Dnešní systémy generují spoustu logovacích dat. Na mnoha platformách je každá jednotlivá událost, ať už důležitá nebo ne, někde zaznamenána. Protokoly jsou obvykle uloženy lokálně. To dává smysl, protože protokoly jsou propojeny se svým zdrojem. Když se však pokoušíme vyřešit problémy a najít jejich hlavní příčinu, často to znamená, že se musíme podívat na více souborů protokolu na mnoha zařízeních. Nebylo by hezké, kdyby byly všechny protokoly ze všech zařízení uloženy na jednom místě? Správa protokolů je to a mnohem více, jak se právě dozvíte. A dnes přezkoumáme nejlepší systémy správy protokolů.
Začneme tím, že se pokusíme vysvětlit, co je správa protokolů. Jak uvidíte, může to být mnohem víc než jen centralizace úložiště protokolů. Dále si povíme něco o protokolovacích protokolech. Je to poměrně důležité, protože bez nich by správa protokolů pravděpodobně neexistovala. Poté se pokusíme odlišit servery syslog od systémů správy protokolů. Bohužel mezi nimi není jasná hranice. Navážeme diskusí o bezpečnostních informačních systémech a systémech správy událostí, protože jde o jiný typ systému, který je často zaměňován se správou protokolů, a to díky poněkud nejasné definici každého z nich. A nakonec si projdeme osm nejlepších systémů správy protokolů, které jsme mohli najít.
Table of Contents
Správa protokolů – co to je
Než budeme mluvit o správě protokolů, podívejme se, co je protokol. Jednoduše definovaný protokol je automaticky vytvořená a časově označená dokumentace událostí relevantních pro konkrétní systém. Kdykoli v systému dojde k události, vygeneruje se protokol. Různé systémy budou generovat protokoly pro různé události a mnoho systémů dává správcům určitou míru kontroly nad tím, co protokol generuje a co ne.
Když mluvíme o správě protokolů, máme na mysli procesy a zásady používané ke správě a usnadnění generování, přenosu, analýzy, ukládání, archivace a případné likvidace velkých objemů dat protokolů. Správa protokolů znamená centralizovaný systém, kde se shromažďují protokoly z více zdrojů.
Správa protokolů však není jen shromažďování protokolů. Nejdůležitější je část řízení. Systémy správy protokolů mají obvykle více funkcí, přičemž shromažďování protokolů je pouze jednou z nich.
Jakmile protokoly obdrží systém správy protokolů, je třeba je „přeložit“ do běžného formátu. Různé systémy formátují protokoly odlišně a zahrnují do svých protokolů různá data. Někdo začíná protokol datem a časem, někdo jej začíná číslem události. Některé obsahují pouze ID protokolu, zatímco jiné obsahují úplný textový popis události. Jedním z účelů systémů správy protokolů je zajistit, aby všechny shromážděné položky protokolu byly uloženy v jednotném formátu. Díky tomu bude vyhledávání a korelace událostí mnohem jednodušší.
Když už mluvíme o vyhledávání a dokonce o korelaci, je to další důležitá funkce mnoha systémů pro správu protokolů. Některé z nich jsou vybaveny výkonným vyhledávačem, který správcům umožňuje vynulovat přesně to, co potřebují. Korelační funkce automaticky seskupí související události, i když pocházejí z různých zdrojů. Jak – a jak úspěšně – toho dosahují různé systémy správy protokolů, je hlavním rozlišovacím faktorem.
Protokoly protokolování
Správa protokolů by byla mnohem obtížnější, pokud by vůbec byla možná, nebýt protokolovacích protokolů. Existuje několik z nich, které definují, jaká data mají být zahrnuta do protokolů, jak by měla být formátována a jak by měla být přenášena mezi systémy.
Syslog je pravděpodobně nejpoužívanější protokolovací protokol. Byl vynalezen na počátku osmdesátých let a stal se de facto standardem pro systémy podobné Unixu. Jednou z největších předností protokolu syslog je to, jak odděluje software, který generuje protokoly, systém, který je ukládá, a software, který je hlásí a analyzuje. Použití protokolu Syslog značně usnadňuje správu protokolů. Mnoho jiných zařízení než Unix, jako jsou přepínače, směrovače a další síťová zařízení od mnoha dodavatelů, používá variantu protokolu syslog.
Microsoft Windows, jak jste možná uhodli, používá jiný systém protokolování. Může to souviset se skutečností, že operační systémy a aplikace Windows mají protokoly, které obvykle obsahují mnohem více informací, než dovoluje syslog. Naštěstí funkce Windows Event Collector poskytují prostředky pro systémy správy protokolů, které mohou používat k přijímání událostí z hostitelů Windows.
