4 hyvää avoimen lähdekoodin lokin seuranta- ja hallintatyökalua Linuxille

Kun käyttöjärjestelmä, kuten Linux, on käynnissä, taustalla on monia tapahtumia ja prosesseja, jotka mahdollistavat järjestelmäresurssien tehokkaan ja luotettavan käytön. Nämä tapahtumat voivat tapahtua järjestelmäohjelmistoissa, esimerkiksi init- tai systemd-prosessissa tai käyttäjäsovelluksissa, kuten Apache, MySQL, FTP ja monet muut.

Järjestelmän järjestelmänvalvojien on jatkuvasti tarkasteltava lokitiedostoja päivittäin tuotantoympäristöissä voidakseen ymmärtää järjestelmän ja eri sovellusten tilan ja toiminnan.

Voit kuvitella, että sinun on tarkistettava lokitiedostot useilta järjestelmäalueilta ja sovelluksilta, jolloin kirjausjärjestelmät ovat käteviä. Ne auttavat seuraamaan, tarkastelemaan, analysoimaan ja jopa luomaan raportteja erilaisista lokitiedostoista järjestelmänvalvojan määrittämänä.

  • Järjestelmän käytön, katkosten ja Linux-järjestelmien vianmäärityksen seuraaminen
  • Palvelinlokien hallinta (Määritä ja käännä) Linuxissa
  • Kuinka seurata Linux-palvelimen lokeja reaaliajassa Log.io-työkalulla

Tässä artikkelissa tarkastellaan neljää eniten käytettyä avoimen lähdekoodin lokinhallintajärjestelmää nykyään Linuxissa, tavallinen kirjausprotokolla on useimmissa, jos ei kaikissa jakeluissa, Syslog.

1. Graylog 2

keskitetty lokinhallintatyökalu, jota käytetään laajasti lokien keräämiseen ja tarkistamiseen eri ympäristöissä, mukaan lukien testaus- ja tuotantoympäristöt. Se on helppo asentaa ja sitä suositellaan erittäin hyvin pienille yrityksille.

Graylog auttaa sinua keräämään tietoja helposti useista laitteista, mukaan lukien verkkokytkimet, reitittimet ja langattomat tukiasemat. Se integroituu Elasticsearch-analyysimoottoriin ja hyödyntää MongoDB: tä tietojen tallentamiseksi, ja kerätyt lokit tarjoavat syvällistä tietoa ja ovat hyödyllisiä vikojen ja virheiden vianmäärityksessä.

Graylogin avulla saat siistin ja lepotilan WebUI: n hienoilla koontinäytöillä, joiden avulla voit seurata saumattomasti tietoja. Saat myös joukon hienoja työkaluja ja toimintoja, jotka auttavat vaatimustenmukaisuuden tarkastuksessa, uhkien etsinnässä ja paljon muuta. Voit ottaa ilmoitukset käyttöön siten, että hälytys laukaistaan, kun tietty ehto täyttyy tai ilmenee ongelma.

Kaiken kaikkiaan Graylog tekee melko hyvää työtä kerätessään suuria määriä tietoja ja yksinkertaistaa tietojen hakua ja analysointia. Uusin versio on Graylog 4.0 ja tarjoaa uusia ominaisuuksia, kuten Dark mode, integrointi löysään ja ElasticSearch 7 ja paljon muuta.

2. Logcheck

Logcheck on jälleen yksi avoimen lähdekoodin lokinvalvontatyökalu, joka suoritetaan cron-tehtävänä. Se seuloo tuhansia lokitiedostoja havaitsemaan laukaistavat rikkomukset tai järjestelmätapahtumat. Logcheck lähettää sitten yksityiskohtaisen yhteenvedon hälytyksistä määritettyyn sähköpostiosoitteeseen varoittamaan toimintaryhmiä ongelmasta, kuten luvattomasta rikkomisesta tai järjestelmävirheestä.

Tässä lokinhallintajärjestelmässä on kehitetty kolme eri lokitiedostojen suodatustasoa:

  • Paranoidi: on tarkoitettu erittäin turvallisiin järjestelmiin, jotka käyttävät hyvin vähän palveluja kuin mahdollista.
  • Palvelin: tämä on oletusarvoinen suodatustaso lokitarkistukselle, ja sen säännöt on määritelty monille erilaisille järjestelmän demoneille. Paranoiditasolla määritellyt säännöt sisältyvät myös tähän tasoon.
  • Työasema: se on suojatuille järjestelmille ja auttaa suodattamaan suurimman osan viesteistä. Se sisältää myös säännöt, jotka on määritelty paranoidi- ja palvelintasoilla.

