti. To zahrnuje většinu směrovačů, přepínačů a bezpečnostních zařízení.
Server můžete nastavit tak, aby zapisoval protokoly podle data nebo typu zdroje zprávy. Můžete nastavit upozornění na vysoký provoz. A pokud si pořídíte placenou verzi, můžete využít mnohem více výstražných podmínek.
ODKAZ KE STAŽENÍ: https://www.solarwinds.com/free-tools/kiwi-free-syslog-server
2. ManageEngine EventLog Analyzer
Stejně jako náš nejlepší tip, i bezplatná verze ManageEngine EventLog Analyzer umí shromažďovat data syslog pouze z pěti zařízení. K plnému využití budete muset zakoupit licenci. ManageEngine má stejně jako SolarWinds dobrou pověst pro vytváření skvělých nástrojů pro správu sítí a pro nabídku vynikajícího bezplatného softwaru.
Název EventLog Analyzer napovídá, že se jedná o více než jen syslog server. A je to pravda. Kromě agregace protokolů nabízí EventLog Analyzer i pokročilé funkce, jako je reportování shody a forenzní analýza protokolů. Placené verze mají ještě více těchto jedinečných funkcí, které u jiných produktů nenajdete.
3. Paessler PRTG
Pokud se zajímáte o monitorování sítí, pravděpodobně znáte PRTG od Paesslera. Jedná se o jeden z nejznámějších balíčků pro monitorování sítí. Možná nevíte, že PRTG umí přijímat i data syslog. I v bezplatné, omezené verzi. PRTG je zdarma pro použití s až 100 senzory. Syslog může být jedním z těchto senzorů. To znamená, že bezplatnou instalaci PRTG lze použít k centralizaci dat syslog a sledování 99 dalších parametrů.
Přijímač PRTG Syslog shromažďuje všechny syslog zprávy ve vaší síti a ukládá je do databáze. Uložená data lze zapisovat do souborů protokolu. Z řídicího panelu PRTG lze databázi dotazovat. A v neposlední řadě můžete spouštět akce v reakci na konkrétní události.
4. Bezplatný Syslog Server WhatsUp Gold
WhatsUp Gold je dalším známým jménem v oblasti monitorování sítí. Ipswitch, výrobce WhatsUp Gold, vyrábí také bezplatný Syslog Server WhatsUp Gold. Jedná se o plně bezplatný balíček pro Windows. Lze si ho stáhnout z webových stránek společnosti Ipswitch.
Bezplatný Syslog Server od WhatsUp Gold je funkčně bohatý nástroj, který splní potřeby většiny správců syslog. Nabízí vylepšené možnosti exportu a zobrazuje protokolované zprávy v reálném čase. Filtrováním výsledků si můžete přizpůsobit zobrazení konkrétním potřebám. Server dokáže zpracovat až šest milionů zpráv za hodinu, což je dost pro všechny sítě kromě těch největších.
5. Syslog Watcher
Společnost EZ5 Systems z Vancouveru v Kanadě vyrábí velmi dobrý syslog server pro Windows s názvem Syslog Watcher. Jedná se o rychlý server, který používá multithreading, aby zajistil, že správně přijímá a zpracovává všechny syslog zprávy. Oddělením příjmu a zpracování zpráv zajišťuje, že se žádná zpráva neztratí. Podporuje protokoly TCP i UDP a IPv4 i IPv6.
Z hlediska funkcí se jedná o skvělý balíček. Data protokolů může exportovat do souboru nebo databáze. Ukládání událostí do databáze znamená, že je můžete zpracovat mnoha různými způsoby pomocí filtrování, třídění, seskupování a počítání. Server nabízí i flexibilní upozornění. Události můžete dokonce kombinovat a generovat upozornění.
6. Visual Syslog Server pro Windows
Visual Syslog Server pro Windows je jednoduchý bezplatný open-source software z Ruska. Je kompatibilní s RFC 3164, což znamená, že funguje s protokoly TCP i UDP. Jeho konzole zobrazuje přijaté zprávy v reálném čase s přizpůsobitelným barevným zvýrazněním a zároveň je ukládá na disk. Automaticky otáčí uložené soubory protokolů podle velikosti nebo data.
Zobrazení zpráv lze filtrovat podle několika kritérií, jako je zařízení, priorita, hostitel nebo obsah zprávy. Výstražné podmínky a akce si definuje uživatel a zahrnují nejen e-mail, ale také možnost spouštět externí programy s vlastními parametry. Na rozdíl od mnoha jiných syslog serverů pro Windows, Visual Syslog Server běží spíše jako aplikace než jako služba, ale minimalizuje se na systémovou lištu, když se konzole nepoužívá, a nadále protokoluje na pozadí.
Závěr
Centralizace protokolování je jedním z nejlepších způsobů, jak snížit pracovní zátěž a zároveň zlepšit schopnost reakce na incidenty. S přizpůsobitelnými upozorněními můžete automatizovat jednu z nejdůležitějších součástí vaší reakce na incidenty. Na internetu je zdarma k dispozici mnoho dalších syslog serverů. Uvedli jsme jen ty, které jsme nedávno vyhodnotili jako nejlepší. Všechny naše návrhy jsou vynikající volbou, ale mezi nimi upřednostňujeme SolarWinds Kiwi Syslog Server Free Edition. Byl to můj osobní favorit ještě předtím, než SolarWinds společnost Kiwi získal. Nemusí to být server s nejvíce funkcemi, ale svou práci zvládne a dělá ji dobře.