Savremeni sistemi proizvode ogromne količine podataka za beleženje. Na brojnim platformama, svaki pojedinačni događaj, bez obzira na njegov značaj, se negde evidentira. Dnevnici se tipično skladište lokalno, što je logično s obzirom da su zapisi vezani za njihov izvor. Međutim, kada se suočavamo sa rešavanjem problema i traženjem njihovih uzroka, često je neophodno pretražiti više datoteka dnevnika na različitim uređajima. Zar ne bi bilo korisno imati sve zapise sa svih uređaja pohranjene na jednom mestu? Upravljanje dnevnicima omogućava upravo to, uz brojne druge prednosti, koje ćete uskoro upoznati. Danas ćemo razmotriti vodeće sisteme za upravljanje evidencijama.
Započećemo sa objašnjenjem šta zapravo predstavlja upravljanje evidencijama. Kao što ćete videti, ovaj koncept obuhvata mnogo više od samo centralizovanog skladištenja dnevnika. Zatim ćemo se osvrnuti na protokole za evidentiranje, koji su od suštinskog značaja jer bez njih upravljanje evidencijama ne bi bilo moguće. Potom ćemo pokušati da napravimo razliku između syslog servera i sistema za upravljanje evidencijama. Nažalost, granica između ova dva koncepta nije uvek jasna. U nastavku ćemo diskutovati o sistemima za upravljanje bezbednosnim informacijama i događajima, jer se i oni često mešaju sa sistemima za upravljanje evidencijama zbog nejasnih definicija. Na kraju, pregledaćemo osam najkvalitetnijih sistema za upravljanje evidencijama koje smo uspeli da pronađemo.
Šta je upravljanje dnevnikom?
Pre nego što detaljnije objasnimo upravljanje dnevnicima, hajde da prvo definišemo šta je dnevnik. Jednostavno rečeno, dnevnik je automatski generisana vremenski označena dokumentacija događaja koji su relevantni za određeni sistem. Svaki put kada se neki događaj desi na sistemu, kreira se zapis u dnevniku. Različiti sistemi generišu zapise za različite događaje, a mnogi sistemi omogućavaju administratorima da donekle kontrolišu šta se evidentira, a šta ne.
Kada govorimo o upravljanju evidencijama, mislimo na procedure i pravila koja se primenjuju za administriranje i olakšavanje generisanja, prenošenja, analize, skladištenja, arhiviranja i konačnog odlaganja ogromnih količina podataka iz dnevnika. Upravljanje dnevnicima podrazumeva centralizovani sistem gde se prikupljaju zapisi iz različitih izvora.
Međutim, upravljanje evidencijama nije samo prikupljanje dnevnika. Ključni aspekt je upravo taj upravljački deo. Sistemi za upravljanje evidencijama obično imaju mnogo različitih funkcija, a prikupljanje dnevnika je samo jedna od njih.
Kada sistem za upravljanje evidencijama primi zapise, potrebno je da ih prevede u jedinstven format. Različiti sistemi različito formatiraju dnevnike i uključuju različite podatke u njih. Neki započinju dnevnik sa datumom i vremenom, neki sa brojem događaja. Neki sadrže samo ID dnevnika, dok drugi uključuju kompletan tekstualni opis događaja. Jedan od ciljeva sistema za upravljanje dnevnikom je da osigura da se svi prikupljeni zapisi čuvaju u standardnom formatu. Ovo će značajno olakšati pretragu i korelaciju događaja u budućnosti.
Pomenuli smo pretraživanje, pa čak i korelaciju, što su dodatne važne funkcije mnogih sistema za upravljanje dnevnikom. Neki od njih poseduju moćan pretraživač koji omogućava administratorima da precizno pronađu ono što im je potrebno. Funkcije korelacije automatski grupišu povezane događaje, čak i ako potiču iz različitih izvora. Način i uspeh različitih sistema za upravljanje evidencijama u postizanju ovoga je ključni faktor koji ih razlikuje.
Protokoli za evidentiranje
Upravljanje dnevnicima bi bilo mnogo teže, ako ne i nemoguće, bez postojanja protokola za evidentiranje. Postoji nekoliko takvih protokola koji definišu koje podatke treba uključiti u zapise, kako ih treba formatirati i kako ih treba prenositi između sistema.