Bez ohledu na použitý protokolovací protokol je důležitou součástí správy protokolů konfigurace zařízení pro odesílání protokolů do systému správy. Tím se liší od jiných nástrojů, jako jsou systémy monitorování sítě, kde nástroj získává data z hostitelů.
Log servery vs Log Management
Vzhledem k tomu, že je Syslog již nějakou dobu dostupný na každém unixovém systému, je často používán jako log server s jedním počítačem, který přijímá data syslog z několika dalších. I když toto centralizované ukládání protokolů má určité výhody, nejedná se o správu protokolů.
Aby si produkt zasloužil název Log Management System, musí obsahovat alespoň některé z pokročilejších funkcí. Podle Wikipedie se správa protokolů skládá z následujících funkcí: shromažďování protokolů, centralizovaná agregace protokolů, dlouhodobé ukládání a uchovávání protokolů, rotace protokolů, analýza protokolů, vyhledávání protokolů a vytváření sestav. Servery protokolů často nabízejí pouze shromažďování a ukládání protokolů a zřídka více než to. Každý ze systémů správy protokolů na našem top seznamu nabízí alespoň některé z pokročilejších funkcí.
Co takhle SIEM Systems?
Další populární technologií, která je často spojována s protokoly a zaměňována se systémy správy protokolů, je správa bezpečnostních informací a událostí neboli SIEM. To je zcela odlišné od správy protokolů, i když spolu úzce souvisí. Ve skutečnosti jsou některé produkty inzerované jako systémy pro správu protokolů ve skutečnosti systémy SIEM, zatímco některé základní systémy SIEM nejsou ničím jiným než systémy správy protokolů.
Hlavním důvodem tohoto zmatku je, že správa protokolů – nebo alespoň analýza protokolů – je důležitou součástí systémů SIEM. Ve skutečnosti systémy SIEM obvykle posouvají správu protokolů na další úroveň přidáním určité inteligence do procesu. Tyto systémy provádějí analýzu protokolů s konečným cílem identifikovat bezpečnostní problémy. Budou například hledat známky neúspěšných přihlášení, které by naznačovaly neoprávněný pokus o vniknutí. Tyto systémy budou automaticky skenovat záznamy protokolu a hledat něco neobvyklého.
Systémy SIEM mají více společného s bezpečností IT než správou IT, a zatímco některé obsahují rozsáhlé funkce správy protokolů, mnohé mohou také používat externí systémy správy protokolů a není neobvyklé, že oba systémy běží vedle sebe.
Nejlepší software pro správu protokolů
Nyní, když máme společné chápání toho, co je správa protokolů a co ne, pojďme se podívat na to, co je k dispozici. Hledali jsme na trhu některé z nejlepších systémů pro správu protokolů. Naše prvotní zjištění je, že jich je hodně a mnoho z nich velmi dobrých. Ale máme jen tolik místa, takže se chystáme zkontrolovat osm nejzajímavějších, které jsme mohli najít.
1. SolarWinds Papertrail
SolarWinds je běžné jméno v oblasti nástrojů pro správu sítě. Existuje již téměř 20 let a přinesl nám jeden z nejlepších nástrojů pro monitorování šířky pásma a jeden z nejlepších analyzátorů a kolektorů NetFlow. Společnost je také známá tím, že vydává několik bezplatných nástrojů, které řeší některé specifické potřeby síťových administrátorů, jako je kalkulačka podsítě nebo server syslog.
Před několika lety společnost SolarWinds získala Papírová stopa, populární systém pro správu protokolů. Agreguje soubory protokolů z široké škály oblíbených produktů, jako je Apache nebo MySQL, stejně jako aplikací Ruby on Rails, různých cloudových hostingových služeb a dalších standardních textových protokolových souborů. Papírová stopa uživatelé pak mohou pomocí webového vyhledávacího rozhraní nebo nástrojů příkazového řádku prohledávat tyto soubory, což jim pomůže diagnostikovat chyby a problémy s výkonem. Papírová stopa lze také integrovat s dalšími produkty SolarWinds, jako je Librato a Geckoboard pro grafické výsledky.
Papírová stopa je cloudová nabídka softwaru jako služby (SaaS) od společnosti SolarWinds. Je snadné jej implementovat, používat a pochopit. A poskytne vám okamžitý přehled o všech systémech během několika minut. Nástroj má velmi efektivní vyhledávač, který dokáže prohledávat uložené i streamované protokoly. A je to bleskové.
Papírová stopa je k dispozici v několika plánech včetně bezplatného plánu. Je však poněkud omezená a umožňuje pouze 100 MB protokolů každý měsíc. Umožní však 16 GB protokolů v prvním měsíci, což odpovídá bezplatné 30denní zkušební verzi. Placené plány začínají na 7 USD/měsíc za 1 GB/měsíc protokolů, 1 rok archivu a 1 týden indexu. Filtrování šumu umožňuje nástroji uchovat data tím, že neukládá zbytečné protokoly.
