5 beste verktøy for loggadministrasjon for åpen kildekode for Linux

Når et operativsystem som Linux kjører, skjer det mange hendelser og prosesser som kjører i bakgrunnen for å muliggjøre effektiv og pålitelig bruk av systemressurser. Disse hendelsene kan skje i systemprogramvare, for eksempel init- eller systemd-prosessen eller brukerapplikasjoner som Apache, MySQL , FTP, og mange flere.

For å forstå tilstanden til systemet og ulike applikasjoner og hvordan de fungerer, må systemadministratorer fortsette å gjennomgå loggfiler på daglig basis i produksjonsmiljøer.

Du kan tenke deg å måtte gjennomgå loggfiler fra flere systemområder og applikasjoner, det er der loggingssystemer kommer godt med. De hjelper til med å overvåke, gjennomgå, analysere og til og med generere rapporter fra forskjellige loggfiler som konfigurert av en systemadministrator.

I denne artikkelen skal vi se på de fire mest brukte åpen kildekode-loggingsadministrasjonssystemene i Linux i dag, standard loggingsprotokoll i de fleste om ikke alle distribusjoner i dag er Syslog.

1. ManageEngine EventLog Analyzer

ManageEngine EventLog Analyzer er en lokal loggadministrasjonsløsning designet for virksomheter i alle størrelser på tvers av ulike bransjer som informasjonsteknologi, helse, detaljhandel, finans, utdanning og mer. Løsningen gir brukere både agentbasert og agentløs loggsamling, loggparsing, en kraftig loggsøkemotor og loggarkiveringsalternativer.

Med funksjonalitet for revisjon av nettverksenheter gjør den det mulig for brukere å overvåke sluttbrukerenheter, brannmurer, rutere, svitsjer og mer i sanntid. Løsningen viser analyserte data i form av grafer og intuitive rapporter.

EventLog Analyzers hendelsesdeteksjonsmekanismer som hendelsesloggkorrelasjon, trusselintelligens, MITER ATT&CK-rammeverkimplementering, avansert trusselanalyse og mer, hjelper til med å oppdage sikkerhetstrusler så snart de oppstår.

Sanntidsvarslingssystemet varsler brukere om mistenkelige aktiviteter, slik at de kan prioritere høyrisikosikkerhetstrusler. Og med et automatisert hendelsesresponssystem kan SOC-er redusere potensielle trusler.

Løsningen hjelper også brukere med å overholde ulike IT-samsvarsstandarder som PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR og mer. Abonnementsbaserte tjenester tilbys avhengig av antall loggkilder for overvåking. Støtte gjøres tilgjengelig for brukerne via telefon, produktvideoer og en online kunnskapsbase.

2. Graylog 2

Graylog er et ledende åpen kildekode og robust sentralisert loggstyringsverktøy som er mye brukt til å samle inn og gjennomgå logger på tvers av ulike miljøer, inkludert test- og produksjonsmiljøer. Det er enkelt å sette opp og anbefales på det sterkeste for små bedrifter.

Graylog hjelper deg med å enkelt samle inn data fra flere enheter, inkludert nettverkssvitsjer, rutere og trådløse tilgangspunkter. Den integreres med Elasticsearch-analysemotoren og utnytter MongoDB til å lagre data, og loggene som samles inn gir dyp innsikt og er nyttige for feilsøking av systemfeil og feil.

Med Graylog får du et ryddig og søvnig WebUI med kule dashbord som hjelper deg sømløst å spore data. Du får også et sett med smarte verktøy og funksjoner som hjelper til med samsvarsrevisjon, trusselsøk og mye mer. Du kan aktivere varsler på en slik måte at et varsel utløses når en bestemt betingelse er oppfylt eller et problem oppstår.

Totalt sett gjør Graylog en ganske god jobb med å samle store mengder data og forenkler søk og analyse av data. Den nyeste versjonen er Graylog 4.0 og tilbyr nye funksjoner som mørk modus, integrasjon med slack og ElasticSearch 7 og mye mer.

3. Loggsjekk

Logcheck er nok et åpen kildekode-loggovervåkingsverktøy som kjøres som en cron-jobb. Den siler gjennom tusenvis av loggfiler for å oppdage brudd eller systemhendelser som utløses. Logcheck sender deretter et detaljert sammendrag av varslene til en konfigurert e-postadresse for å varsle driftsteam om et problem som et uautorisert brudd eller en systemfeil.

