Moderní systémy a správa protokolů
Současné systémy produkují ohromné množství dat v logu. Prakticky na každé platformě se každá událost, ať už je zásadní nebo okrajová, někde zaznamenává. Tyto protokoly bývají uložené lokálně, což je logické, protože jsou spojené se svým zdrojem. Nicméně, při snaze o vyřešení problémů a nalezení jejich kořene se často musíme prohrabat několika log soubory z mnoha různých zařízení. Co byste řekli na to, kdyby byly všechny protokoly ze všech zařízení centralizované na jednom místě? Právě o tom je správa protokolů, a ještě o mnohem více, jak se brzy přesvědčíte. Podívejme se na nejlepší systémy pro správu logů.
Nejprve si ujasníme, co vlastně správa protokolů zahrnuje. Jak zjistíte, je to mnohem víc než jen centralizace úložiště logů. Dále probereme protokolovací protokoly, které jsou nezbytné, protože bez nich by správa protokolů pravděpodobně neměla smysl. Poté se zamyslíme nad rozdílem mezi servery syslog a systémy pro správu protokolů. Bohužel mezi nimi není jasná hranice. Také se podíváme na bezpečnostní informační systémy a systémy pro správu událostí, protože se jedná o odlišný typ systému, který je často se správou protokolů zaměňován, a to díky poněkud nejednoznačné definici každého z nich. A konečně, probereme osm nejlepších systémů pro správu protokolů, které jsme objevili.
Co je správa protokolů?
Než se pustíme do detailů o správě protokolů, definujme si, co je vlastně protokol (log). Jednoduše řečeno, protokol je automaticky vytvořená, časově označená dokumentace událostí, které jsou relevantní pro konkrétní systém. Kdykoliv dojde v systému k nějaké události, vygeneruje se protokol. Různé systémy logují odlišné události a mnoho z nich dává administrátorům možnost ovlivnit, co se zaznamenává a co ne.
Správa protokolů se týká procesů a postupů, které se používají k administraci a zjednodušení vytváření, přenosu, analýzy, ukládání, archivace a následné likvidace velkých objemů dat z protokolů. Správa protokolů zahrnuje centralizovaný systém, kde se protokoly sbírají z mnoha zdrojů.
Ale správa logů není jen o sběru protokolů. Klíčovou roli hraje právě aspekt správy. Systémy pro správu protokolů obvykle nabízí celou řadu funkcí, přičemž sběr protokolů je pouze jednou z nich.
Když systém správy protokolů obdrží logy, je potřeba je „přeložit“ do jednotného formátu. Různé systémy formátují protokoly různě a do protokolů zahrnují odlišná data. Některé začínají datumem a časem, jiné číselným kódem události. Některé obsahují pouze ID protokolu, zatímco jiné uvádějí kompletní textový popis události. Jedním z cílů systémů pro správu protokolů je zajistit, aby všechny shromážděné logy byly uložené v jednotném formátu. To značně usnadňuje vyhledávání a korelaci událostí.
Když už mluvíme o vyhledávání a korelaci, to jsou další významné funkce mnoha systémů pro správu protokolů. Některé z nich mají výkonný vyhledávač, který administrátorům umožňuje přesně vyhledat, co potřebují. Funkce korelace automaticky seskupí související události, i když pocházejí z různých zdrojů. Právě způsob – a úspěšnost – jak různé systémy správy protokolů tyto cíle dosahují, je zásadním rozlišovacím faktorem.
Protokoly protokolování
Správa protokolů by byla mnohem složitější, ne-li nemožná, bez protokolovacích protokolů. Těch existuje hned několik, a ty definují, jaká data mají být zahrnuta do logů, jak by měly být formátovány a jak by měly být přenášeny mezi systémy.