Syslog je verovatno najčešće korišćeni protokol za evidentiranje. Razvijen je ranih osamdesetih i postao je de facto standard za sisteme slične Unix-u. Jedna od najvećih prednosti syslog protokola je način na koji razdvaja softver koji generiše zapise, sistem koji ih skladišti i softver koji ih izveštava i analizira. Upotreba syslog protokola značajno olakšava upravljanje evidencijama. Mnogi uređaji koji nisu Unix, kao što su svičevi, ruteri i druga mrežna oprema raznih proizvođača, koriste neku varijantu syslog protokola.
Microsoft Windows, kao što ste možda pretpostavili, koristi drugačiji sistem evidentiranja. To je verovatno povezano sa činjenicom da Windows operativni sistemi i aplikacije imaju zapise koji obično sadrže mnogo više informacija nego što to dozvoljava sistemski dnevnik. Srećom, funkcije Windows sakupljača događaja pružaju sredstvo koje sistemi za upravljanje evidencijama mogu koristiti za prijem događaja sa Windows hostova.
Bez obzira na protokol evidentiranja koji se koristi, bitan deo upravljanja evidencijama je konfigurisanje uređaja da šalju svoje zapise sistemu za upravljanje. Ovo se razlikuje od drugih alata, kao što su sistemi za nadzor mreže, gde alat preuzima podatke sa hostova.
Log serveri nasuprot upravljanju evidencijom
S obzirom na to da je već dugo dostupan na svakom sistemu sličnom Unix-u, Syslog se često koristi kao server za evidenciju sa jednim računarom koji prima syslog podatke od više drugih. Iako ovo centralizovano skladištenje dnevnika ima određene prednosti, to nije upravljanje evidencijama.
Da bi zaslužio naziv sistema za upravljanje evidencijom, proizvod mora da ima bar neke od naprednijih funkcija. Prema Vikipediji, upravljanje evidencijama obuhvata sledeće funkcije: prikupljanje dnevnika, centralizovano agregiranje dnevnika, dugoročno skladištenje i čuvanje dnevnika, rotaciju dnevnika, analizu dnevnika, pretragu dnevnika i izveštavanje. Log serveri često nude samo prikupljanje i skladištenje dnevnika i retko više od toga. Svaki od sistema za upravljanje evidencijama sa naše top liste nudi bar neke od naprednijih funkcija.
Šta je sa SIEM sistemima?
Još jedna popularna tehnologija koja se često povezuje sa evidencijama i meša sa sistemima za upravljanje evidencijama je upravljanje bezbednosnim informacijama i događajima, ili SIEM. Ovo se značajno razlikuje od upravljanja dnevnikom, iako je usko povezano. Zapravo, neki proizvodi koji se reklamiraju kao sistemi za upravljanje evidencijama su zapravo SIEM sistemi, dok neki osnovni SIEM sistemi nisu ništa drugo do sistemi za upravljanje evidencijama.
Glavni razlog za ovu konfuziju je to što je upravljanje evidencijama – ili bar analiza dnevnika – ključna komponenta SIEM sistema. U stvari, SIEM sistemi obično podižu upravljanje evidencijama na viši nivo dodavanjem određene inteligencije procesu. Ovi sistemi vrše analizu dnevnika sa krajnjim ciljem da identifikuju bezbednosne probleme. Na primer, tražiće znake neuspešnih prijava koji bi mogli ukazivati na pokušaj neovlašćenog pristupa. Ovi sistemi automatski skeniraju unose u dnevnik tražeći bilo šta neobično.
SIEM sistemi su više povezani sa IT bezbednošću nego sa IT upravljanjem i, iako neki uključuju opsežne funkcije upravljanja evidencijama, mnogi takođe mogu koristiti eksterne sisteme za upravljanje evidencijama i nije neobično videti oba sistema kako rade zajedno.
Najbolji softver za upravljanje dnevnikom
Sada kada imamo zajedničko razumevanje šta je upravljanje evidencijama, a šta nije, hajde da pogledamo šta je dostupno. Na tržištu smo tražili neke od najboljih sistema za upravljanje evidencijama. Naš prvi utisak je da ih ima mnogo i da su mnogi od njih veoma dobri. Međutim, imamo ograničen prostor, tako da ćemo pregledati osam najinteresantnijih koje smo uspeli da pronađemo.
