Syslog představuje velmi užitečný formát pro zasílání hlášení, který se hojně využívá v mnoha síťových zařízeních a aplikacích. Zprávy o stavu a různých událostech, generované protokolem Syslog, dohromady vytvářejí cenný zdroj informací. Tyto informace vám umožňují předcházet poruchám zařízení a zároveň pomáhají odhalovat aktivity narušitelů.
Existuje mnoho činností, které lze díky informacím ze Syslogu vykonávat efektivněji. Nicméně, pokud ve vaší síti není aktivní žádný server Syslog, ponecháváte všechny tyto důležité zdroje informací bez povšimnutí, volně cirkulovat ve vaší síti.
Dnes se podíváme na nejlepší servery Syslog, které jsou dostupné na trhu pro systémy Windows a Linux. Čtěte dál!
Principy správy souborů Syslog
Hlavním úkolem serverů Syslog je zaznamenávání dat ze Syslogu a jejich následné ukládání do souborů. Problémem ovšem je, že nechceme, aby tyto soubory měly neomezenou velikost. Proto je nutné zprávy vhodně kategorizovat a ukládat do indexovatelných souborů, které mají smysluplné názvy.
Například, je běžné vytvářet nový soubor protokolu každý den a do názvu souboru umístit datum, ze kterého zprávy pocházejí. Někteří správci systémů preferují ukládání zpráv dle jejich původu. V takovém případě je nutné vytvořit adresářovou strukturu se složkou pro každý zdroj, dle kterého zprávy kategorizujeme, a následně použít datum jako názvy souborů – tím vytvoříte chronologickou knihovnu souborů pro každou kategorii.
Při výběru serveru Syslog je velkou výhodou mít možnost spravovat soubory, ve kterých jsou zprávy Syslog uloženy. Ještě lépe, můžete se zaměřit na server Syslog, který obsahuje i nástroje pro analýzu dat.
Některé servery mohou také generovat výstrahy, když se frekvence určitých typů zpráv Syslog náhle zvýší. Například, nárůst hlášení o neúspěšných přihlášeních může signalizovat pokus o útok hrubou silou na uživatelský účet, kde se hacker snaží získat přístup do sítě. Tato událost je velmi důležitá a je klíčové o ní být informován co nejdříve.
Nejlepší servery Syslog pro Windows
Syslog je standard nezávislý na operačním systému. I když je váš server Syslog spuštěný na zařízení se systémem Windows, můžete získávat data Syslog z jakéhokoliv serveru nebo síťového zařízení s jiným operačním systémem. Následuje seznam serverů Syslog, které fungují v prostředí Windows a Windows Server.
1. SolarWinds Kiwi Syslog Server
Kiwi Syslog Server se instaluje na Windows a Windows Server a je zdarma pro monitorování až pěti zařízení. Tento software shromažďuje zprávy přes protokol SNMP (Simple Network Management Protocol) a také data Syslog. Server zapisuje zprávy do souborů a zároveň je zobrazuje v rozhraní prohlížeče. Navíc, serverový program vás upozorní, pokud objem provozu určitých typů zpráv nebo zpráv od konkrétních zdrojů překročí stanovenou hranici.
Můžete si vybrat, jaké podmínky způsobí, že server otevře nový soubor. Mezi tyto podmínky patří typ zdrojového zařízení a datum zprávy. Kiwi Syslog Server spravuje ukládání souborů do adresářů s logickými názvy, což usnadňuje vyhledávání zpráv v archivu. Chcete-li analyzovat historická data, můžete soubory načíst do prohlížeče serveru.
2. Paessler PRTG Syslog
PRTG je komplexní monitorovací systém infrastruktury. Prvek pro sběr dat v tomto balíku je tvořen senzory. Nemusíte aktivovat všechny senzory, můžete monitor přizpůsobit a zaměřit se pouze na konkrétní oblasti. Systém PRTG obsahuje senzor Syslog, který je doplněn předdefinovanými zprávami, displeji a postupy pro zpracování dat.
Společnost Paessler nabízí PRTG zdarma pro ty, kteří používají až 100 senzorů. To znamená, že můžete efektivně nainstalovat PRTG a používat ho jako bezplatný server Syslog. Jakmile máte spuštěný server Syslog, máte možnost spustit i další senzory a získávat data z jiných částí vašeho IT systému.
3. WhatsUp Gold Syslog Server
WhatsUp Gold je systém pro monitorování sítě a jeho výrobce, společnost Ipswitch, nabízí také bezplatný server Syslog. Server zobrazuje zprávy Syslog ve svém rozhraní a zároveň ukládá záznamy do souborů. WhatsUp také uspořádává tyto soubory do adresářové struktury, aby bylo snadné vyhledávat data.