Syslog je pravděpodobně nejrozšířenějším protokolovacím protokolem. Byl vytvořen na začátku 80. let a stal se de facto standardem pro systémy podobné Unixu. Jednou z hlavních výhod protokolu syslog je jeho schopnost oddělit software, který generuje protokoly, systém, který je ukládá, a software, který je reportuje a analyzuje. Použití Syslog výrazně usnadňuje správu protokolů. Mnoho zařízení jiných než Unix, jako jsou switche, routery a další síťová zařízení od mnoha výrobců, využívá variantu protokolu syslog.
Microsoft Windows, jak už možná tušíte, používá jiný systém protokolování. Může to být způsobeno tím, že operační systémy a aplikace Windows mají protokoly, které obvykle obsahují mnohem více informací, než umožňuje syslog. Naštěstí funkce Windows Event Collector nabízí prostředky pro systémy pro správu protokolů, které mohou využít k přijímání událostí z hostitelů Windows.
Bez ohledu na použitý protokolovací protokol je důležitou součástí správy protokolů konfigurace zařízení, aby odesílala protokoly do systému správy. To je odlišuje od jiných nástrojů, jako jsou systémy pro monitorování sítě, kde nástroj získává data z hostitelů.
Log servery vs Správa protokolů
Vzhledem k tomu, že Syslog je již nějakou dobu dostupný na každém Unixovém systému, často se používá jako log server s jediným počítačem, který přijímá data Syslog z mnoha dalších. I když má toto centralizované ukládání protokolů některé výhody, nejde o správu protokolů.
Aby si produkt zasloužil název Log Management System, musí obsahovat alespoň některé z pokročilejších funkcí. Podle Wikipedie se správa protokolů skládá z následujících funkcí: shromažďování protokolů, centralizovaná agregace protokolů, dlouhodobé ukládání a uchovávání protokolů, rotace protokolů, analýza protokolů, vyhledávání protokolů a vytváření sestav. Log servery často nabízejí pouze shromažďování a ukládání protokolů, a zřídka něco navíc. Každý systém pro správu protokolů v našem seznamu nejlepších nabízí alespoň některé z pokročilejších funkcí.
A co SIEM systémy?
Další populární technologií, která se často spojuje s protokoly a zaměňuje se systémy pro správu protokolů, je správa bezpečnostních informací a událostí, neboli SIEM. Jedná se o něco zcela jiného než správa protokolů, i když spolu úzce souvisí. Vlastně některé produkty, které se inzerují jako systémy pro správu protokolů, jsou ve skutečnosti SIEM systémy, zatímco některé základní SIEM systémy nejsou ničím jiným než systémy pro správu protokolů.
Hlavním důvodem tohoto zmatku je, že správa protokolů – nebo alespoň analýza protokolů – je zásadní součástí SIEM systémů. SIEM systémy obvykle posouvají správu protokolů na vyšší úroveň tím, že do celého procesu přidávají určitou inteligenci. Tyto systémy provádějí analýzu protokolů s cílem identifikovat bezpečnostní problémy. Například budou hledat známky neúspěšných pokusů o přihlášení, což by naznačovalo neautorizovaný pokus o vniknutí. Tyto systémy automaticky prohledávají záznamy v protokolech a hledají cokoli neobvyklého.
SIEM systémy mají více společného s bezpečností IT než s IT správou, a i když některé zahrnují rozsáhlé funkce správy protokolů, mnohé také mohou používat externí systémy pro správu protokolů. Není neobvyklé, že oba systémy fungují souběžně.
Nejlepší software pro správu protokolů
Teď, když máme společné porozumění tomu, co je a není správa protokolů, podíváme se na to, co je k dispozici. Na trhu jsme hledali některé z nejlepších systémů pro správu protokolů. Naším počátečním zjištěním je, že jich je spousta a mnohé z nich jsou velmi dobré. Ale máme jen omezený prostor, takže se podíváme na osm nejzajímavějších, které jsme objevili.
