5 parasta avoimen lähdekoodin lokinhallintatyökalua Linuxille

Kun käyttöjärjestelmä, kuten Linux, on käynnissä, taustalla tapahtuu monia tapahtumia ja prosesseja, jotka mahdollistavat järjestelmäresurssien tehokkaan ja luotettavan käytön. Nämä tapahtumat voivat tapahtua järjestelmäohjelmistoissa, kuten init- tai systemd-prosessissa tai käyttäjäsovelluksissa, kuten Apache, MySQL. , FTP, ja monet muut.

Ymmärtääkseen järjestelmän ja eri sovellusten tilan ja niiden toiminnan, järjestelmänvalvojien on tarkistettava lokitiedostoja päivittäin tuotantoympäristöissä.

Voit kuvitella, että sinun on tarkasteltava lokitiedostoja useilta järjestelmäalueilta ja sovelluksilta, jolloin lokijärjestelmät ovat hyödyllisiä. Ne auttavat valvomaan, tarkastelemaan, analysoimaan ja jopa luomaan raportteja erilaisista lokitiedostoista järjestelmänvalvojan määrittämien tietojen mukaan.

Tässä artikkelissa tarkastellaan neljää eniten käytettyä avoimen lähdekoodin kirjauksen hallintajärjestelmää Linuxissa nykyään. Useimmissa ellei kaikissa jakeluissa tavallinen lokiprotokolla on Syslog.

1. ManageEngine EventLog Analyzer

ManageEngine EventLog Analyzer on lokinhallintaratkaisu, joka on suunniteltu kaikenkokoisille yrityksille eri toimialoilla, kuten tietotekniikassa, terveydenhuollossa, vähittäiskaupassa, rahoituksessa, koulutuksessa ja muilla aloilla. Ratkaisu tarjoaa käyttäjille sekä agenttipohjaisen että agenttittoman lokikeräyksen, lokien jäsennysominaisuudet, tehokkaan lokihakukoneen ja lokien arkistointivaihtoehdot.

Verkkolaitteiden tarkastustoiminnon avulla käyttäjät voivat seurata loppukäyttäjien laitteita, palomuuria, reitittimiä, kytkimiä ja muuta reaaliajassa. Ratkaisu näyttää analysoidut tiedot kaavioiden ja intuitiivisten raporttien muodossa.

EventLog Analyzerin tapausten havaitsemismekanismit, kuten tapahtumalokien korrelaatio, uhkien tiedustelu, MITER ATT&CK -kehyksen toteutus, edistynyt uhkaanalytiikka ja paljon muuta, auttavat havaitsemaan tietoturvauhat heti, kun ne ilmenevät.

Reaaliaikainen hälytysjärjestelmä varoittaa käyttäjiä epäilyttävistä toimista, jotta he voivat priorisoida korkean riskin tietoturvauhat. Ja automatisoidun tapaturmien reagointijärjestelmän avulla SOC:t voivat lieventää mahdollisia uhkia.

Ratkaisu auttaa käyttäjiä myös noudattamaan erilaisia IT-yhteensopivuusstandardeja, kuten PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR ja paljon muuta. Tilauspohjaisia palveluita tarjotaan seurannan lokilähteiden lukumäärän mukaan. Tuki on käyttäjien saatavilla puhelimen, tuotevideoiden ja online-tietokannan kautta.

2. Graylog 2

Graylog on johtava avoimen lähdekoodin ja vankka keskitetty lokien hallintatyökalu, jota käytetään laajasti lokien keräämiseen ja tarkistamiseen eri ympäristöissä, mukaan lukien testaus- ja tuotantoympäristöt. Se on helppo asentaa, ja se on erittäin suositeltavaa pienille yrityksille.

Graylog auttaa sinua keräämään helposti tietoja useilta laitteilta, mukaan lukien verkkokytkimet, reitittimet ja langattomat tukiasemat. Se integroituu Elasticsearch-analytiikkamoottoriin ja hyödyntää MongoDB:tä tallentaakseen tietoja ja kerätyt lokit tarjoavat syvällisiä oivalluksia ja ovat hyödyllisiä järjestelmävikojen ja -virheiden vianmäärityksessä.

Graylogin avulla saat siistin ja uneliaan WebUI-käyttöliittymän hienoilla koontipaneeleilla, joiden avulla voit seurata tietoja saumattomasti. Saat myös joukon hienoja työkaluja ja toimintoja, jotka auttavat vaatimustenmukaisuuden tarkastuksessa, uhkien etsinnässä ja paljon muuta. Voit ottaa ilmoitukset käyttöön siten, että hälytys laukeaa, kun tietty ehto täyttyy tai ilmenee ongelma.

Kaiken kaikkiaan Graylog tekee melko hyvää työtä suurten tietomäärien kokoamisessa ja yksinkertaistaa tietojen etsimistä ja analysointia. Uusin versio on Graylog 4.0, ja se tarjoaa uusia ominaisuuksia, kuten Dark Moden, integroinnin slack- ja ElasticSearch 7 -sovellukseen ja paljon muuta.

3. Logcheck

Logcheck on toinen avoimen lähdekoodin lokinvalvontatyökalu, jota ajetaan cron-työnä. Se selaa tuhansia lokitiedostoja havaitakseen käynnistyneet rikkomukset tai järjestelmätapahtumat. Logcheck lähettää sitten yksityiskohtaisen yhteenvedon hälytyksistä määritettyyn sähköpostiosoitteeseen hälyttääkseen toimintaryhmiä ongelmasta, kuten luvattomasta tietomurrosta tai järjestelmävirheestä.