Tre forskjellige nivåer av loggfilfiltrering er utviklet i dette loggingssystemet som inkluderer:

  • Paranoid: er beregnet på høysikkerhetssystemer som kjører svært få tjenester som mulig.
  • Server: dette er standard filtreringsnivå for logcheck og reglene er definert for mange forskjellige systemdemoner. Reglene definert under det paranoide nivået er også inkludert under dette nivået.
  • Arbeidsstasjon: den er for skjermede systemer og hjelper til med å filtrere de fleste meldingene. Det inkluderer også regler definert under paranoide og servernivåer.

Logcheck er også i stand til å sortere meldinger som skal rapporteres i tre mulige lag som inkluderer sikkerhetshendelser, systemhendelser og systemangrepsvarsler. En systemadministrator kan velge detaljnivået som systemhendelser skal rapporteres til, avhengig av filtreringsnivået, men dette påvirker ikke sikkerhetshendelser og systemangrepsvarsler.

Logcheck gir følgende funksjoner:

  • Forhåndsdefinerte rapportmaler.
  • En mekanisme for å filtrere logger ved hjelp av regulære uttrykk.
  • Umiddelbare e-postvarsler.
  • Umiddelbare sikkerhetsvarsler.

4. Loggklokke

Logwatch er en åpen kildekode og svært tilpassbar logginnsamlings- og analyseapplikasjon. Den analyserer både system- og applikasjonslogger og genererer en rapport om hvordan applikasjoner kjører. Rapporten leveres enten på kommandolinjen eller via en dedikert e-postadresse.

Du kan enkelt tilpasse Logwatch til dine preferanser ved å endre parametrene i /etc/logwatch/conf-banen. Det gir også noe ekstra i veien for forhåndsskrevne PERL-skript for å gjøre loggparsing enklere.

Logwatch kommer med en lagdelt tilnærming, og det er tre hovedsteder der konfigurasjonsdetaljer er definert:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

Alle standardinnstillingene er definert i /usr/share/logwatch/default.conf/logwatch.conf-filen. Den anbefalte praksisen er å la denne filen være intakt og i stedet lage din egen konfigurasjonsfil på /etc/logwatch/conf/-banen ved å kopiere den originale konfigurasjonsfilen og deretter definere dine egendefinerte innstillinger.

Den siste versjonen av Logwatch er versjon 7.5.5 og den gir støtte for å spørre systemd-journalen direkte ved å bruke journalctl. Hvis du ikke har råd til et proprietært loggadministrasjonsverktøy, vil Logwatch gi deg trygghet i å vite at alle hendelser vil bli logget og varslinger levert i tilfelle noe skulle gå galt.

5. Loggstash

Logstash er en åpen kildekode-databehandlingspipeline på serversiden som aksepterer data fra en rekke kilder, inkludert lokale filer eller distribuerte systemer som S3. Den behandler deretter loggene og sender dem til plattformer som Elasticsearch hvor de analyseres og arkiveres senere. Det er et ganske kraftig verktøy siden det kan ta inn volumer av logger fra flere applikasjoner og senere sende dem ut til forskjellige databaser eller motorer samtidig.

Logstash strukturerer ustrukturerte data og utfører geolokaliseringsoppslag, anonymiserer personlige data og skalerer også på tvers av flere noder. Det er en omfattende liste over datakilder som du kan få Logstash til å lytte til pipe inkludert SNMP, hjerteslag, Syslog, Kafka, marionett, Windows-hendelseslogg, etc.

Logstash er avhengig av «beats» som er lette dataavsendere som mater data til Logstash for parsing og strukturering osv. Data sendes deretter til andre destinasjoner som Google Cloud, MongoDB og Elasticsearch for indeksering. Logstash er en nøkkelkomponent i Elastic Stack som lar brukere samle data i alle former, analysere dem og visualisere dem på interaktive dashboards.

Dessuten er at Logstash nyter omfattende fellesskapsstøtte og regelmessige oppdateringer.

Sammendrag

Det er det for nå, og husk at dette ikke er alle de tilgjengelige loggadministrasjonssystemene du kan bruke på Linux. Vi vil fortsette å gjennomgå og oppdatere listen i fremtidige artikler, jeg håper du finner denne artikkelen nyttig, og du kan gi oss beskjed om andre viktige loggverktøy eller systemer der ute ved å legge igjen en kommentar.