Jako správci sítě se musíme vypořádat s úžasným počtem událostí, které se dějí na jakémkoli zařízení, o něž máme za úkol se starat. Vzpomínám si, že když jsem byl před několika lety mladším administrátorem, mým prvním každodenním úkolem bylo zkontrolovat protokoly chyb každého zařízení. Úloha, která s rostoucí velikostí sítě trvala stále více času až do bodu, kdy trvala téměř celé dopoledne. Díky systému vzdáleného přihlášení syslog a inteligentním službám syslog je tento druh úloh minulostí. Čtěte dále, protože kontrolujeme nejlepší bezplatné servery syslog, které můžete najít.
Než odhalíme náš nejlepší bezplatný server syslog, začneme diskusí o potřebě centralizovaného protokolování. Poté popíšeme systém syslog, odkud pochází a jak funguje. A protože mnoho správců se musí vypořádat se zařízeními Windows, uvidíme, jak lze události z těchto systémů také konsolidovat společně s událostmi z jiných systémů. Probereme také SNMP pasti, protože jsou dalším oblíbeným způsobem přenosu systémových zpráv. A ponecháme si to nejlepší na konec, představíme naše nejlepší bezplatné servery syslog.
Table of Contents
Potřeba centralizovaného protokolování
Pokud jste jako já někdy měli za úkol kontrolovat protokoly na desítkách zařízení denně, víte, jak to může být nudné, časově náročné a náchylné k chybám. Existuje tolik zpráv k třídění, že čas od času přehlédnout jednu důležitou je téměř jistota.
Přidejte k tomu skutečnost, že mnoho zařízení přiděluje protokolování pouze určité množství zdrojů a protokoly roluje odstraňováním starších událostí, jakmile se objeví nové. Existuje vážné riziko, že vám něco důležitého unikne. To platí zejména tehdy, když uvážíte, že některé události mohou být hlavní příčinou dalších následných událostí.
Potřeba centralizovaného protokolování má několik aspektů. V první řadě se chcete ujistit, že všechny zaznamenané události jsou zaznamenány a uloženy. Nebylo by ale hezké, kdyby toto centralizované protokolování mělo také požadovanou inteligenci k analýze událostí a automatické upozornění, kdykoli se stane něco významného? To je přesně to, co některé sázkové syslog servery dělají.
Systém Syslog
Technicky vzato – aniž bychom se příliš technicky zabývali – jsou Syslog dvě věci. Za prvé je to protokol, který definuje počítačový systém protokolování událostí. Je to také název formátu, ve kterém se vyměňují zprávy syslog mezi systémy. Systém syslog je dvousložkový systém. Existuje klientská komponenta, která běží na každém protokolovacím zařízení, a komponenta serveru, která přijímá informace o událostech od klientů syslog.
Syslog vznikl v 80. letech 20. století ve světě Unixu, přesněji jako systém výměny logů pro Sendmail, systém doručování e-mailů. Fungovalo to tak dobře, že bylo brzy rozšířeno do dalších oblastí operačního systému Unix a později zahrnuto do mnoha síťových zařízení, jako jsou směrovače, přepínače a firewally, abychom jmenovali alespoň některé.
Formát zprávy Syslog
Zpráva syslog obsahuje několik informací: datum a čas události, název hostitele zařízení, proces, který událost spustil, úroveň závažnosti události [within square brackets ], ID procesu zdroje události a tělo zprávy. Například:
Sep 14 14:09:09 test_device dhcp service[warning] 110 message body
Existuje osm úrovní závažnosti od „ladění“ po „nouzovou situaci“ – někdy označované jako „panika“. To je důležité, protože mnoho serverů syslog může být nakonfigurováno tak, aby odpovídaly specifickým způsobem na zprávy dané závažnosti.
A co systémy Windows?
