Weboldal keresés

5 legjobb nyílt forráskódú naplókezelő eszköz Linuxhoz


Amikor egy operációs rendszer, például a Linux fut, számos esemény és folyamat fut a háttérben, amelyek lehetővé teszik a rendszererőforrások hatékony és megbízható használatát. Ezek az események rendszerszoftverben történhetnek, például az init vagy systemd folyamatban, vagy olyan felhasználói alkalmazásokban, mint az Apache, MySQL , FTP, és még sok más.

A rendszer és a különböző alkalmazások állapotának és működésének megértése érdekében a rendszeradminisztrátoroknak napi rendszerességgel át kell nézniük a naplófájlokat éles környezetben.

Elképzelhető, hogy több rendszerterület és alkalmazás naplófájljait is át kell tekintenie, ahol a naplózó rendszerek jól jönnek. Segítenek figyelni, áttekinteni, elemezni, sőt, a rendszeradminisztrátor által beállított különböző naplófájlokból jelentéseket is generálni.

Ebben a cikkben a Linuxban manapság a négy leggyakrabban használt nyílt forráskódú naplózáskezelő rendszert tekintjük át, a legtöbb, ha nem az összes disztribúció szabványos naplózási protokollja a Syslog.

1. ManageEngine EventLog Analyzer

A ManageEngine EventLog Analyzer egy helyszíni naplókezelési megoldás, amelyet bármilyen méretű vállalkozás számára terveztek különféle iparágakban, mint például az információs technológia, az egészségügy, a kiskereskedelem, a pénzügy, az oktatás stb. A megoldás ügynökalapú és ügynök nélküli naplógyűjtést, naplóelemzési képességeket, hatékony naplókeresőt és naplóarchiválási lehetőségeket biztosít a felhasználóknak.

A hálózati eszközök auditálási funkciójával lehetővé teszi a felhasználók számára, hogy valós időben figyeljék végfelhasználói eszközeiket, tűzfalaikat, útválasztóikat, kapcsolóikat és még sok mást. A megoldás az elemzett adatokat grafikonok és intuitív jelentések formájában jeleníti meg.

Az EventLog Analyzer incidensészlelési mechanizmusai, mint például az eseménynapló-korreláció, a fenyegetésintelligencia, a MITER ATT&CK keretrendszer megvalósítása, a fejlett fenyegetéselemzés és még sok más, segítenek a biztonsági fenyegetések azonnali észlelésében, amint azok előfordulnak.

A valós idejű riasztórendszer figyelmezteti a felhasználókat a gyanús tevékenységekre, így előnyben részesíthetik a magas kockázatú biztonsági fenyegetéseket. Az automatizált incidensreagáló rendszerrel pedig az SOC-k mérsékelhetik a lehetséges fenyegetéseket.

A megoldás emellett segíti a felhasználókat abban, hogy megfeleljenek a különféle informatikai megfelelőségi szabványoknak, mint például a PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR stb. Az előfizetés alapú szolgáltatások a megfigyeléshez szükséges naplóforrások számától függően érhetők el. A támogatás telefonon, termékvideókon és online tudásbázison keresztül érhető el a felhasználók számára.

2. Graylog 2

A Graylog egy vezető nyílt forráskódú és robusztus központosított naplózás-kezelő eszköz, amelyet széles körben használnak naplók gyűjtésére és áttekintésére különféle környezetekben, beleértve a tesztelési és éles környezeteket. Könnyen beállítható, és kifejezetten ajánlott kisvállalkozások számára.

A Graylog segítségével könnyedén gyűjthet adatokat több eszközről, beleértve a hálózati kapcsolókat, útválasztókat és vezeték nélküli hozzáférési pontokat. Integrálódik az Elasticsearch elemzőmotorral, és a MongoDB segítségével tárolja az adatokat, és az összegyűjtött naplók mély betekintést nyújtanak, és hasznosak a rendszerhibák és hibák elhárításában.

A Graylog segítségével ügyes és álmos WebUI-t kap, nagyszerű irányítópultokkal, amelyek segítenek az adatok zökkenőmentes nyomon követésében. Emellett kap egy sor remek eszközt és funkciót, amelyek segítenek a megfelelőség ellenőrzésében, a fenyegetéskeresésben és még sok másban. Engedélyezheti az értesítéseket oly módon, hogy egy bizonyos feltétel teljesülésekor vagy probléma esetén riasztás induljon el.

Összességében a Graylog elég jó munkát végez nagy mennyiségű adat összegyűjtésében, és leegyszerűsíti az adatok keresését és elemzését. A legújabb verzió a Graylog 4.0, és olyan új funkciókat kínál, mint a Sötét mód, a Slack és az ElasticSearch 7 integrációja és még sok más.

3. Logcheck

A Logcheck egy újabb nyílt forráskódú naplófigyelő eszköz, amely cron-feladatként fut. Több ezer naplófájlt kutat át, hogy észlelje a kiváltott szabálysértéseket vagy rendszereseményeket. A Logcheck ezután elküldi a riasztások részletes összefoglalóját egy beállított e-mail címre, hogy figyelmeztesse a műveleti csoportokat egy problémára, például jogosulatlan megsértésre vagy rendszerhibára.