Můžete specifikovat rozdělení dat mezi soubory podle úrovně varování, zdroje a data. V prohlížeči je možné filtrovat a třídit data, a to jak živá, tak data načtená ze souboru. WhatsUp Gold Syslog Server dokáže zpracovat až 6 milionů zpráv Syslog za hodinu, takže zvládne i velké sítě, a to i zdarma. Tento nástroj se instaluje na Windows a Windows Server.
4. Syslog Watcher
Syslog Watcher je další bezplatný server Syslog, který funguje na Windows. Tato služba využívá vícevláknovou architekturu, což jí umožňuje zpracovávat velké množství záznamů Syslog současně. Tato funkce je užitečná, pokud máte rozsáhlou síť s vysokým objemem zpráv Syslog, které se v ní pohybují.
Zprávy se zobrazují v reálném čase v prohlížeči a jsou také ukládány do souborů, které lze importovat do databáze. Možnost uložení všech záznamů do databáze je velkou výhodou, zejména proto, že vám to dává delší perspektivu provozu vaší sítě, než jen denní seznam zpráv v souborech protokolu.
Záznamy v prohlížeči lze načíst z databáze nebo ze souboru. Prohlížeč dokáže třídit, filtrovat a seskupovat zprávy, což vám pomáhá analyzovat události, na které zprávy odkazují. Syslog Watcher je k dispozici pro instalaci do prostředí Windows.
5. Fastvue Syslog
Bezplatný Fastvue Syslog funguje v prostředí Windows Server. Tento nástroj nejen vytváří soubory Syslog, ale také je monitoruje. Každý soubor protokolu, který Fastvue monitoruje, má přidružený hash soubor (vypočítaný pomocí 256bitového algoritmu SHA), což je kontrolní součet obsahu daného souboru. Server monitoruje velikost každého z vašich souborů protokolu a také hlásí změny těchto velikostí. Tato opatření jsou důležitá bezpečnostní funkce, protože hackeři, kteří provádějí pokročilé útoky s perzistentními hrozbami, upravují soubory protokolu, aby zakryli své stopy.
Server ukládá zprávy Syslog do souborů seřazených podle data s možností rozdělení dat podle typu zařízení. Soubory jsou ukládány do adresářů pojmenovaných podle zdrojového zařízení, přičemž každý název souboru obsahuje datum zpráv, které obsahuje. V rozhraní Fastvue si můžete prohlížet, třídit a filtrovat všechny archivované zprávy načtené z těchto souborů pro snadnou analýzu.
6. Visual Syslog Server
Visual Syslog Server je bezplatný nástroj s otevřeným zdrojovým kódem, který funguje na Windows a Windows Server. Jedná se o jednoduchý nástroj, který shromažďuje všechny zprávy Syslog ve vaší síti a zobrazuje je v prohlížeči. Prohlížeč barevně odlišuje zprávy podle typu závažnosti – chybové zprávy jsou červené a varování jsou žluté. Barevné schéma si můžete i upravit, a v prohlížeči je také možné filtrovat, třídit a agregovat záznamy. Nakonec server také ukládá tyto zprávy Syslog do souborů.
Nástroj si můžete nastavit tak, aby přehrál zvuk, když narazí na chybovou zprávu, a také si můžete nastavit zasílání upozornění na každé varování a chybu. Tato upozornění lze dokonce posílat e-mailem, který může být šifrován, pokud to váš e-mailový systém podporuje.
7. TFTPD32
TFTPD32 je velmi základní server Syslog, vytvořený nadšenci, který funguje na 32bitových systémech Windows. Existuje i související nástroj s názvem TFTPD64, který je určen pro 64bitové systémy. Tento nástroj nemá nijak sofistikované rozhraní, ale je velmi často používán. To je způsobeno tím, že díky absenci pokročilých funkcí je velmi nenáročný.
Nástroj je ve skutečnosti server TFTP. TFTP je protokol Trivial File Transfer Protocol, což je velmi nezabezpečený protokol, který by se neměl používat přes internet. Je to ovšem standardní metoda pro přenos malých systémových souborů přes privátní síť. Rozhraní lze přepnout na DHCP server pro správu distribuce IP adres, a lze ho také nastavit, aby fungovalo jako server Syslog. Nakonec TFTPD32 uloží vaše zprávy Syslog do souboru.
Ačkoli zařízení může být TFTP server, TFTP klient, DHCP server a Syslog server, stejná instance nemůže provádět všechny tyto úkoly současně.