Již od Windows NT, tedy v roce 1993, generovaly události také systémy Windows. Ty se obvykle zkoumají pomocí aplikace prohlížeče protokolů, což je součást každého operačního systému Windows. Ale pokud spravujete kombinaci Unixu/Linuxu, síťových zařízení a Windows serverů, nebylo by skvělé, kdyby všechny systémové události mohly být centralizovány na jednom místě?
Hlavní problém při dosahování tohoto souvisí s odlišným formátem. Události Windows neobsahují stejné informace jako typické události syslog. Ve Windows existuje několik způsobů, jak toho dosáhnout. Můžete to udělat pomocí příkazů WinRM a PowerShell. Můžete také použít software, který automaticky nakonfiguruje všechny aspekty přeposílání za vás. Jedním takovým softwarem je bezplatný SolarWinds Event Log Forwarder pro Windows.
The SolarWinds Event Log Forwarder for Windows (BEZDARMA STÁHNOUT)
SolarWinds už možná znáte. Společnost vyrábí některé z nejlepších softwaru pro správu a monitorování sítě. Je známá tím, že má zdarma 30denní zkušební verze většiny svých produktů. Ale SolarWinds je také známý tím, že vyrábí některé z nejlepších bezplatných nástrojů pro správu sítě. Jednou takovým nástrojem je bezplatný Event Log Forwarder pro Windows.
Stručně řečeno, SolarWinds Event Log Forwarder pro Windows může automaticky předávat protokoly událostí Windows jako zprávy syslog jakékoli službě syslog. Můžete jej použít k rychlému určení a automatickému odesílání událostí z pracovních stanic a serverů. Může exportovat data událostí ze serverů Windows i pracovních stanic. Software umožňuje určit, které události se mají předat, podle zdroje, ID typu nebo klíčových slov. Může být nakonfigurován pro odesílání událostí na více serverů.
Jednoduše si stáhnete software z webové stránky SolarWinds a nainstalujete jej na každý server, kam chcete exportovat data událostí. Díky uživatelsky přívětivému grafickému uživatelskému rozhraní je konfigurace parametrů exportu snadná. V podstatě určujete, které události zahrnout a kam je odeslat.
Navštivte: https://www.solarwinds.com/free-tools/event-log-forwarder-for-windows
Depeše SNMP — Další typ upozornění na událost
Pokud znáte nástroje pro monitorování sítě, určitě jste slyšeli o SNMP, Simple Network Management Protocol. Tyto nástroje jej široce používají ke čtení čítačů rozhraní a výpočtu využití šířky pásma. Existuje další typ provozu SNMP nazývaný depeše SNMP. Jsou to zprávy zasílané z jednoho zařízení do druhého, aby jej upozornily na nějakou konkrétní situaci.
Mnoho síťových zařízení může být nakonfigurováno tak, aby odeslalo SNMP depeše, kdykoli se něco pokazí. Liší se od syslog, protože každý typ pasti musí být konfigurován ručně. Zařízení by například mohlo být nakonfigurováno tak, aby vyslalo past, kdykoli dojde k výpadku rozhraní nebo když provoz překročí určitou prahovou hodnotu. Tyto pasti jsou odesílány do toho, co ve světě SNMP označujeme jako přijímač pastí.
Chtěli jsme zde zmínit SNMP pasti, protože některé z nástrojů, které se chystáme představit, lze také použít jako přijímače pastí. Se systémem, který podporuje a integruje události přijaté ze zpráv syslog a SNMP trapů, máte jednotné řešení, které poskytuje integrované monitorování v jednom balíčku. Ujistíme se, že vám dáme vědět o těch, které také podporují SNMP, protože přezkoumáváme každý z nejlepších bezplatných serverů syslog.
Nejlepší bezplatné servery Syslog
Servery Syslog přicházejí ve všech tvarech a velikostech. Různé servery syslog se liší svou funkčností. Některé servery budou ukládat protokoly pouze do centralizovaného umístění. Některé vám umožní zobrazit je na konzole pro správu někdy po použití různých filtrů. Některé servery lze nakonfigurovat tak, aby reagovaly na určité typy událostí od konkrétních hostitelů, například generováním určitého typu výstrahy. Taková výstraha může být zobrazena na obrazovce konzoly při spuštění poplachu, některá lze odeslat e-mailem nebo SMS. A jak bylo uvedeno výše, některé servery budou podporovat pouze protokol syslog, zatímco jiné budou také zpracovávat události Windows a/nebo SNMP Traps.
