5 najboljih alata za upravljanje dnevnikom otvorenog koda za Linux


Kada radi operativni sistem kao što je Linux, dešavaju se mnogi događaji i procesi koji se pokreću u pozadini kako bi se omogućilo efikasno i pouzdano korištenje sistemskih resursa. Ovi događaji se mogu dogoditi u sistemskom softveru, na primjer u init ili systemd procesu ili korisničkim aplikacijama kao što su Apache, MySQL , FTP, i još mnogo toga.

Da bi razumjeli stanje sistema i različitih aplikacija i kako one rade, administratori sistema moraju svakodnevno pregledavati datoteke dnevnika u proizvodnim okruženjima.

Možete zamisliti da morate pregledati datoteke dnevnika iz nekoliko sistemskih područja i aplikacija, tu nam sistemi za evidentiranje dobro dođu. Oni pomažu u nadgledanju, pregledu, analizi, pa čak i generiranju izvještaja iz različitih logfilea koje je konfigurirao administrator sistema.

U ovom članku ćemo pogledati četiri najkorišćenija sistema za upravljanje evidentiranjem otvorenog koda u Linuxu danas, standardni protokol evidentiranja u većini, ako ne i svim distribucijama danas je Syslog.

1. ManageEngine EventLog Analyzer

ManageEngine EventLog Analyzer je lokalno rješenje za upravljanje dnevnikom dizajnirano za preduzeća svih veličina u različitim industrijama kao što su informaciona tehnologija, zdravstvo, maloprodaja, finansije, obrazovanje i još mnogo toga. Rješenje korisnicima pruža i prikupljanje dnevnika zasnovano na agentima i bez agenata, mogućnosti raščlanjivanja dnevnika, moćnu tražilicu dnevnika i opcije arhiviranja dnevnika.

Sa funkcijom revizije mrežnih uređaja, omogućava korisnicima da u realnom vremenu nadgledaju svoje krajnje korisničke uređaje, firewall, rutere, prekidače i još mnogo toga. Rješenje prikazuje analizirane podatke u obliku grafikona i intuitivnih izvještaja.

Mehanizmi otkrivanja incidenata EventLog Analyzera kao što su korelacija dnevnika događaja, inteligencija prijetnji, implementacija okvira MITER ATT&CK, napredna analitika prijetnji i još mnogo toga, pomažu u otkrivanju sigurnosnih prijetnji čim se pojave.

Sistem za upozorenje u realnom vremenu upozorava korisnike na sumnjive aktivnosti, tako da mogu dati prioritet visokorizičnim sigurnosnim prijetnjama. A sa automatizovanim sistemom odgovora na incidente, SOC-ovi mogu ublažiti potencijalne pretnje.

Rješenje također pomaže korisnicima da se pridržavaju različitih IT standarda kao što su PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR i još mnogo toga. Usluge zasnovane na pretplati se nude u zavisnosti od broja izvora dnevnika za praćenje. Podrška je dostupna korisnicima putem telefona, video zapisa o proizvodima i online baze znanja.

2. Sivi trag 2

Graylog je vodeći open-source i robustan centralizirani alat za upravljanje evidencijom koji se naširoko koristi za prikupljanje i pregled dnevnika u različitim okruženjima, uključujući okruženja za testiranje i proizvodnju. Lako se postavlja i preporučuje se malim preduzećima.

Graylog vam pomaže da lako prikupite podatke sa više uređaja uključujući mrežne prekidače, rutere i bežične pristupne tačke. Integrira se sa analitičkim motorom Elasticsearch i koristi MongoDB za pohranjivanje podataka, a prikupljene evidencije nude duboke uvide i pomažu u rješavanju sistemskih grešaka i grešaka.

Sa Graylog, dobijate uredan i pospan WebUI sa cool kontrolnim tablama koje vam pomažu da neprimetno pratite podatke. Također, dobijate skup sjajnih alata i funkcionalnosti koje pomažu u kontroli usklađenosti, pretraživanju prijetnji i još mnogo toga. Možete omogućiti obavještenja na način da se upozorenje pokrene kada se ispuni određeni uvjet ili se pojavi problem.

Sve u svemu, Graylog radi prilično dobar posao upoređivanja velikih količina podataka i pojednostavljuje pretraživanje i analizu podataka. Najnovija verzija je Graylog 4.0 i nudi nove funkcije kao što su tamni način rada, integracija sa slackom i ElasticSearch 7 i još mnogo toga.

3. Logcheck

Logcheck je još jedan open-source alat za praćenje dnevnika koji se pokreće kao cron posao. Prebira hiljade datoteka evidencije kako bi otkrio prekršaje ili sistemske događaje koji su pokrenuti. Logcheck zatim šalje detaljan sažetak upozorenja na konfigurisanu adresu e-pošte da upozori operativne timove o problemu kao što je neovlašćeno probijanje ili greška sistema.