Ebben a naplózási rendszerben három különböző szintű naplófájl szűrést fejlesztettek ki, amelyek a következőket tartalmazzák:

  • Paranoid: olyan fokozott biztonságú rendszerekhez készült, amelyek a lehető legkevesebb szolgáltatást futtatják.
  • Szerver: ez a logcheck alapértelmezett szűrési szintje, és szabályai számos különböző rendszerdémonhoz vannak meghatározva. A paranoid szint alatt meghatározott szabályok is ebbe a szintbe tartoznak.
  • Munkaállomás: védett rendszerek számára készült, és segít kiszűrni a legtöbb üzenetet. A paranoid és szerverszintek alatt meghatározott szabályokat is tartalmazza.

A Logcheck arra is képes, hogy a jelentendő üzeneteket három lehetséges rétegbe rendezze, beleértve a biztonsági eseményeket, a rendszereseményeket és a rendszertámadási riasztásokat. A rendszeradminisztrátor a szűrési szinttől függően megválaszthatja, hogy a rendszereseményeket milyen részletezési szintre kell jelenteni, bár ez nincs hatással a biztonsági eseményekre és a rendszertámadási riasztásokra.

A Logcheck a következő szolgáltatásokat nyújtja:

  • Előre meghatározott jelentéssablonok.
  • A naplók szűrésének mechanizmusa reguláris kifejezésekkel.
  • Azonnali e-mail értesítések.
  • Azonnali biztonsági figyelmeztetések.

4. Logwatch

A Logwatch egy nyílt forráskódú, nagymértékben testreszabható naplógyűjtő és elemző alkalmazás. Mind a rendszer-, mind az alkalmazásnaplókat elemzi, és jelentést készít az alkalmazások működéséről. A jelentést vagy a parancssorban, vagy egy erre a célra szolgáló e-mail címen keresztül kézbesítjük.

Könnyedén testreszabhatja a Logwatchot saját igényei szerint, ha módosítja a paramétereket az /etc/logwatch/conf útvonalon. Valami pluszt is biztosít az előre megírt PERL-szkriptek terén, amelyek megkönnyítik a naplóelemzést.

A Logwatch többszintű megközelítést kínál, és három fő helyen lehet meghatározni a konfigurációs részleteket:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

Az összes alapértelmezett beállítást a /usr/share/logwatch/default.conf/logwatch.conf fájl tartalmazza. A javasolt gyakorlat az, hogy hagyja érintetlenül ezt a fájlt, és ehelyett hozzon létre saját konfigurációs fájlt az /etc/logwatch/conf/ útvonalon az eredeti konfigurációs fájl másolásával, majd az egyéni beállítások megadásával.

A Logwatch legújabb verziója a 7.5.5-ös verzió, és támogatja a systemd napló közvetlen lekérdezését a journalctl használatával. Ha nem engedheti meg magának egy szabadalmaztatott naplókezelő eszközt, a Logwatch nyugalmat biztosít, mert tudja, hogy minden esemény naplózásra kerül, és értesítéseket küldenek, ha valami rosszul sül el.

5. Logstash

A Logstash egy nyílt forráskódú szerveroldali adatfeldolgozási folyamat, amely számos forrásból fogad adatokat, beleértve a helyi fájlokat vagy az elosztott rendszereket, például az S3-at. Ezután feldolgozza a naplókat, és olyan platformokra továbbítja őket, mint például az Elasticsearch, ahol később elemzik és archiválják. Ez egy nagyon hatékony eszköz, mivel több alkalmazásból képes naplók mennyiségét beemelni, és később egyidejűleg kiadni azokat különböző adatbázisokba vagy motorokba.

A Logstash strukturálatlan adatokat strukturál, és földrajzi helymeghatározást végez, anonimizálja a személyes adatokat, és több csomóponton is skáláz. A Logstash által meghallgatható adatforrások kiterjedt listája található, beleértve az SNMP-t, a szívveréseket, a Syslogot, a Kafkát, a bábot, a Windows eseménynaplóját stb.

A Logstash a „beats”-re támaszkodik, amely könnyű adatszállítók, amelyek adatokat szolgáltatnak a Logstashnak elemzés és strukturálás stb. céljából. Az adatokat ezután más célállomásokra küldi el, például a Google Cloudba, a MongoDB-be és az Elasticsearchba indexelés céljából. A Logstash az Elastic Stack kulcsfontosságú összetevője, amely lehetővé teszi a felhasználók számára az adatok bármilyen formában történő összegyűjtését, elemzését és interaktív irányítópultokon való megjelenítését.

Sőt, a Logstash széles körű közösségi támogatást és rendszeres frissítéseket élvez.

Összegzés

Egyelőre ennyi, és ne feledje, hogy ez nem az összes elérhető naplókezelő rendszer, amelyet Linuxon használhat. A listát a jövőbeni cikkeinkben folyamatosan felülvizsgáljuk és frissítjük, remélem, hasznosnak találja ezt a cikket, és megjegyzést írva tájékoztathat minket más fontos naplózási eszközökről vagy rendszerekről.