5 καλύτερα εργαλεία διαχείρισης αρχείων καταγραφής ανοιχτού κώδικα για Linux
Όταν εκτελείται ένα λειτουργικό σύστημα όπως το Linux, συμβαίνουν πολλά συμβάντα και διεργασίες που εκτελούνται στο παρασκήνιο για να καταστεί δυνατή η αποτελεσματική και αξιόπιστη χρήση των πόρων του συστήματος. Αυτά τα συμβάντα μπορεί να συμβούν στο λογισμικό συστήματος, για παράδειγμα στη διαδικασία init ή systemd ή σε εφαρμογές χρήστη όπως Apache, MySQL , FTP, και πολλά άλλα.
Προκειμένου να κατανοήσουν την κατάσταση του συστήματος και των διαφορετικών εφαρμογών και τον τρόπο λειτουργίας τους, οι διαχειριστές συστήματος πρέπει να συνεχίζουν να ελέγχουν τα αρχεία καταγραφής σε καθημερινή βάση σε περιβάλλοντα παραγωγής.
Μπορείτε να φανταστείτε ότι πρέπει να ελέγξετε αρχεία καταγραφής από διάφορες περιοχές συστήματος και εφαρμογές, όπου τα συστήματα καταγραφής είναι χρήσιμα. Βοηθούν στην παρακολούθηση, την ανασκόπηση, την ανάλυση και ακόμη και τη δημιουργία αναφορών από διαφορετικά αρχεία καταγραφής όπως έχουν διαμορφωθεί από έναν Διαχειριστή συστήματος.
Σε αυτό το άρθρο, θα εξετάσουμε τα τέσσερα κορυφαία συστήματα διαχείρισης καταγραφής ανοιχτού κώδικα σήμερα στο Linux, το τυπικό πρωτόκολλο καταγραφής στις περισσότερες, αν όχι σε όλες τις διανομές σήμερα, είναι το Syslog.
1. ManageEngine EventLog Analyzer
Το ManageEngine EventLog Analyzer είναι μια εσωτερική λύση διαχείρισης αρχείων καταγραφής σχεδιασμένη για επιχειρήσεις όλων των μεγεθών σε διάφορους κλάδους όπως η τεχνολογία πληροφοριών, η υγεία, το λιανικό εμπόριο, τα οικονομικά, η εκπαίδευση και άλλα. Η λύση παρέχει στους χρήστες συλλογή αρχείων καταγραφής βασισμένη σε πράκτορες και χωρίς πράκτορες, δυνατότητες ανάλυσης αρχείων καταγραφής, μια ισχυρή μηχανή αναζήτησης αρχείων καταγραφής και επιλογές αρχειοθέτησης αρχείων καταγραφής.
Με τη λειτουργία ελέγχου συσκευών δικτύου, επιτρέπει στους χρήστες να παρακολουθούν τις συσκευές τελικού χρήστη, τα τείχη προστασίας, τους δρομολογητές, τους διακόπτες και άλλα σε πραγματικό χρόνο. Η λύση εμφανίζει αναλυμένα δεδομένα με τη μορφή γραφημάτων και εύχρηστων αναφορών.
Οι μηχανισμοί ανίχνευσης συμβάντων του EventLog Analyzer, όπως η συσχέτιση του αρχείου καταγραφής συμβάντων, η ευφυΐα απειλών, η υλοποίηση πλαισίου MITER ATT&CK, η προηγμένη ανάλυση απειλών και άλλα, βοηθούν στον εντοπισμό απειλών ασφαλείας αμέσως μόλις εμφανιστούν.
Το σύστημα ειδοποίησης σε πραγματικό χρόνο ειδοποιεί τους χρήστες για ύποπτες δραστηριότητες, ώστε να μπορούν να δώσουν προτεραιότητα σε απειλές ασφαλείας υψηλού κινδύνου. Και με ένα αυτοματοποιημένο σύστημα απόκρισης συμβάντων, τα SOC μπορούν να μετριάσουν πιθανές απειλές.
Η λύση βοηθά επίσης τους χρήστες να συμμορφώνονται με διάφορα πρότυπα συμμόρφωσης πληροφορικής όπως PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR και άλλα. Οι υπηρεσίες που βασίζονται σε συνδρομή προσφέρονται ανάλογα με τον αριθμό των πηγών καταγραφής για παρακολούθηση. Η υποστήριξη παρέχεται στους χρήστες μέσω τηλεφώνου, βίντεο προϊόντων και μιας διαδικτυακής βάσης γνώσεων.
2. Graylog 2
Το Graylog είναι ένα κορυφαίο ανοιχτού κώδικα και ισχυρό εργαλείο διαχείρισης κεντρικών καταγραφών που χρησιμοποιείται ευρέως για τη συλλογή και την ανασκόπηση αρχείων καταγραφής σε διάφορα περιβάλλοντα, συμπεριλαμβανομένων περιβαλλόντων δοκιμής και παραγωγής. Είναι εύκολο να εγκατασταθεί και συνιστάται ιδιαίτερα για μικρές επιχειρήσεις.