Tässä lokijärjestelmässä on kehitetty kolme eri tasoa lokitiedostojen suodatusta, jotka sisältävät:

  • Paranoid: on tarkoitettu erittäin turvallisille järjestelmille, joissa on mahdollisimman vähän palveluita.
  • Palvelin: tämä on oletusarvoinen suodatustaso lokitarkistukselle, ja sen säännöt on määritelty monille erilaisille järjestelmädaemoneille. Vainoharhaisen tason alla määritellyt säännöt sisältyvät myös tähän tasoon.
  • Työasema: se on tarkoitettu suojatuille järjestelmille ja auttaa suodattamaan useimmat viestit. Se sisältää myös vainoharha- ja palvelintasoilla määritellyt säännöt.

Logcheck pystyy myös lajittelemaan raportoitavat viestit kolmeen mahdolliseen kerrokseen, jotka sisältävät tietoturvatapahtumat, järjestelmätapahtumat ja järjestelmähyökkäyshälytykset. Järjestelmänvalvoja voi valita tietotason, jolle järjestelmätapahtumat raportoidaan suodatustason mukaan, mutta tämä ei vaikuta tietoturvatapahtumiin ja järjestelmähyökkäyshälytyksiin.

Logcheck tarjoaa seuraavat ominaisuudet:

  • Ennalta määritetyt raporttimallit.
  • Mekanismi lokien suodattamiseen säännöllisten lausekkeiden avulla.
  • Välittömät sähköposti-ilmoitukset.
  • Välittömät turvallisuushälytykset.

4. Logwatch

Logwatch on avoimen lähdekoodin ja erittäin muokattavissa oleva lokinkeruu- ja -analyysisovellus. Se jäsentää sekä järjestelmä- että sovelluslokit ja luo raportin sovellusten toiminnasta. Raportti toimitetaan joko komentorivillä tai erillisen sähköpostiosoitteen kautta.

Voit muokata Logwatchia helposti mieleiseksesi muokkaamalla /etc/logwatch/conf-polun parametreja. Se tarjoaa myös jotain ylimääräistä valmiiksi kirjoitettujen PERL-komentosarjojen muodossa, mikä helpottaa lokin jäsentämistä.

Logwatch sisältää porrastetun lähestymistavan, ja määritystiedot määritellään kolmessa pääsijainnissa:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

Kaikki oletusasetukset on määritetty tiedostossa /usr/share/logwatch/default.conf/logwatch.conf. Suositeltu käytäntö on jättää tämä tiedosto koskemattomaksi ja luoda sen sijaan oma asetustiedosto polulle /etc/logwatch/conf/ kopioimalla alkuperäinen asetustiedosto ja määrittämällä sitten mukautetut asetukset.

Logwatchin uusin versio on versio 7.5.5, ja se tukee systemd-päiväkirjan kyselyä suoraan journalctl:n avulla. Jos sinulla ei ole varaa omaan lokinhallintatyökaluun, Logwatch antaa sinulle mielenrauhan, kun tiedät, että kaikki tapahtumat kirjataan ja ilmoitukset toimitetaan, jos jokin menee pieleen.

5. Logstash

Logstash on avoimen lähdekoodin palvelinpuolen tietojenkäsittelyputki, joka hyväksyy tietoja useista lähteistä, kuten paikallisista tiedostoista tai hajautetuista järjestelmistä, kuten S3. Sitten se käsittelee lokit ja suppiloi ne alustoihin, kuten Elasticsearch, jossa ne analysoidaan ja arkistoidaan myöhemmin. Se on varsin tehokas työkalu, koska se voi syöttää lokimääriä useista sovelluksista ja lähettää ne myöhemmin eri tietokantoihin tai moottoreihin samanaikaisesti.

Logstash jäsentää jäsentämätöntä dataa ja suorittaa maantieteellisen sijainnin hakuja, anonymisoi henkilökohtaiset tiedot ja skaalaa myös useiden solmujen välillä. Siellä on laaja luettelo tietolähteistä, joita voit saada Logstashin kuuntelemaan, mukaan lukien SNMP, heartbeats, Syslog, Kafka, nukke, Windowsin tapahtumaloki jne.

Logstash luottaa 'beatsiin', jotka ovat kevyitä datatoimittajia, jotka syöttävät tietoja Logstashille jäsentämistä ja jäsentämistä varten jne. Tiedot lähetetään sitten muihin kohteisiin, kuten Google Cloudiin, MongoDB:hen ja Elasticsearchiin indeksointia varten. Logstash on Elastic Stackin avainkomponentti, jonka avulla käyttäjät voivat koota tietoja missä tahansa muodossa, jäsentää niitä ja visualisoida niitä interaktiivisilla kojelaudoilla.

Lisäksi Logstash nauttii laajasta yhteisön tuesta ja säännöllisistä päivityksistä.

Yhteenveto

Siinä se nyt ja muista, että nämä eivät ole kaikkia saatavilla olevia lokinhallintajärjestelmiä, joita voit käyttää Linuxissa. Jatkamme luettelon tarkistamista ja päivittämistä tulevissa artikkeleissa. Toivon, että tämä artikkeli on sinulle hyödyllinen ja voit kertoa meille muista tärkeistä kirjaustyökaluista tai -järjestelmistä jättämällä kommentin.