2. SolarWinds Log & Event Manager (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
Naším dalším záznamem je další produkt od společnosti SolarWinds s názvem SolarWinds Správce protokolů a událostí. Na rozdíl od našeho předchozího záznamu se jedná o lokálně nainstalovaný produkt. A je to také mnohem víc než jen systém správy protokolů. Mnoho pokročilých funkcí tohoto produktu jej řadí do řady SIEM. Má například korelaci ventilace v reálném čase a sanaci v reálném čase.
Zde je přehled Správce protokolů a událostí SolarWindshlavní rysy. Rychle odstraňuje hrozby pomocí okamžité detekce podezřelé aktivity a automatických reakcí. Může také provádět vyšetřování bezpečnostních událostí a forenzní analýzu pro zmírnění a dodržování předpisů. A když už mluvíme o shodě, produkt vám to umožní prokázat díky auditům ověřeným zprávám pro HIPAA, PCI DSS a SOX, mimo jiné. Tento nástroj má také monitorování integrity souborů a monitorování zařízení USB, dvě funkce, které jsou daleko nad tím, co běžně vidíme v systémech správy protokolů.
Ceny za Správce protokolů a událostí SolarWinds začínají na 4 585 USD pro až 30 monitorovaných uzlů. Lze zakoupit licence až pro 2500 uzlů, díky čemuž je produkt vysoce škálovatelný. A pokud si chcete prakticky ověřit, že je produkt pro vás ten pravý, je k dispozici bezplatná 30denní zkušební verze s plnými funkcemi.
3. ipswitch Log Management Suite
The Log Management Suite je nástroj od Ipswitch, stejné společnosti, která nám přinesla WhatsUp Gold, nesmírně oblíbený nástroj pro monitorování sítě. Jedná se o automatizovaný nástroj, který shromažďuje, ukládá, archivuje a ukládá systémové protokoly, události Windows a protokoly W3C/IIC. Kromě toho vás jeho nepřetržitý protokolový dohled upozorní na jakoukoli podezřelou aktivitu.
Často kontrolované události, jako jsou přístupová práva a oprávnění k souborům, složkám a objektům, lze sledovat, podle potřeby generovat výstrahy a používat je k vytváření zpráv o souladu s předpisy HIPAA, SOX, FISMA, PCI, MiFID nebo Basel II. Tento nástroj vám také může pomoci přeměnit nezpracovaná data protokolu na smysluplná data pro manažery nebo týmy zabezpečení IT, a to díky funkcím automatického filtrování, korelace, vytváření sestav a převodu.
Informace o ceně za Log Management Suite není snadno dostupný od Ipswitch. Produkt lze zakoupit buď přímo od vydavatele nebo prostřednictvím sítě prodejců společnosti Ipswitch. K dispozici je také bezplatná zkušební verze.
4. ManageEngine EventLog Analyzer
ManageEngine, další společný název pro správce sítě, vytváří vynikající systém pro správu protokolů zvaný ManageEngine EventLog Analyzer. Produkt bude shromažďovat, spravovat, analyzovat, korelovat a prohledávat data protokolu z více než 700 zdrojů pomocí kombinace nebo shromažďování protokolů bez agentů a na základě agentů a také import protokolů.
Rychlost je jedním z ManageEngine EventLog Analyzersíla. Dokáže zpracovávat data protokolů působivou rychlostí 25 000 protokolů za sekundu a detekovat útoky v reálném čase. Může také provádět rychlou forenzní analýzu ke snížení dopadu porušení. Možnosti auditu systému se rozšiřují na protokoly zařízení na perimetru sítě, aktivity uživatelů, změny účtů serveru, přístupy uživatelů a další, což vám pomůže splnit potřeby auditu zabezpečení.
The ManageEngine EventLog Analyzer je k dispozici v bezplatné edici s omezeným počtem funkcí, která podporuje pouze 5 zdrojů protokolů, nebo v prémiové edici, která začíná na 595 USD a liší se podle počtu zařízení a aplikací. K dispozici je také bezplatná 30denní zkušební verze s plnými funkcemi.
5. Nagios Log Server
Nagios je nejlépe známý pro svůj vynikající software pro monitorování sítě, ale jeho Log Server je možná stejně zajímavý. Příhodně nazvaný Nagios Log Server, nabízí centralizovanou správu protokolů, monitorování a analýzu. The Nagios Log Server zjednodušuje proces vyhledávání dat protokolu. Umožňuje vám také nastavit výstrahy, abyste byli upozorňováni na potenciální hrozby Kromě toho má software přímo vestavěnou vysokou dostupnost a přepnutí při selhání. Jeho snadní průvodci nastavením zdroje vám pomohou rychle nakonfigurovat servery tak, aby odesílaly všechna data protokolu, a začít sledovat vaše protokoly během několika minut. .