1. SolarWinds Papertrail
SolarWinds je dobro poznato ime u oblasti alata za mrežnu administraciju. Postoji skoro 20 godina i doneo nam je jedan od najboljih alata za praćenje propusnog opsega i jedan od najboljih NetFlow analizatora i kolektora. Kompanija je takođe poznata po objavljivanju nekoliko besplatnih alata koji se bave nekim specifičnim potrebama mrežnih administratora, kao što su kalkulator podmreže ili sistemski server.
Pre nekoliko godina, SolarWinds je kupio Papertrail, popularan sistem za upravljanje dnevnikom. On agregira datoteke evidencije iz širokog spektra popularnih proizvoda, kao što su Apache ili MySQL, kao i Ruby on Rails aplikacije, različite usluge hostinga u oblaku i druge standardne tekstualne datoteke evidencije. Korisnici Papertrail-a mogu da koriste interfejs za pretragu zasnovan na vebu ili alate komandne linije za pretraživanje ovih datoteka kako bi pomogli u dijagnostikovanju grešaka i problema sa performansama. Papertrail se takođe integriše sa drugim SolarWinds proizvodima, kao što su Librato i Geckoboard, za grafičke rezultate.
Papertrail je softver kao usluga (SaaS) zasnovan na oblaku koji nudi SolarWinds. Jednostavan je za implementaciju, korišćenje i razumevanje. Pruža trenutni uvid u sve sisteme za samo nekoliko minuta. Alat ima veoma efikasan pretraživač koji može da pretražuje i uskladištene i strimovane dnevnike. Takođe je izuzetno brz.
Papertrail je dostupan u okviru nekoliko planova, uključujući i besplatni plan. Međutim, besplatni plan je donekle ograničen i dozvoljava samo 100 MB evidencije svakog meseca. Međutim, u prvom mesecu omogućava 16 GB evidencije, što je ekvivalentno besplatnom probnom periodu od 30 dana. Plaćeni planovi počinju od 7 USD mesečno za 1 GB/mesečno evidencije, 1 godinu arhive i 1 nedelju indeksa. Filtriranje šuma omogućava alatu da sačuva podatke bez čuvanja nepotrebnih evidencija.
2. SolarWinds Log & Event Manager (besplatna probna verzija)
Naš sledeći unos je još jedan proizvod kompanije SolarWinds pod nazivom SolarWinds Log & Event Manager. Za razliku od prethodnog unosa, ovo je lokalno instaliran proizvod. Takođe, ovaj proizvod nudi mnogo više od običnog sistema za upravljanje evidencijama. Mnoge napredne karakteristike ovog proizvoda svrstavaju ga u SIEM kategoriju. Na primer, ima korelaciju događaja u realnom vremenu i sanaciju u realnom vremenu.
Evo pregleda SolarWinds Log & Event Manager glavnih karakteristika. Brzo eliminiše pretnje koristeći trenutno otkrivanje sumnjivih aktivnosti i automatizovane odgovore. Takođe može da obavlja istragu bezbednosnih događaja i forenziku radi ublažavanja i usklađenosti. Kada govorimo o usklađenosti, ovaj proizvod vam omogućava da je dokažete zahvaljujući izveštajima koji su provereni revizijom za HIPAA, PCI DSS i SOX, između ostalih. Ovaj alat takođe ima praćenje integriteta datoteka i nadgledanje USB uređaja, dve karakteristike koje su daleko iznad onoga što obično viđamo u sistemima za upravljanje evidencijama.
Cene za SolarWinds Log & Event Manager počinju od 4.585 dolara za do 30 nadgledanih čvorova. Licence za do 2500 čvorova se mogu kupiti, što ovaj proizvod čini veoma skalabilnim. Ako želite da praktično proverite da li je proizvod pravi za vas, dostupna je besplatna, potpuno funkcionalna probna verzija od 30 dana.