Sestavili jsme seznam toho, co jsme našli jako šest nejlepších bezplatných serverů syslog. Některé jsou skutečně bezplatné plnohodnotné servery, zatímco jiné jsou zmenšenými verzemi placené verze bohaté na funkce. Zde je náš seznam 6 nejlepších:
SolarWinds Kiwi Syslog Server Free Edition
ManageEngine Event Log Analyzer
Paessler PRTG
Syslog server WhatsUp Gold
Syslog Watcher
Visual Syslog Server pro Windows
1. SolarWinds Kiwi Syslog Server Free Edition (STAŽENÍ ZDARMA)
SolarWinds jsme již představili, když jsme diskutovali o jeho Event Log Forwarder pro Windows. Kiwi Syslog Server Free Edition je dalším z vynikajících bezplatných produktů společnosti. Přichází s vážným omezením, ačkoli dokáže zpracovat pouze zprávy syslog až z pěti zařízení. Bude tedy vhodný pouze pro nejmenší sítě.
Server Kiwi Syslog – který lze nainstalovat pouze na Windows server 2008 nebo 2012 nebo Windows 7, 8 nebo 10 – zapisuje všechny přijaté zprávy do souboru konsolidovaného protokolu a zároveň je zobrazuje na svém řídicím panelu. Bude shromažďovat data z téměř jakéhokoli zařízení, které může generovat zprávy syslog nebo SNMP pasti. To zahrnuje většinu směrovačů, přepínačů a bezpečnostních zařízení.
Server můžete nechat zapisovat protokoly podle data nebo podle typu zdroje zprávy. Můžete nastavit upozornění na vysoký provoz. A pokud půjdete s placenou verzí, existuje mnohem více výstražných podmínek, které můžete použít.
ODKAZ KE STAŽENÍ: https://www.solarwinds.com/free-tools/kiwi-free-syslog-server
2. ManageEngine EventLog Analyzer
Stejně jako náš nejlepší výběr, bezplatná verze ManageEngine EventLog Analyzer může shromažďovat data syslog pouze z pěti zařízení. Kromě toho budete muset zakoupit licenci. A stejně jako SolarWinds má ManageEngine solidní reputaci pro vytváření skvělých nástrojů pro správu sítě a pro nabídku vynikajícího bezplatného softwaru.
S názvem, jako je EventLog Analyzer, byste od tohoto produktu očekávali mnohem více než jen server syslog. No, měl bys pravdu. Kromě agregace všech vašich zdrojů protokolování na jednom místě má EventLog Analyzer několik pokročilých funkcí, jako je hlášení souladu a forenzní analýza protokolů. Placené verze mají ještě více těchto jedinečných funkcí, jaké nenajdete u jiných produktů.
3. Paessler PRTG
Pokud jste vůbec obeznámeni se systémy monitorování sítě, pravděpodobně víte PRTG od Paesslera. Je to koneckonců jeden z nejznámějších balíčků pro monitorování sítě. Možná nevíte, že PRTG může také přijímat data syslog. I ve své bezplatné, omezené verzi. Jak možná víte, PRTG je zdarma k použití s až 100 senzory. No, syslog může být jedním z těchto senzorů. To znamená, že bezplatnou instalaci PRTG lze použít k centralizaci dat syslog a sledování 99 dalších parametrů.
Přijímač PRTG Syslog, jak se nazývá, shromažďuje všechny zprávy Syslog ve vaší síti a uchovává je v databázi. Po uložení je můžete zapsat do souborů protokolu. Databázi můžete také dotazovat z řídicího panelu PRTG. A konečně můžete spustit akce v reakci na konkrétní podmínky.