Το Graylog σάς βοηθά να συλλέγετε εύκολα δεδομένα από πολλές συσκευές, όπως διακόπτες δικτύου, δρομολογητές και σημεία ασύρματης πρόσβασης. Ενσωματώνεται με τη μηχανή ανάλυσης Elasticsearch και αξιοποιεί το MongoDB για την αποθήκευση δεδομένων και τα αρχεία καταγραφής που συλλέγονται προσφέρουν βαθιές πληροφορίες και είναι χρήσιμα για την αντιμετώπιση προβλημάτων και σφαλμάτων του συστήματος.
Με το Graylog, αποκτάτε ένα τακτοποιημένο και νυσταγμένο WebUI με εντυπωσιακούς πίνακες εργαλείων που σας βοηθούν να παρακολουθείτε απρόσκοπτα τα δεδομένα. Επίσης, λαμβάνετε ένα σετ από εξαιρετικά εργαλεία και λειτουργίες που βοηθούν στον έλεγχο συμμόρφωσης, την αναζήτηση απειλών και πολλά άλλα. Μπορείτε να ενεργοποιήσετε τις ειδοποιήσεις με τέτοιο τρόπο ώστε να ενεργοποιείται μια ειδοποίηση όταν πληρούται μια συγκεκριμένη συνθήκη ή παρουσιαστεί ένα πρόβλημα.
Συνολικά, το Graylog κάνει πολύ καλή δουλειά στη συλλογή μεγάλων ποσοτήτων δεδομένων και απλοποιεί την αναζήτηση και την ανάλυση δεδομένων. Η πιο πρόσφατη έκδοση είναι το Graylog 4.0 και προσφέρει νέες δυνατότητες όπως Dark mode, ενσωμάτωση με slack και ElasticSearch 7 και πολλά άλλα.
3. Έλεγχος καταγραφής
Το Logcheck είναι ένα ακόμη εργαλείο παρακολούθησης αρχείων καταγραφής ανοιχτού κώδικα που εκτελείται ως εργασία cron. Κοσκινίζει χιλιάδες αρχεία καταγραφής για να εντοπίσει παραβιάσεις ή συμβάντα συστήματος που ενεργοποιούνται. Στη συνέχεια, το Logcheck στέλνει μια λεπτομερή περίληψη των ειδοποιήσεων σε μια διαμορφωμένη διεύθυνση email για να ειδοποιήσει τις ομάδες λειτουργίας για ένα ζήτημα όπως μια μη εξουσιοδοτημένη παραβίαση ή ένα σφάλμα συστήματος.
Τρία διαφορετικά επίπεδα φιλτραρίσματος αρχείων καταγραφής αναπτύσσονται σε αυτό το σύστημα καταγραφής που περιλαμβάνουν:
- Paranoid: προορίζεται για συστήματα υψηλής ασφάλειας που εκτελούν πολύ λίγες υπηρεσίες όσο το δυνατόν.
- Διακομιστής: αυτό είναι το προεπιλεγμένο επίπεδο φιλτραρίσματος για τον έλεγχο καταγραφής και οι κανόνες του ορίζονται για πολλούς διαφορετικούς δαίμονες συστήματος. Οι κανόνες που ορίζονται στο επίπεδο παρανοϊκού περιλαμβάνονται επίσης σε αυτό το επίπεδο.
- Workstation: είναι για προστατευμένα συστήματα και βοηθά στο φιλτράρισμα των περισσότερων μηνυμάτων. Περιλαμβάνει επίσης κανόνες που ορίζονται σε επίπεδα παρανοϊκού και διακομιστή.
Το Logcheck είναι επίσης ικανό να ταξινομεί τα μηνύματα που θα αναφέρονται σε τρία πιθανά επίπεδα, τα οποία περιλαμβάνουν, συμβάντα ασφαλείας, συμβάντα συστήματος και ειδοποιήσεις επίθεσης συστήματος. Ένας Διαχειριστής συστήματος μπορεί να επιλέξει το επίπεδο λεπτομερειών στο οποίο αναφέρονται τα συμβάντα του συστήματος ανάλογα με το επίπεδο φιλτραρίσματος, αν και αυτό δεν επηρεάζει τα συμβάντα ασφαλείας και τις ειδοποιήσεις επίθεσης συστήματος.
Το Logcheck παρέχει τις ακόλουθες δυνατότητες:
- Προκαθορισμένα πρότυπα αναφορών.
- Ένας μηχανισμός φιλτραρίσματος αρχείων καταγραφής χρησιμοποιώντας κανονικές εκφράσεις.
- Άμεσες ειδοποιήσεις μέσω email.
- Άμεσες ειδοποιήσεις ασφαλείας.
4. Ημερολόγιο
Το Logwatch είναι μια εφαρμογή συλλογής και ανάλυσης αρχείων καταγραφής ανοιχτού κώδικα και εξαιρετικά προσαρμόσιμη. Αναλύει τόσο τα αρχεία καταγραφής συστήματος όσο και των εφαρμογών και δημιουργεί μια αναφορά σχετικά με τον τρόπο λειτουργίας των εφαρμογών. Η αναφορά παραδίδεται είτε στη γραμμή εντολών είτε μέσω ειδικής διεύθυνσης email.