3. Ipswitch Log Management Suite
Log Management Suite je alat kompanije Ipswitch, iste kompanije koja nam je donela WhatsUp Gold, izuzetno popularan alat za praćenje mreže. Ovo je automatizovani alat koji prikuplja, skladišti, arhivira i čuva sistemske evidencije, Windows događaje i W3C/IIS evidencije. Štaviše, njegov kontinuirani nadzor dnevnika će vas upozoriti na svaku sumnjivu aktivnost.
Događaji koji se često revidiraju, kao što su prava pristupa i privilegije datoteka, fascikli i objekata, mogu se pratiti, generišući upozorenja po potrebi i koristiti za pravljenje izveštaja o usklađenosti za usklađenost sa HIPAA, SOX, FISMA, PCI, MiFID ili Basel II. Alat vam takođe može pomoći da transformišete svoje neobrađene podatke dnevnika u značajne podatke za menadžere ili IT bezbednosne timove, zahvaljujući funkcijama automatskog filtriranja, povezivanja, izveštavanja i konverzije.
Informacije o cenama za Log Management Suite nisu lako dostupne od Ipswitch-a. Proizvod se može kupiti ili direktno od izdavača ili preko Ipswitch-ove mreže preprodavaca. Dostupna je i besplatna probna verzija.
4. ManageEngine EventLog Analyzer
ManageEngine, još jedno poznato ime u svetu mrežnih administratora, nudi odličan sistem za upravljanje evidencijama pod nazivom ManageEngine EventLog Analyzer. Ovaj proizvod prikuplja, upravlja, analizira, koreliše i pretražuje podatke dnevnika iz više od 700 izvora koristeći kombinaciju prikupljanja dnevnika bez agenata i agenta, kao i uvoz dnevnika.
Brzina je jedna od glavnih prednosti ManageEngine EventLog Analyzer-a. Može da obrađuje podatke dnevnika sa impresivnih 25.000 logova u sekundi i otkriva napade u realnom vremenu. Takođe može da izvrši brzu forenzičku analizu kako bi smanjio uticaj kršenja. Mogućnosti revizije sistema se proširuju na evidencije uređaja na perimetru mreže, aktivnosti korisnika, promene naloga servera, pristupe korisnika i još mnogo toga, pomažući vam da ispunite potrebe bezbednosne revizije.
ManageEngine EventLog Analyzer je dostupan u besplatnom izdanju sa smanjenim funkcijama koje podržava samo 5 izvora evidencije ili u premium izdanju koje počinje od 595 USD i varira u zavisnosti od broja uređaja i aplikacija. Dostupna je i besplatna, potpuno funkcionalna probna verzija od 30 dana.
5. Nagios Log Server
Nagios je najpoznatiji po svom odličnom softveru za praćenje mreže, ali njegov Log Server je verovatno jednako zanimljiv. Prikladno nazvan Nagios Log Server, nudi centralizovano upravljanje evidencijama, praćenje i analizu. Nagios Log Server pojednostavljuje proces pretraživanja vaših podataka dnevnika. Takođe vam omogućava da podesite upozorenja kako biste bili obavešteni o potencijalnim pretnjama. Štaviše, softver ima visoku dostupnost i mogućnost prelaska na grešku. Njegovi čarobnjaci za jednostavno podešavanje izvora će vam pomoći da brzo konfigurišete servere da šalju sve podatke evidencije i započnete nadgledanje vaših evidencija za nekoliko minuta.
Nagios Log Server vam omogućava da lako povežete događaje dnevnika na svim serverima u samo nekoliko klikova. Takođe vam omogućava da vidite podatke dnevnika u realnom vremenu, pružajući vam mogućnost da analizirate i rešavate probleme kako se pojave. Proizvod ima impresivnu skalabilnost i nastaviće da zadovoljava vaše potrebe kako vaša organizacija bude rasla. Dodatne Nagios Log Server instance se mogu dodati u klaster za nadgledanje, što vam omogućava da brzo dodate više snage, brzine, skladištenja i pouzdanosti.
Cena za jednu instancu Nagios Log Server-a iznosi 3.995 dolara i, iako izgleda da besplatna probna verzija nije dostupna, besplatna online demo verzija je dostupna ako više volite da pogledate proizvod iz prve ruke.
