5 Narzędzia do monitorowania dziennika typu open source dla Linux

Kiedy system operacyjny, taki jak Linux działa, zdarza się wiele wydarzeń i procesów, które działają w tle, aby umożliwić wydajne i niezawodne wykorzystanie zasobów systemowych. Te zdarzenia mogą się zdarzyć na przykład w oprogramowaniu systemowym w tym Lub Systemd aplikacje procesowe lub użytkowników, takie jak Apache, Mysql, Ftp, i wiele więcej.

Aby zrozumieć stan systemu i różne aplikacje oraz sposób, w jaki działają, administratorzy systemu muszą codziennie przeglądać pliki dziennika w środowiskach produkcyjnych.

Możesz sobie wyobrazić konieczność przeglądu plików dziennika z kilku obszarów systemowych i aplikacji, w tym miejscu przydaje się systemom rejestrowania. Pomagają monitorować, przeglądać, analizować, a nawet generować raporty z różnych plików dziennika, skonfigurowane przez administratora systemu.

Może ci się spodobać również:

• Jak monitorować zastosowania systemu, awarie i rozwiązywania problemów z systemami Linux
• Jak zarządzać dziennikami serwerów (konfiguruj i obracaj) w Linux
• Jak monitorować dzienniki serwera Linux w czasie rzeczywistym za pomocą dziennika.narzędzie IO

W tym artykule przyjrzymy się dziś czterem najczęściej używanymi systemami zarządzania rejestrowaniem typu open source w Linux, standardowym protokole rejestrowania w większości, jeśli nie wszystkie rozkłady są dzisiaj Syslog.

Spis treści

1

• 1. Zarządzaj analizatorem EventLog
• 2. Graylog 2
• 3. Check
• 4. Logwatch
• 5. Logstash
• Streszczenie

1. Zarządzaj analizatorem EventLog

ManageEngine EventLog Analyzer to lokalne rozwiązanie do zarządzania dziennika. Rozwiązanie zapewnia użytkownikom zarówno oparte na agentach, jak i bez agenta zbieranie dzienników, możliwości parsowania dziennika, potężną wyszukiwarkę dziennika i opcje archiwizacji dziennika.

Dzięki funkcjom kontroli urządzeń sieciowych umożliwia użytkownikom monitorowanie urządzeń końcowych, zapory ogniowej, routerów, przełączników i innych w czasie rzeczywistym w czasie rzeczywistym. Rozwiązanie wyświetla analizowane dane w postaci wykresów i intuicyjnych raportów.

Mechanizmy wykrywania incydentów incydentów, takie jak korelacja dziennika zdarzeń, inteligencja zagrożeń, wdrożenie ramowe ATT & CK, zaawansowane analizy zagrożeń i więcej, pomagają w zagrożeniach bezpieczeństwa, gdy tylko się pojawią.

System alertów w czasie rzeczywistym ostrzega użytkowników o podejrzanych działaniach, dzięki czemu mogą priorytetowo traktować zagrożenia bezpieczeństwa wysokiego ryzyka. A dzięki zautomatyzowanemu systemowi reagowania na incydenty SOC mogą złagodzić potencjalne zagrożenia.

Rozwiązanie pomaga również użytkownikom przestrzegać różnych standardów zgodności IT, takich jak PCI DSS, ISO 27001, GLBA, Sox, HIPAA, CCPA, RODO i wiele innych. Usługi oparte na subskrypcji są oferowane w zależności od liczby źródeł dziennika do monitorowania. Wsparcie jest udostępniane użytkownikom przez telefon, filmy z produktów i bazę wiedzy online.

Zarządzaj analizatorem EventLog

2. Graylog 2

GrayLog jest wiodącym open source i solidnym scentralizowanym narzędziem do zarządzania rejestracją, które jest szeroko stosowane do zbierania i przeglądu dzienników w różnych środowiskach, w tym w środowiskach testowych i produkcyjnych. Jest łatwy do skonfigurowania i jest wysoce zalecany dla małych firm.

GrayLog - wiodące zarządzanie dziennikiem Linux

Graylog Pomaga łatwo gromadzić dane z wielu urządzeń, w tym przełączników sieciowych, routerów i bezprzewodowych punktów dostępu. Integruje się z ElasticSearch Silnik analityczny i wykorzystuje MongoDB przechowywanie danych i zebranych dzienników oferują głębokie wgląd i są pomocne w rozwiązywaniu problemów i błędach systemu.

Z Graylog, Dostajesz schludny i senny webui z fajnymi pulpitami, które pomagają płynnie śledzić dane. Otrzymujesz również zestaw sprytnych narzędzi i funkcji, które pomagają w kontrolowaniu zgodności, wyszukiwaniu zagrożeń i wielu więcej. Możesz włączyć powiadomienia w taki sposób, że alert jest wyzwalany, gdy spełniony jest określony warunek lub wystąpi problem.

Ogólnie, Graylog Czy całkiem niezła robota w połączeniu dużych ilości danych oraz upraszcza wyszukiwanie i analizę danych. Najnowsza wersja to Graylog 4.0 i oferuje nowe funkcje, takie jak tryb ciemności, integracja z Slack i Elasticsearch 7 i wiele więcej.