8. SureLog
SureLog je určen pro malé podniky, ale není zdarma. Software můžete nainstalovat do systému Windows. Zaměřuje se na trh zabezpečení systémů a filtruje běžné zprávy o událostech, aby upozornil na bezpečnostní hrozby. Kromě záznamu zpráv Syslog a jejich ukládání do souborů služba SureLog monitoruje tyto soubory protokolu, aby zajistila, že s nimi nebudou manipulovat hackeři, kteří se snaží zakrýt své stopy. Nakonec nástroj také zobrazuje tyto důležité zprávy ve svém prohlížeči protokolů.
Nejlepší servery Syslog pro Linux/Unix
Linux je znám jako operační systém „podobný Unixu“. Obecně platí, že software, který funguje na Linuxu, bude pravděpodobně fungovat i na Unixu. Následuje seznam serverů Syslog, které se instalují na Linux a/nebo Unix.
9. Icinga 2
Icinga je jeden z předních open source nástrojů pro monitorování systémů na světě. Je zdarma a jeho nejnovější verze se nazývá Icinga 2. Tento nástroj se instaluje na Linux a jednou z jeho funkcí je sledování zpráv protokolů. Můžete specifikovat typy zpráv, které chcete zachytit, a jednou z možností je Syslog. Server zobrazí zprávy Syslog a zároveň je zapíše do souboru. Uložené zprávy můžete také načíst do prohlížeče.
Systém Icinga se skládá ze dvou částí: část pro zpracování, nazývaná Icinga Core, a frontend, který se nazývá Web 2.0. Nemusíte ovšem používat Web 2.0 jako rozhraní k procesoru dat, protože existují i jiné kompatibilní aplikace. Vzhledem k tomu, že kód je open source, můžete si program Web 2.0 přizpůsobit a vytvořit tak vlastní firemní rozhraní.
10. Syslog-NG
Syslog-NG se instaluje na počítače se systémem Linux. Tento nástroj je zdarma a je to open source projekt. Nástroj shromažďuje zprávy Syslog a události systému Windows. Ukládá tyto zprávy do souborů. Můžete si také vybrat, zda chcete mít nástroj pro vkládání záznamů do databáze SQL nebo pro jejich předávání do jiných aplikací. Syslog-NG neobsahuje žádné analytické nástroje, ale soubory, které server vytváří, lze otevřít v jiných zařízeních.
11. Logstash
Logstash je open source systém, který se instaluje na Linux. Jedná se o bezplatný nástroj, který je součástí skupiny aplikací s názvem „Elastic Stack“. Klíčovým programem v Elastic Stacku je Elasticsearch. Další modul v balíku se nazývá Kibana, což je velmi známý bezplatný frontend, který se umí propojit s mnoha různými procesory. Logstash je sběrač v balíku. Naslouchá zprávám Syslog a ukládá je. Pokud chcete více funkcí, nainstalujte Elasticsearch, který bude třídit a filtrovat data Syslog pro analýzu. Nakonec přidejte Kibana, abyste měli přístup k záznamům přes prohlížeč.
Procesy detekce zpráv protokolu Logstash jsou univerzální a nejsou specifické pro jeden konkrétní typ formátu protokolování chyb. Systém musíte upravit, aby se zaměřoval na data Syslog, instalací bezplatného pluginu. Funkce pro zpracování zpráv Logstash umí podmíněně ukládat záznamy, vynechávat méně důležité zprávy a zapisovat do různých souborů na základě sady pravidel, které definujete v uživatelském rozhraní. Logstash umí také vytvářet soubory ve formátech, které jsou kompatibilní s Nagios, Icinga, Loggly, Graylog, AWS a Graphite.
12. Graylog
Graylog je správce souborů protokolu, který funguje na Linuxu. Tento nástroj můžete získat zdarma, ale tato verze je omezena na sběr dat do 5 GB denně. Rozhraní Graylog je založeno na prohlížeči, díky čemuž je nezávislé na operačním systému a vizuálně nenáročné. Můžete používat frontend Graylog a modul pro sběr dat od jiného nástroje, jako je Logstash. Alternativně můžete používat modul pro sběr dat Graylog s Kibana jako frontend. Jak vidíte, tento nástroj vám dává mnoho možností.
13. Fluentd
Fluentd je bezplatný open source server Syslog, který funguje na Linuxu a Mac OS. Tento nástroj dokáže shromažďovat širokou škálu typů zpráv protokolu, včetně Syslogu. Chcete-li rozšířit možnosti tohoto nástroje, musíte přidat modul plugin. Mějte na paměti, že se jedná pouze o systém pro sběr dat. Budete muset přidat další rozhraní, jako je Nagios, abyste získali rozhraní pro analýzu a prohlížení, které využívá možnosti zpracování Fluentd.