1. SolarWinds Papertrail
SolarWinds je v oblasti nástrojů pro správu sítí známé jméno. Působí už téměř 20 let a přinesl nám jeden z nejlepších nástrojů pro monitorování šířky pásma a jeden z nejlepších analyzátorů a kolektorů NetFlow. Společnost je také známá tím, že uvolňuje několik bezplatných nástrojů, které řeší specifické potřeby síťových administrátorů, jako je kalkulačka podsítě nebo server syslog.
Před několika lety SolarWinds koupil Papertrail, populární systém pro správu protokolů. Agreguje logy ze široké škály oblíbených produktů, jako je Apache nebo MySQL, ale i z aplikací Ruby on Rails, různých cloudových hostingových služeb a dalších standardních textových log souborů. Uživatelé Papertrail pak mohou pomocí webového vyhledávacího rozhraní nebo nástrojů příkazového řádku prohledávat tyto soubory, což jim pomáhá diagnostikovat chyby a problémy s výkonem. Papertrail lze také integrovat s dalšími produkty SolarWinds, jako jsou Librato a Geckoboard pro vizualizaci výsledků.
Papertrail je cloudová softwarová služba (SaaS) od SolarWinds. Je snadné ji implementovat, používat a pochopit. Během několika minut získáte okamžitý přehled o všech svých systémech. Nástroj má vysoce efektivní vyhledávač, který dokáže prohledávat uložené i streamované logy. Navíc to dělá bleskově rychle.
Papertrail je k dispozici v několika tarifech, včetně bezplatného. Ten je však poněkud omezený, umožňuje pouze 100 MB protokolů měsíčně. Nicméně v prvním měsíci je k dispozici 16 GB protokolů, což odpovídá 30denní zkušební verzi zdarma. Placené plány začínají na 7 USD/měsíc za 1 GB/měsíc protokolů, 1 rok archivu a 1 týden indexu. Funkce filtrování šumu umožňuje nástroji uchovat data tím, že neukládá nepotřebné protokoly.
2. SolarWinds Log & Event Manager (ZKUŠEBNÍ VERZE ZDARMA)
Další položkou v našem seznamu je další produkt od společnosti SolarWinds, konkrétně SolarWinds Log & Event Manager. Na rozdíl od předchozího případu se jedná o lokálně instalovaný produkt. A je to mnohem víc než jen systém pro správu logů. Mnoho pokročilých funkcí tohoto produktu ho řadí do kategorie SIEM. Má například korelaci v reálném čase a nápravu problémů.
Zde je přehled SolarWinds Log & Event Manager hlavních funkcí. Rychle řeší hrozby díky okamžité detekci podezřelé aktivity a automatickým reakcím. Dokáže také provádět vyšetřování bezpečnostních událostí a forenzní analýzu pro zmírnění rizik a splnění požadavků. A když už mluvíme o souladu, tento produkt vám to umožní díky ověřeným zprávám pro HIPAA, PCI DSS a SOX, mimo jiné. Tento nástroj má také monitorování integrity souborů a monitorování zařízení USB, dvě funkce, které zdaleka přesahují běžné funkce systémů pro správu protokolů.
Ceny za SolarWinds Log & Event Manager začínají na 4 585 USD pro až 30 sledovaných uzlů. Licence lze zakoupit až pro 2 500 uzlů, díky čemuž je produkt velmi škálovatelný. A pokud chcete na vlastní kůži otestovat, zda je produkt pro vás ten pravý, je k dispozici bezplatná 30denní zkušební verze s plnou funkčností.
3. ipswitch Log Management Suite
Log Management Suite je nástroj od společnosti Ipswitch, stejné společnosti, která nám přinesla WhatsUp Gold, velmi oblíbený nástroj pro monitorování sítě. Jedná se o automatizovaný nástroj, který sbírá, ukládá, archivuje a spravuje protokoly systému, události Windows a protokoly W3C/IIC. Kromě toho vás jeho nepřetržité monitorování protokolů upozorní na jakoukoli podezřelou aktivitu.