6. Alert Logic Log Manager
Primarni fokus Alert Logic-a je bezbednost i usklađenost. S obzirom na to da je upravljanje evidencijama usko povezano sa oba, nije iznenađenje što kompanija nudi Alert Logic Log Manager. Ovaj alat zasnovan na oblaku nudi automatizovano i objedinjeno upravljanje evidencijama u svim vašim okruženjima. On će prikupljati, agregirati i pretraživati podatke dnevnika iz oblaka, servera, aplikacija, sigurnosnih i mrežnih sredstava.
Alert Logic Log Manager uključuje praćenje i analizu dnevnika, kao i pregled dnevnika koji uživo rade ljudski analitičari. Stručnjaci Alert Logic-a će vas upozoriti na moguće pretnje 365 dana u godini. Usluga će takođe pomoći da se ispune zahtevi za pregled evidencije SOC 2, HIPAA i SOX i rastereti vas tereta pregleda evidencije i praćenja događaja, kako bi se uskladili sa PCI/DSS 10.6, 10.6.1, 10.6.3.
Informacije o cenama za Alert Logic Log Manager nisu lako dostupne na vebu i moraćete da kontaktirate Alert Logic prodaju da biste dobili zvaničnu ponudu. Besplatna probna verzija takođe nije dostupna, ali se besplatna demo verzija može dogovoriti tako što ćete kontaktirati Alert Logic.
7. LogDNA
Osnovan 2015. godine, LogDNA je novi igrač na tržištu. Kompanija tvrdi da je „LogDNA najbrži, najintuitivniji i najisplativiji sistem za upravljanje dnevnikom”. Sve počinje instalacijom koja traje samo nekoliko minuta pre nego što počnete da nadgledate svoje evidencije. Bez obzira na to kako se evidencije generišu i prenose, dostupne su stotine prilagođenih šema integracije za centralizaciju evidencija u jednom oknu.
LogDNA može biti zasnovan na oblaku ili samostalan, u zavisnosti od vaših želja. Veoma je skalabilan i može da obrađuje stotine hiljada dnevnika u sekundi i desetine terabajta po korisniku, dnevno, uz potpunu sigurnost i analizu dnevnika u realnom vremenu. Kompanija i njeni proizvodi su usklađeni sa SOC2, PCI i HIPAA, kao i sa Privacy Shield sertifikatom.
Sa svojim jednostavnim modelom cena za plaćanje po GB koji eliminiše ugovore i fiksne grupe podataka, kompanija ima jednu od najnižih ukupnih troškova vlasništva. Dostupno je nekoliko planova pretplate sa sve većim funkcijama. Plan nižeg nivoa je besplatan, a plaćeni planovi variraju od 1,50 USD/GB/mesečno do 3 USD/GB/mesečno, u zavisnosti od trajanja zadržavanja i broja korisnika. Dostupna je i besplatna, potpuno funkcionalna probna verzija od 14 dana.
8. Graylog
Poslednji na našoj listi je proizvod pod nazivom Graylog. Ovaj proizvod nudi mnogo zanimljivih karakteristika. Alat će analizirati i obogatiti evidencije i podatke o događajima iz bilo kog izvora podataka. Njegovi cevovodi za obradu omogućavaju određenu fleksibilnost u rutiranju, stavljanju na crnu listu, modifikovanju i obogaćivanju poruka u realnom vremenu. Graylog će pretraživati terabajte podataka dnevnika kako bi otkrio i analizirao važne informacije. Moćna sintaksa pretraživanja vam omogućava da pronađete upravo ono što tražite.
Sa Graylog-om možete kreirati kontrolne table za vizuelizaciju metrike i posmatranje trendova na jednoj centralnoj lokaciji. Možete da koristite statistiku polja, brze vrednosti i grafikone sa stranice sa rezultatima pretrage kako biste detaljnije analizirali svoje podatke. Sistem takođe ima opciju da pokrene radnje ili izda obaveštenja o događajima kao što su neuspeli pokušaji prijavljivanja, izuzeci ili degradacija performansi.
Graylog je dostupan ili kao besplatna verzija otvorenog koda, ograničenih funkcija, koja takođe ima ograničenu podršku, ili kao verzija za preduzeća sa proširenim funkcijama i neograničenom podrškom. Probna licenca se takođe može dobiti kontaktiranjem Graylog prodaje.