The Nagios Log Server umožňuje snadno korelovat události protokolu na všech serverech pomocí několika kliknutí. A umožňuje vám prohlížet data protokolu v reálném čase, což vám dává možnost analyzovat a řešit problémy, jakmile nastanou. Produkt se vyznačuje působivou škálovatelností a bude i nadále splňovat vaše potřeby s růstem vaší organizace. Další Nagios Log Server instance lze přidat do monitorovacího clusteru, což vám umožní rychle přidat více výkonu, rychlosti, úložiště a spolehlivosti.
Jednoinstanční cena za Nagios Log Server stojí 3 995 USD, a přestože se zdá, že bezplatná zkušební verze není k dispozici, pokud byste si produkt raději vyzkoušeli z první ruky, bezplatná online ukázka je k dispozici.
6. Alert Logic Log Manager
Alert Logic se primárně zaměřuje na bezpečnost a dodržování předpisů. A protože správa protokolů úzce souvisí s oběma, není žádným překvapením, že společnost nabízí Správce logických záznamů výstrah. Tento cloudový nástroj nabízí automatizovanou a jednotnou správu protokolů ve všech vašich prostředích. Bude shromažďovat, agregovat a prohledávat data protokolu z cloudu, serveru, aplikací, zabezpečení a síťových aktiv.
The Správce logických záznamů výstrah zahrnuje monitorování a analýzu protokolů, stejně jako kontrolu protokolů, kterou provádí živé analyzátory. Odborníci Alert Logic vás budou upozorňovat na možnou aktivitu hrozeb 365 dní v roce. Služba také pomůže splnit požadavky na kontrolu protokolů SOC 2, HIPAA a SOX a ulehčí břemeno kontroly protokolů a sledování událostí, aby byly v souladu s PCI/DSS 10.6, 10.6.1, 10.6.3.
Informace o ceně za Správce logických záznamů výstrah není snadno dostupný z webu a budete muset kontaktovat prodejní oddělení Alert Logic, abyste získali formální nabídku. Bezplatná zkušební verze také není k dispozici, ale bezplatnou ukázku lze sjednat kontaktováním Alert Logic.
7. LogDNA
Založena v roce 2015, LogDNA je nové dítě v bloku. Společnost tvrdí, že „LogDNA je nejrychlejší, nejintuitivnější a nákladově nejefektivnější systém správy protokolů“. Vše začíná instalací, která trvá jen pár minut, než můžete začít sledovat své protokoly. Bez ohledu na to, jak jsou protokoly generovány a přenášeny, jsou k dispozici stovky vlastních integračních schémat pro centralizaci protokolů do jednoho panelu.
LogDNA mohou být cloudové nebo samostatně hostované, v závislosti na vašich preferencích. Je vysoce škálovatelný a dokáže zpracovat stovky tisíc protokolů za sekundu a desítky terabajtů na zákazníka za den v naprosté bezpečnosti s analýzou protokolů v reálném čase. Společnost a její produkty jsou kompatibilní s SOC2, PCI a HIPAA a mají certifikaci Privacy Shield.
Díky jednoduchému cenovému modelu s platbou za GB, který eliminuje smlouvy a pevné datové segmenty, má společnost jedny z nejnižších celkových nákladů na vlastnictví. K dispozici je několik plánů předplatného s rostoucími funkcemi. Nejnižší plán je zdarma a placené plány se liší od 1,50 $/GB/měsíc do 3 $/GB/měsíc v závislosti na době uchování a počtu uživatelů. K dispozici je také bezplatná 14denní zkušební verze s plnými funkcemi.
8. Graylog
Poslední na našem seznamu je produkt s názvem Graylog. Produkt nabízí mnoho zajímavých funkcí. Nástroj bude analyzovat a obohacovat protokoly a data událostí z libovolného zdroje dat. Jeho procesní kanály umožňují určitou flexibilitu při směrování, černé listině, úpravě a obohacování zpráv v reálném čase. Graylog bude prohledávat terabajty dat protokolu, aby zjistil a analyzoval důležité informace. Výkonná vyhledávací syntaxe vám umožní najít přesně to, co hledáte.
S Graylog, můžete vytvářet řídicí panely pro vizualizaci metrik a sledování trendů na jednom centrálním místě. Můžete použít statistiky polí, rychlé hodnoty a grafy ze stránky s výsledky vyhledávání a ponořit se do hlubší analýzy vašich dat. Systém má také možnost spouštět akce nebo vydávat upozornění na události, jako jsou neúspěšné pokusy o přihlášení, výjimky nebo snížení výkonu.
Graylog je k dispozici buď jako bezplatná a open-source verze s omezenými funkcemi, která má také omezenou podporu, nebo jako podniková verze s rozšířenými funkcemi a neomezenou podporou. Zkušební licenci lze také získat kontaktováním Graylog odbyt.