U ovom sistemu evidentiranja razvijena su tri različita nivoa filtriranja datoteka dnevnika koji uključuju:

  • Paranoid: namijenjen je sistemima visoke sigurnosti koji pokreću vrlo mali broj usluga.
  • Server: ovo je zadani nivo filtriranja za logcheck i njegova pravila su definirana za mnoge različite sistemske demone. Pravila definisana u okviru paranoičnog nivoa su takođe uključena u ovaj nivo.
  • Radna stanica: za zaštićene sisteme i pomaže u filtriranju većine poruka. Takođe uključuje pravila definisana pod paranoidnim i serverskim nivoima.

Logcheck također može sortirati poruke koje treba prijaviti u tri moguća sloja koji uključuju sigurnosne događaje, sistemske događaje i upozorenja o sistemskom napadu. Administrator sistema može odabrati nivo detalja na koji se sistemski događaji izvještavaju u zavisnosti od nivoa filtriranja, iako to ne utiče na sigurnosne događaje i upozorenja na sistemski napad.

Logcheck pruža sljedeće funkcije:

  • Unaprijed definirani predlošci izvještaja.
  • Mehanizam za filtriranje dnevnika pomoću regularnih izraza.
  • Trenutna obavještenja putem e-pošte.
  • Trenutna sigurnosna upozorenja.

4. Logwatch

Logwatch je open-source i vrlo prilagodljiva aplikacija za prikupljanje i analizu dnevnika. On analizira i sistemske i aplikacijske dnevnike i generiše izveštaj o tome kako aplikacije rade. Izveštaj se isporučuje ili na komandnoj liniji ili preko namenske adrese e-pošte.

Logwatch možete lako prilagoditi svojim željama tako što ćete modificirati parametre na putu /etc/logwatch/conf. Takođe pruža nešto dodatno u vidu unapred napisanih PERL skripti za lakše raščlanjivanje dnevnika.

Logwatch dolazi sa višestepenim pristupom i postoje 3 glavne lokacije na kojima su definirani detalji konfiguracije:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

Sve podrazumevane postavke su definisane u datoteci /usr/share/logwatch/default.conf/logwatch.conf. Preporučena praksa je da ostavite ovu datoteku netaknutu i umjesto toga kreirate svoju vlastitu konfiguracijsku datoteku na putu /etc/logwatch/conf/ kopiranjem originalne konfiguracijske datoteke i zatim definiranjem vaših prilagođenih postavki.

Najnovija verzija Logwatcha je verzija 7.5.5 i pruža podršku za direktno ispitivanje systemd dnevnika koristeći journalctl. Ako si ne možete priuštiti vlasnički alat za upravljanje dnevnikom, Logwatch će vam pružiti mir u saznanju da će svi događaji biti evidentirani i obavještenja isporučena u slučaju da nešto pođe po zlu.

5. Logstash

Logstash je cevovod za obradu podataka na strani servera otvorenog koda koji prihvata podatke iz mnoštva izvora uključujući lokalne datoteke ili distribuirane sisteme kao što je S3. Zatim obrađuje dnevnike i prenosi ih na platforme kao što je Elasticsearch gdje se kasnije analiziraju i arhiviraju. To je prilično moćan alat jer može unositi količine dnevnika iz više aplikacija i kasnije ih poslati u različite baze podataka ili mašine u isto vrijeme.

Logstash strukturira nestrukturirane podatke i vrši traženje geolokacije, anonimizira lične podatke i skalira na više čvorova. Postoji opsežna lista izvora podataka koje Logstash može preslušati putem cijevi uključujući SNMP, otkucaje srca, Syslog, Kafku, lutku, dnevnik događaja u Windowsu, itd.

Logstash se oslanja na 'beats' koji su lagani dostavljači podataka koji unose podatke u Logstash za raščlanjivanje i strukturiranje itd. Podaci se zatim šalju na druga odredišta kao što su Google Cloud, MongoDB i Elasticsearch radi indeksiranja. Logstash je ključna komponenta Elastic Stack-a koja omogućava korisnicima da objedine podatke u bilo kojem obliku, analiziraju ih i vizualiziraju na interaktivnim nadzornim pločama.

Štaviše, Logstash uživa široku podršku zajednice i redovna ažuriranja.

Sažetak

To je to za sada i zapamtite da ovo nisu svi dostupni sistemi za upravljanje dnevnikom koje možete koristiti na Linuxu. Nastavit ćemo pregledavati i ažurirati listu u budućim člancima, nadam se da će vam ovaj članak biti koristan i da nas možete obavijestiti o drugim važnim alatima ili sistemima za evidentiranje tako što ćete ostaviti komentar.