5 лучших инструментов управления журналами с открытым исходным кодом для Linux

1. Анализатор журнала событий ManageEngine.

ManageEngine EventLog Analyzer — это локальное решение для управления журналами, предназначенное для предприятий любого размера в различных отраслях, таких как информационные технологии, здравоохранение, розничная торговля, финансы, образование и многое другое. Решение предоставляет пользователям возможность сбора журналов как с использованием агентов, так и без агентов, возможности анализа журналов, мощную систему поиска журналов и возможности архивирования журналов.

Благодаря функции аудита сетевых устройств пользователи могут отслеживать свои конечные пользовательские устройства, межсетевые экраны, маршрутизаторы, коммутаторы и многое другое в режиме реального времени. Решение отображает проанализированные данные в виде графиков и интуитивно понятных отчетов.

Механизмы обнаружения инцидентов EventLog Analyser, такие как корреляция журналов событий, анализ угроз, реализация инфраструктуры MITRE ATT&CK, расширенный анализ угроз и многое другое, помогают обнаруживать угрозы безопасности сразу же после их возникновения.

Система оповещения в режиме реального времени предупреждает пользователей о подозрительных действиях, чтобы они могли расставить приоритеты в отношении угроз безопасности высокого риска. А благодаря автоматизированной системе реагирования на инциденты SOC могут снизить потенциальные угрозы.

Решение также помогает пользователям соблюдать различные стандарты соответствия ИТ, такие как PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR и другие. Услуги на основе подписки предлагаются в зависимости от количества источников журналов для мониторинга. Поддержка доступна пользователям по телефону, через видеоролики о продуктах и через онлайн-базу знаний.

2. Грейлог 2

Graylog — это ведущий и надежный централизованный инструмент управления журналами с открытым исходным кодом, который широко используется для сбора и просмотра журналов в различных средах, включая среды тестирования и производственные среды. Его легко настроить, и он настоятельно рекомендуется для малого бизнеса.

Graylog помогает вам легко собирать данные с нескольких устройств, включая сетевые коммутаторы, маршрутизаторы и точки беспроводного доступа. Он интегрируется с аналитической системой Elasticsearch и использует MongoDB для хранения данных, а собранные журналы дают глубокую информацию и помогают устранять сбои и ошибки системы.

С Graylog вы получаете аккуратный и понятный веб-интерфейс с классными информационными панелями, которые помогут вам легко отслеживать данные. Кроме того, вы получаете набор отличных инструментов и функций, которые помогают в аудите соответствия, поиске угроз и многом другом. Вы можете включить уведомления таким образом, чтобы оповещение срабатывало при выполнении определенного условия или возникновении проблемы.

В целом, Graylog неплохо справляется со сбором больших объемов данных и упрощает поиск и анализ данных. Последняя версия — Graylog 4.0 и предлагает новые функции, такие как темный режим, интеграцию со Slack и ElasticSearch 7 и многое другое.

3. Проверка журнала

Logcheck – это еще один инструмент мониторинга журналов с открытым исходным кодом, который запускается как задание cron. Он просматривает тысячи файлов журналов для обнаружения нарушений или сработавших системных событий. Затем Logcheck отправляет подробную сводку предупреждений на настроенный адрес электронной почты, чтобы предупредить оперативные группы о такой проблеме, как несанкционированное взлом или сбой системы.

В этой системе журналирования разработаны три различных уровня фильтрации файлов журналов, которые включают в себя:

• Paranoid: предназначен для систем с высоким уровнем безопасности, в которых используется минимально возможное количество служб.
• Сервер: это уровень фильтрации по умолчанию для проверки журнала, и его правила определены для множества различных системных демонов. Правила, определенные на параноидальном уровне, также включены в этот уровень.
• Рабочая станция: предназначена для защищенных систем и помогает фильтровать большую часть сообщений. Он также включает правила, определенные на уровне параноика и сервера.

Logcheck также способен сортировать сообщения, о которых необходимо сообщить, на три возможных уровня, которые включают в себя события безопасности, системные события и предупреждения о системных атаках. Системный администратор может выбрать уровень детализации отчетов о системных событиях в зависимости от уровня фильтрации, однако это не влияет на события безопасности и предупреждения о системных атаках.

Logcheck предоставляет следующие возможности:

• Предопределенные шаблоны отчетов.
• Механизм фильтрации логов с помощью регулярных выражений.
• Мгновенные уведомления по электронной почте.
• Мгновенные оповещения безопасности.

4. Журнал наблюдения

Logwatch — это гибко настраиваемое приложение для сбора и анализа журналов с открытым исходным кодом. Он анализирует журналы системы и приложений и генерирует отчет о работе приложений. Отчет доставляется либо в командной строке, либо по выделенному адресу электронной почты.

Вы можете легко настроить Logwatch по своему вкусу, изменив параметры в пути /etc/logwatch/conf. Он также предоставляет дополнительные возможности в виде заранее написанных сценариев PERL для упрощения анализа журналов.

В Logwatch используется многоуровневый подход, и есть три основных места, где определяются детали конфигурации:

• /usr/share/logwatch/default.conf/*
• /etc/logwatch/conf/dist.conf/*
• /etc/logwatch/conf/*

Все настройки по умолчанию определены в файле /usr/share/logwatch/default.conf/logwatch.conf. Рекомендуется оставить этот файл нетронутым и вместо этого создать собственный файл конфигурации по пути /etc/logwatch/conf/, скопировав исходный файл конфигурации и затем определив свои собственные настройки.

Последней версией Logwatch является версия 7.5.5, которая обеспечивает поддержку запросов к журналу systemd напрямую с помощью Journalctl. Если вы не можете позволить себе собственный инструмент управления журналами, Logwatch даст вам уверенность в том, что все события будут записываться в журнал и доставляться уведомления в случае, если что-то пойдет не так.

5. Логсташ

Logstash – это конвейер обработки данных на стороне сервера с открытым исходным кодом, который принимает данные из множества источников, включая локальные файлы или распределенные системы, такие как S3. Затем он обрабатывает журналы и передает их на такие платформы, как Elasticsearch, где они позже анализируются и архивируются. Это довольно мощный инструмент, поскольку он может получать объемы журналов из нескольких приложений, а затем одновременно выводить их в разные базы данных или механизмы.

Logstash структурирует неструктурированные данные и выполняет поиск по географическому местоположению, анонимизирует личные данные, а также масштабируется на нескольких узлах. Существует обширный список источников данных, которые вы можете прослушивать через Logstash, включая SNMP, Heartbeats, Syslog, Kafka, Puppet, журнал событий Windows и т. д.

Logstash использует «beats», которые представляют собой облегченные отправители данных, которые передают данные в Logstash для анализа, структурирования и т. д. Затем данные отправляются в другие места назначения, такие как Google Cloud, MongoDB и Elasticsearch, для индексации. Logstash — ключевой компонент Elastic Stack, который позволяет пользователям сопоставлять данные в любой форме, анализировать их и визуализировать на интерактивных панелях мониторинга.

Более того, Logstash пользуется широкой поддержкой сообщества и регулярными обновлениями.

Краткое содержание

На этом пока все, и помните, что это не все доступные системы управления журналами, которые вы можете использовать в Linux. Мы будем продолжать просматривать и обновлять список в будущих статьях. Я надеюсь, что эта статья окажется для вас полезной, и вы сможете сообщить нам о других важных инструментах или системах ведения журналов, оставив комментарий.