Μπορείτε εύκολα να προσαρμόσετε το Logwatch στις προτιμήσεις σας τροποποιώντας τις παραμέτρους στη διαδρομή /etc/logwatch/conf. Παρέχει επίσης κάτι επιπλέον στον τρόπο των προ-γραμμένων σεναρίων PERL για να διευκολύνει την ανάλυση αρχείων καταγραφής.
Το Logwatch διατίθεται με μια κλιμακωτή προσέγγιση και υπάρχουν 3 κύριες τοποθεσίες όπου ορίζονται οι λεπτομέρειες διαμόρφωσης:
- /usr/share/logwatch/default.conf/*
- /etc/logwatch/conf/dist.conf/*
- /etc/logwatch/conf/*
Όλες οι προεπιλεγμένες ρυθμίσεις ορίζονται στο αρχείο /usr/share/logwatch/default.conf/logwatch.conf. Η συνιστώμενη πρακτική είναι να αφήσετε αυτό το αρχείο ανέπαφο και να δημιουργήσετε το δικό σας αρχείο διαμόρφωσης στη διαδρομή /etc/logwatch/conf/ αντιγράφοντας το αρχικό αρχείο διαμόρφωσης και, στη συνέχεια, ορίζοντας τις προσαρμοσμένες ρυθμίσεις σας.
Η τελευταία έκδοση του Logwatch είναι η έκδοση 7.5.5 και παρέχει υποστήριξη για αναζήτηση στο περιοδικό systemd απευθείας χρησιμοποιώντας το journalctl. Εάν δεν έχετε την οικονομική δυνατότητα να αντέξετε οικονομικά ένα ιδιόκτητο εργαλείο διαχείρισης αρχείων καταγραφής, το Logwatch θα σας ξεκουράσει γνωρίζοντας ότι όλα τα συμβάντα θα καταγράφονται και θα παραδίδονται ειδοποιήσεις σε περίπτωση που κάτι πάει στραβά.
5. Logstash
Το Logstash είναι ένας αγωγός επεξεργασίας δεδομένων ανοιχτού κώδικα από την πλευρά του διακομιστή που δέχεται δεδομένα από πολλές πηγές, συμπεριλαμβανομένων τοπικών αρχείων ή κατανεμημένων συστημάτων όπως το S3. Στη συνέχεια επεξεργάζεται τα αρχεία καταγραφής και τα διοχετεύει σε πλατφόρμες όπως το Elasticsearch όπου αναλύονται και αρχειοθετούνται αργότερα. Είναι ένα αρκετά ισχυρό εργαλείο, καθώς μπορεί να απορροφήσει όγκους αρχείων καταγραφής από πολλές εφαρμογές και αργότερα να τους εξάγει σε διαφορετικές βάσεις δεδομένων ή μηχανές ταυτόχρονα.
Το Logstash δομεί μη δομημένα δεδομένα και πραγματοποιεί αναζητήσεις γεωγραφικής θέσης, ανωνυμοποιεί προσωπικά δεδομένα και κλιμακώνει επίσης σε πολλούς κόμβους. Υπάρχει μια εκτενής λίστα πηγών δεδομένων που μπορείτε να ακούτε το Logstash, συμπεριλαμβανομένων SNMP, καρδιακών παλμών, Syslog, Kafka, μαριονέτας, αρχείου καταγραφής συμβάντων των Windows κ.λπ.
Το Logstash βασίζεται σε "beats", οι οποίοι είναι μικροί αποστολείς δεδομένων που τροφοδοτούν δεδομένα στο Logstash για ανάλυση και δόμηση κ.λπ. Στη συνέχεια, τα δεδομένα αποστέλλονται σε άλλους προορισμούς όπως το Google Cloud, το MongoDB και το Elasticsearch για ευρετηρίαση. Το Logstash είναι ένα βασικό στοιχείο του Elastic Stack που επιτρέπει στους χρήστες να συλλέγουν δεδομένα σε οποιαδήποτε μορφή, να τα αναλύουν και να τα οπτικοποιούν σε διαδραστικούς πίνακες εργαλείων.
Επιπλέον, είναι ότι το Logstash απολαμβάνει ευρεία υποστήριξη από την κοινότητα και τακτικές ενημερώσεις.
Περίληψη
Αυτό είναι προς το παρόν και να θυμάστε ότι αυτά δεν είναι όλα τα διαθέσιμα συστήματα διαχείρισης αρχείων καταγραφής που μπορείτε να χρησιμοποιήσετε στο Linux. Θα συνεχίσουμε να εξετάζουμε και να ενημερώνουμε τη λίστα σε μελλοντικά άρθρα, ελπίζω να βρείτε αυτό το άρθρο χρήσιμο και να μας ενημερώσετε για άλλα σημαντικά εργαλεία ή συστήματα καταγραφής εκεί έξω αφήνοντας ένα σχόλιο.