Logcheck pystyy myös lajittelemaan raportoitavat viestit kolmeen mahdolliseen kerrokseen, joihin kuuluvat tietoturvatapahtumat, järjestelmätapahtumat ja järjestelmähyökkäyshälytykset. Järjestelmänvalvoja voi valita suodatustasosta riippuen yksityiskohtaisten järjestelmätapahtumien raportointitason, vaikka tämä ei vaikuta tietoturvatapahtumiin ja järjestelmän hyökkäysvaroituksiin.

Logcheck tarjoaa seuraavat ominaisuudet:

  • Ennalta määritetyt raporttimallit.
  • mekanismi lokien suodattamiseksi säännöllisten lausekkeiden avulla.
  • välittömät sähköposti-ilmoitukset.
  • välittömät tietoturvavaroitukset.

3. lokikello

Logwatch on avoimen lähdekoodin ja erittäin muokattava lokikokoelma- ja analyysisovellus. Se jäsentää sekä järjestelmä- että sovelluslokit ja luo raportin sovellusten toiminnasta. Raportti toimitetaan joko komentorivillä tai erillisen sähköpostiosoitteen kautta.

Voit mukauttaa Logwatchia helposti mieltymyksiisi muokkaamalla parametreja/etc/logwatch/conf-polussa. Se tarjoaa myös jotain ylimääräistä ennalta kirjoitetuissa PERL-skripteissä, jotka helpottavat lokin jäsentämistä.

Lokikellossa on porrastettu lähestymistapa, ja määritystiedot määritetään kolmessa pääpaikassa:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

Kaikki oletusasetukset on määritetty tiedostossa /usr/share/logwatch/default.conf/logwatch.conf. Suositeltava käytäntö on jättää tämä tiedosto ennalleen ja luoda sen sijaan oma määritystiedosto tiedostoon/etc/logwatch/conf/polku kopioimalla alkuperäinen määritystiedosto ja määrittelemällä sitten mukautetut asetukset.

Logwatchin uusin versio on versio 7.5.5, ja se tukee systemd-päiväkirjan kyselyä suoraan journalctl: n avulla. Jos sinulla ei ole varaa omaan lokinhallintatyökaluun, Logwatch antaa sinulle mielenrauhan, kun tiedät, että kaikki tapahtumat kirjataan ja ilmoitukset toimitetaan, jos jokin menee pieleen.

4. Logstash

Logstash on avoimen lähdekoodin palvelinpuolen tietojenkäsittelyputki, joka hyväksyy tietoja useista lähteistä, mukaan lukien paikalliset tiedostot, tai hajautetuista järjestelmistä, kuten S3. Sen jälkeen se käsittelee lokit ja kanavoi ne alustoille, kuten Elasticsearch, missä ne analysoidaan ja arkistoidaan myöhemmin. Se on melko tehokas työkalu, koska se voi syödä useita lokeja useista sovelluksista ja lähettää ne myöhemmin eri tietokantoihin tai moottoreihin samanaikaisesti.

Logstash jäsentää strukturoimattomat tiedot ja suorittaa sijaintihakuja, anonymisoi henkilötiedot ja skaalaa myös useiden solmujen välillä. On olemassa kattava luettelo tietolähteistä, joista voit saada Logstashin kuuntelemaan putkea, mukaan lukien SNMP, syke, Syslog, Kafka, nukke, Windows-tapahtumaloki jne.

Logstash perustuu "lyönteihin", jotka ovat kevyitä tiedonsiirtäjiä, jotka syöttävät tietoja Logstashiin jäsentämistä ja jäsentämistä varten. Tiedot lähetetään sitten muihin kohteisiin, kuten Google Cloudiin, MongoDB: hen ja Elasticsearchiin indeksointia varten. Logstash on tärkeä osa Elastic Stackia, jonka avulla käyttäjät voivat kerätä tietoja missä tahansa muodossa, jäsentää niitä ja visualisoida niitä interaktiivisissa koontinäytöissä.

Lisäksi Logstashilla on laaja yhteisön tuki ja säännölliset päivitykset.

Yhteenveto

Se on nyt ja muista, että nämä eivät ole kaikki käytettävissä olevat lokinhallintajärjestelmät, joita voit käyttää Linuxissa. Tarkistamme ja päivitämme luetteloa tulevissa artikkeleissa. Toivon, että tämä artikkeli on hyödyllinen ja voit ilmoittaa meille muista tärkeistä lokityökaluista tai -järjestelmistä jättämällä kommentin.