Často kontrolované události, jako jsou přístupová práva a oprávnění k souborům, složkám a objektům, lze sledovat, generovat výstrahy podle potřeby a používat je k vytváření zpráv o souladu s předpisy HIPAA, SOX, FISMA, PCI, MiFID nebo Basel II. Tento nástroj vám také může pomoci přeměnit nezpracovaná data z protokolů na smysluplná data pro manažery nebo IT bezpečnostní týmy, díky automatickému filtrování, korelaci, vytváření sestav a konverzi.
Informace o ceně pro Log Management Suite nejsou od společnosti Ipswitch snadno dostupné. Produkt lze zakoupit přímo od prodejce nebo prostřednictvím sítě prodejců společnosti Ipswitch. K dispozici je také bezplatná zkušební verze.
4. ManageEngine EventLog Analyzer
ManageEngine, další známé jméno pro správce sítí, vytvořil vynikající systém pro správu protokolů s názvem ManageEngine EventLog Analyzer. Produkt shromažďuje, spravuje, analyzuje, koreluje a prohledává data protokolů z více než 700 zdrojů pomocí kombinace sběru protokolů bez agentů i na základě agentů a importu protokolů.
Rychlost je jednou ze silných stránek ManageEngine EventLog Analyzer. Dokáže zpracovávat data z protokolů působivou rychlostí 25 000 protokolů za sekundu a detekovat útoky v reálném čase. Dokáže také provádět rychlou forenzní analýzu pro snížení dopadu narušení. Možnosti auditu systému se rozšiřují na protokoly zařízení na okraji sítě, aktivity uživatelů, změny účtů serveru, přístupy uživatelů a další, což vám pomůže splnit požadavky na audit zabezpečení.
ManageEngine EventLog Analyzer je k dispozici v bezplatné edici s omezenou sadou funkcí, která podporuje pouze 5 zdrojů protokolů, nebo v prémiové edici, která začíná na 595 USD a liší se podle počtu zařízení a aplikací. K dispozici je také bezplatná 30denní zkušební verze s plnou funkčností.
5. Nagios Log Server
Nagios je nejlépe známý pro svůj vynikající software pro monitorování sítí, ale jeho Log Server je možná stejně zajímavý. Příhodně nazvaný Nagios Log Server, nabízí centralizovanou správu protokolů, monitorování a analýzu. Nagios Log Server zjednodušuje proces vyhledávání dat v protokolech. Umožňuje také nastavit výstrahy, abyste byli upozorněni na potenciální hrozby. Kromě toho má software zabudovanou vysokou dostupnost a failover. Jeho snadní průvodci pro nastavení zdroje vám pomohou rychle nakonfigurovat servery tak, aby odesílaly všechna data protokolů, a sledovat tak své protokoly během několika minut.
Nagios Log Server umožňuje snadno korelovat události protokolu na všech vašich serverech pomocí několika kliknutí. Umožňuje vám prohlížet data z protokolů v reálném čase, což vám dává možnost analyzovat a řešit problémy, jakmile se objeví. Produkt se vyznačuje působivou škálovatelností a bude i nadále splňovat vaše potřeby s růstem vaší organizace. Do monitorovacího clusteru lze přidat další instance Nagios Log Server, což vám umožní rychle přidat více výkonu, rychlosti, úložiště a spolehlivosti.
Cena jedné instance Nagios Log Server je 3 995 USD, a i když se zdá, že bezplatná zkušební verze není k dispozici, pokud byste si produkt raději vyzkoušeli na vlastní kůži, je k dispozici bezplatná online ukázka.