14. Humio
Humio funguje na Linuxu, ale můžete ho získat i jako online službu. Systém není zdarma, ale je dostupný pro potenciální zákazníky formou bezplatné zkušební verze. Nástroj je podporován komunitou uživatelů a lze ho i rozšiřovat pomocí pluginů. Jedná se ovšem pouze o sběrač, a pro prohlížení a analýzu záznamů Syslog, které Humio shromažďuje, budete potřebovat další nástroje.
Nejlepší servery Syslog pro Windows nebo Linux/Unix
Přestože je Windows nejrozšířenějším operačním systémem pro počítače na světě, mnoho síťových nástrojů vyžaduje pro svůj provoz Linux. Aby výrobci softwaru oslovili oba trhy, často vytváří svůj software tak, aby měl verzi pro Windows i Linux. Následuje seznam serverů Syslog, které jsou dostupné ve verzích pro Windows a Linux/Unix.
15. ManageEngine Event Log Analyzer
ManageEngine je jeden z předních světových výrobců nástrojů pro monitorování infrastruktury. Jeho Event Log Analyzer se instaluje na Windows a Linux, a je zdarma pro monitorování pěti a méně zdrojů. Nástroj ManageEngine neshromažďuje pouze zprávy Syslog, ale také používá informace v hlavičce při předávání zpráv k mapování vaší sítě. Nástroj může shromažďovat i zprávy SNMP.
Nové zprávy se zobrazují na řídicím panelu nástroje a zároveň se zapisují do souborů. Na řídicím panelu můžete třídit a filtrovat zprávy pro účely analýzy. Soubory protokolů jsou komprimované a šifrované, a přístup k nim mají pouze oprávnění pracovníci. Soubory lze do řídicího panelu načítat z archivu, takže máte přístup i k historickým datům. Tento nástroj se dobře integruje s balíkem pro monitorování sítě ManageEngine, který se nazývá OpManager.
16. The Dude
The Dude je produkt výrobce síťových zařízení MikroTik. Umí ale přijímat zprávy Syslog generované zařízením od jakéhokoli výrobce. Je to bezplatný nástroj a lze ho nainstalovat na Windows, Linux nebo Mac OS. Nástroj je velmi flexibilní a dokáže shromažďovat zprávy SNMP i data Syslog.
Nástroj analyzuje zprávy do různých souborů dle požadavků, které zadáte na stránkách nastavení rozhraní. Zprávy se také zobrazí na palubní desce a můžete být dokonce upozorněni zvukem nebo vyskakovací zprávou, když zprávy dorazí. Prohlížeč zpráv vám nakonec umožňuje třídit a filtrovat záznamy pro účely analýzy.
17. Nagios Log Server
Nagios Core je bezplatný open source systém pro monitorování sítě. Icinga 2, kterou jsme si popsali výše, byla vyvinuta z kopie kódu Nagios Core. Jedná se o velmi uznávaný nástroj, který ostatní doslova kopírují. Existuje i placená verze Nagios, nazývaná Nagios XI, a vývojáři tohoto produktu vytvořili i nástroj pro server protokolů. Log server není zdarma, ale nemusíte platit za jeho používání pro sledování 500 MB dat denně a méně.
Nagios Log Server funguje na Windows a Linuxu. Bude shromažďovat události Windows a data Syslog. Záznamy budou zapsány do souboru a zároveň budou uvedeny na řídicím panelu log serveru. Protokoly mohou být ukládány na jednom centrálním místě nebo distribuovány na několik serverů. K dispozici je i možnost vytvářet zálohy souborů protokolu. Můžete také filtrovat zprávy Syslog, takže se ne všechny ukládají, nebo můžete volitelně přesměrovat důležité zprávy do samostatného souboru. A nakonec, řídicí panel umožňuje třídit a filtrovat živá data a analyzovat historická data načtená ze souborů Syslog.
18. Splunk
Balíček pro analýzu souborů Splunk je k dispozici v bezplatné i placené verzi. Bezplatná verze je omezena pouze na analýzu dat souborů. Můžete ho ale přimět, aby se podíval i na vaše živé zprávy Syslog, pokud je nasměrujete přes soubor. Ke sběru těchto zpráv ovšem budete muset použít jiný nástroj. Splunk funguje na Linuxu, Windows a Mac OS. Bezplatná verze je omezena datovou propustností 500 MB denně.
Výběr serveru Syslog
Můžete vyzkoušet několik serverů Syslog z tohoto seznamu, protože většina z nich je zdarma, a ty, které zdarma nejsou, nabízejí bezplatnou zkušební verzi. Správa zpráv Syslog vám umožní získat důležitou zpětnou vazbu o vaší síti, a tento kanál byste neměli zanedbávat!
Používáte už server Syslog, který byste doporučili ostatním? Používáte některý ze systémů, které jsme doporučili v našem seznamu? Napište nám do sekce komentářů níže a podělte se o své zkušenosti.