3. Check

Check to kolejne narzędzie do monitorowania dziennika typu open source, które jest uruchamiane jako zadanie CRON. Przeżywa tysiące plików dziennika, aby wykryć naruszenia lub zdarzenia systemowe, które są uruchamiane. LogCheck następnie wysyła szczegółowe podsumowanie alertów na skonfigurowany adres e -mail, aby powiadomić zespoły operacyjne problemu, takie jak nieautoryzowane naruszenie lub usterka systemu.

Logarcheck skanuje dzienniki systemu

W tym systemie rejestrowania opracowano trzy różne poziomy filtrowania plików dziennika, które obejmują:

• Paranoidalny: jest przeznaczony dla systemów o wysokim bezpieczeństwie, które działają bardzo niewiele usług.
• serwer: Jest to domyślny poziom filtrowania dla logarCHeck, a jego reguły są zdefiniowane dla wielu różnych demonów systemowych. Zasady zdefiniowane na poziomie paranoicznym są również uwzględnione na tym poziomie.
• Stacja robocza: dotyczy systemów osłoniętych i pomaga filtrować większość wiadomości. Zawiera także reguły zdefiniowane na poziomie paranoicznym i serwerowym.

LogCheck jest również zdolny do sortowania komunikatów, które należy zgłosić w trzech możliwych warstwach, które obejmują, zdarzenia bezpieczeństwa, zdarzenia systemowe i powiadomienia o ataku systemowym. Administrator systemu może wybrać poziom szczegółów, do których zgłaszane są zdarzenia systemowe w zależności od poziomu filtrowania.

LogCheck zapewnia następujące funkcje:

• Zdefiniowane szablony raportów.
• Mechanizm filtrowania dzienników za pomocą wyrażeń regularnych.
• Natychmiastowe powiadomienia e -mail.
• Natychmiastowe alerty bezpieczeństwa.

4. Logwatch

LogWatch to aplikacja do gromadzenia i analizy dziennika open source i wysoce konfigurowalna. Parsuje zarówno dzienniki systemowe, jak i aplikacji i generuje raport na temat działania aplikacji. Raport jest dostarczany w wierszu poleceń lub na podstawie dedykowanego adresu e -mail.

Logwatch Linux Analyzer

Możesz łatwo dostosować LogWatch do swoich preferencji, modyfikując parametry w /etc/logwatch/conf ścieżka. Zapewnia również coś dodatkowego na drodze wstępnie napisanych skryptów Perla, aby ułatwić parsowanie dziennika.

Logwatch W zestawie z wielopoziomowym podejściem i istnieją 3 główne lokalizacje, w których definiowane są szczegóły konfiguracji:

• /usr/share/logwatch/default.conf/*
• /etc/logwatch/conf/dist.conf/*
• /etc/logwatch/conf/*

Wszystkie ustawienia domyślne są zdefiniowane w /usr/share/logwatch/default.conf/logwatch.conf plik. Zalecaną praktyką jest pozostawienie tego pliku nienaruszone i zamiast tego utworzyć własny plik konfiguracyjny w /etc/logwatch/conf/ Ścieżka poprzez kopiowanie oryginalnego pliku konfiguracji, a następnie definiowanie niestandardowych ustawień.

Najnowsza wersja Logwatch jest wersja 7.5.5 i zapewnia wsparcie dla zapytania Systemd Journal bezpośrednio za pomocą Journalctl. Jeśli nie możesz sobie pozwolić na zastrzeżone narzędzie do zarządzania dziennikiem, Logwatch da ci spokój, wiedząc, że wszystkie wydarzenia zostaną zarejestrowane, a powiadomienia dostarczone na wypadek, gdyby coś pójdzie nie tak.

5. Logstash

Logstash to rurociąg przetwarzania danych po stronie serwera typu open source, który akceptuje dane z wielu źródeł, w tym plików lokalnych lub systemów rozproszonych S3. Następnie przetwarza dzienniki i leci je na platformach takich jak ElasticSearch gdzie są analizowane i zarchiwizowane później. Jest to dość potężne narzędzie, ponieważ może jednocześnie spożywać objętości dzienników z wielu aplikacji, a później wysyłać je do różnych baz danych lub silników.

Logstash: Zbieraj, analizuj i transformuj dzienniki

Logstash Struktury nieustrukturyzowane dane i wykonuje wyszukiwania geolokalizacyjne, anonimizuje dane osobowe i skale również w wielu węzłach. Istnieje obszerna lista źródeł danych, które można posłuchać logstash, w tym SNMP, Heartbeats, Syslog, Kafka, Puppet, Windows Event Log itp.

Logstash opiera się na 'Beats„które są lekkimi nadawcami danych, które zasilają dane do logstash do analizowania i strukturyzacji itp. Dane są następnie wysyłane do innych miejsc docelowych, takich jak Google Cloud, MongoDB i ElasticSearch do indeksowania. Logstash jest kluczowym elementem elastycznego stosu, który pozwala użytkownikom zestawiać dane w dowolnej formie, analizować je i wizualizować na interaktywnych pulpitach nawigacyjnych.

Co więcej, to Logstash cieszy się powszechnym wsparciem społeczności i regularnymi aktualizacjami.

Streszczenie

To jest na razie i pamiętaj, że nie są to wszystkie dostępne systemy zarządzania dziennikami, których można użyć w Linux. Będziemy nadal sprawdzać i aktualizować listę w przyszłych artykułach.