4. Bezplatný Syslog Server WhatsUp Gold
WhatsUp Gold je další domácí jméno v oblasti monitorování sítě. Existuje jen málo správců sítě, kteří o tom alespoň neslyšeli. Existuje již velmi dlouho a patří mezi nejlepší balíčky ve své kategorii. Ipswitch, výrobce WhatsUp Gold, také vyrábí Bezplatný Syslog Server WhatsUp Gold. Je to skutečný bezplatný balíček, který běží na Windows. Lze jej stáhnout z webových stránek společnosti Ipswitch.
Bezplatný Syslog Server od WhatsUp Gold je funkčně bohatý nástroj, který řeší potřeby většiny správců syslog. Mýtné má vylepšené možnosti exportu a může zobrazovat zaprotokolované zprávy v reálném čase, případně filtrovat výsledky, aby bylo možné přizpůsobit zobrazení konkrétním potřebám. Server dokáže zpracovat až šest milionů zpráv za hodinu, což je dost pro všechny sítě kromě těch největších.
5. Syslog Watcher
EZ5 Systems se sídlem ve Vancouveru v Kanadě vyrábí velmi dobrý syslog server pro Windows s názvem Syslog Watcher. Je to rychlý server, který používá multithreading, aby zajistil, že správně přijímá a zpracovává všechny zprávy syslog, které obdrží. Oddělením příjmu a zpracování zpráv zajišťuje, že žádná zpráva nezapadne. Bude pracovat se zprávami TCP i UDP a bude podporovat IPv4 a IPv6.
Z hlediska funkcí je to skvělý balíček. Může exportovat data protokolu buď do souboru nebo do databáze. Událost Storin v databázi znamená, že je můžete zpracovat mnoha různými způsoby pomocí filtrování, třídění, seskupování a počítání. Server také nabízí flexibilní upozornění. Událost můžete dokonce kombinovat a generovat upozornění.
6. Visual Syslog Server pro Windows
The Visual Syslog Server pro Windows je velmi úhledný, i když poněkud základní malý kousek softwaru z Ruska. Je to skutečně bezplatný systém s otevřeným zdrojovým kódem. Je kompatibilní s RFC 3164, což znamená, že bude pracovat se zprávami TCP i UDP. Jeho konzole bude zobrazovat přijaté zprávy v reálném čase s přizpůsobitelným barevným zvýrazněním a zároveň je ukládat na disk. Automaticky otočí uložené soubory protokolu podle velikosti nebo data.
Zobrazení zpráv lze filtrovat na základě několika různých kritérií, jako je zařízení, priorita, hostitel nebo obsah zprávy. Výstražné podmínky a akce mohou být definovány uživatelem a zahrnují nejen e-mail, ale také možnost nebo spuštění externích programů s vlastními parametry. Na rozdíl od mnoha jiných serverů syslog Windows běží vizuální server Syslog spíše jako aplikace než služba, ale minimalizuje se na systémovou lištu, když se konzola nepoužívá, a udržuje protokolování na pozadí, zatímco uvolňuje obrazovku.
Závěr
Centralizace protokolování je pravděpodobně jedním z nejlepších způsobů, jak snížit pracovní zátěž a zároveň zlepšit schopnost reakce na incidenty. S přizpůsobitelným upozorněním, které většina těchto balíčků nabízí, můžete automatizovat jednu z nejdůležitějších součástí vaší reakce na incidenty. Na internetu je zdarma k dispozici mnohem více serverů syslog. Poskytli jsme vám pouze seznam těch, které jsme nedávno shledali mezi nejlepšími. A přestože jsou všechny naše návrhy vynikajícími volbami, nemůžeme si pomoci, ale preferujeme náš nejlepší výběr, SolarWinds SolarWinds Kiwi Syslog Server Free Edition. Byl to můj osobní favorit ještě předtím, než SolarWinds získal Kiwi před několika lety a nadále je to moje první volba. Nemusí to být server s nejvíce funkcemi, ale svou práci zvládne a dělá ji dobře.