6. Alert Logic Log Manager
Společnost Alert Logic se primárně zaměřuje na zabezpečení a dodržování předpisů. A protože správa protokolů úzce souvisí s oběma, není žádným překvapením, že společnost nabízí Alert Logic Log Manager. Tento cloudový nástroj nabízí automatizovanou a jednotnou správu protokolů ve všech vašich prostředích. Bude shromažďovat, agregovat a prohledávat data z protokolů z cloudových, serverových, aplikačních, bezpečnostních a síťových aktiv.
Alert Logic Log Manager zahrnuje monitorování a analýzu protokolů, stejně jako kontrolu protokolů prováděnou živými analytiky. Odborníci Alert Logic vás upozorní na možnou aktivitu hrozeb 365 dní v roce. Služba také pomůže splnit požadavky na kontrolu protokolů SOC 2, HIPAA a SOX a zmírní zátěž kontroly protokolů a sledování událostí, aby byly v souladu s PCI/DSS 10.6, 10.6.1, 10.6.3.
Informace o ceně pro Alert Logic Log Manager nejsou na webových stránkách snadno dostupné a pro získání formální nabídky budete muset kontaktovat obchodní oddělení společnosti Alert Logic. Bezplatná zkušební verze také není k dispozici, ale bezplatnou ukázku lze domluvit prostřednictvím kontaktu se společností Alert Logic.
7. LogDNA
Společnost LogDNA byla založena v roce 2015 a je nováčkem na trhu. Společnost tvrdí, že „LogDNA je nejrychlejší, nejintuitivnější a nákladově nejefektivnější systém pro správu protokolů“. Vše začíná instalací, která trvá jen několik minut, a pak můžete začít sledovat své protokoly. Bez ohledu na to, jak jsou protokoly generovány a přenášeny, existují stovky vlastních integračních schémat pro centralizaci protokolů do jednoho panelu.
LogDNA může být cloudová nebo samostatně hostovaná, dle vašich preferencí. Je vysoce škálovatelná a dokáže zpracovat stovky tisíc protokolů za sekundu a desítky terabajtů na zákazníka denně v plném zabezpečení s analýzou protokolů v reálném čase. Společnost a její produkty jsou kompatibilní s SOC2, PCI a HIPAA a mají certifikaci Privacy Shield.
Díky jednoduchému cenovému modelu s platbou za GB, který eliminuje smlouvy a pevné datové segmenty, má společnost jedny z nejnižších celkových nákladů na vlastnictví. K dispozici je několik tarifů s rostoucí funkčností. Nejzákladnější tarif je zdarma a placené tarify se liší od 1,50 $/GB/měsíc do 3 $/GB/měsíc v závislosti na době uchování a počtu uživatelů. K dispozici je také bezplatná 14denní zkušební verze s plnou funkčností.
8. Graylog
Poslední na našem seznamu je produkt s názvem Graylog. Produkt nabízí mnoho zajímavých funkcí. Nástroj analyzuje a obohacuje protokoly a data událostí z libovolného zdroje dat. Jeho procesní kanály nabízejí určitou flexibilitu při směrování, zařazování na černé listiny, úpravě a obohacování zpráv v reálném čase. Graylog prohledává terabajty dat z protokolů, aby odhalil a analyzoval důležité informace. Jeho výkonná syntaxe vyhledávání vám umožní najít přesně to, co hledáte.
S Graylog můžete vytvářet řídicí panely pro vizualizaci metrik a sledování trendů na jednom centralizovaném místě. Můžete použít statistiky polí, rychlé hodnoty a grafy ze stránky s výsledky vyhledávání a ponořit se do hlubší analýzy dat. Systém má také schopnost spouštět akce nebo vydávat upozornění na události, jako jsou neúspěšné pokusy o přihlášení, výjimky nebo snížení výkonu.
Graylog je k dispozici buď jako bezplatná a open-source verze s omezenou funkčností a podporou, nebo jako podniková verze s rozšířenou funkčností a neomezenou podporou. Zkušební licenci můžete také získat kontaktováním Graylog prodejního oddělení.