Данашњи системи генеришу много података за евиденцију. На многим платформама, сваки појединачни догађај, важан или не, негде је евидентиран. Дневници се обично чувају локално. Ово има смисла јер су евиденције повезане са њиховим извором. Али када покушавамо да решимо проблеме и пронађемо њихов основни узрок, то често значи да морамо да погледамо више датотека евиденције на бројним уређајима. Зар не би било лепо да се сви записи са свих уређаја чувају на једном месту? Управљање дневником је то и много више, као што ћете ускоро сазнати. А данас прегледамо врхунске системе за управљање евиденцијама.
Почећемо тако што ћемо покушати да објаснимо шта је управљање евиденцијама. Као што ћете видети, то може бити много више од централизованог складиштења дневника. Затим ћемо причати о протоколима за евидентирање. То је веома важно јер управљање евиденцијама вероватно не би постојало без њих. Затим ћемо покушати да разликујемо сислог сервере од система за управљање евиденцијама. Нажалост, између њих нема јасне границе. У наставку ћемо дискутовати о безбедносним информацијама и системима за управљање догађајима јер је ово још један тип система који се често меша са управљањем евиденцијама, захваљујући помало нејасној дефиницији сваког од њих. И на крају, прегледаћемо осам најбољих система за управљање евиденцијама које смо могли да пронађемо.
Преглед садржаја
Управљање дневником – шта је то
Пре него што почнемо да причамо о управљању дневником, хајде да видимо шта је дневник. Једноставно дефинисано, дневник је аутоматски произведена и временски означена документација догађаја релевантних за одређени систем. Кад год се неки догађај деси на систему, генерише се евиденција. Различити системи ће генерисати евиденције за различите догађаје и многи системи дају администраторима одређени степен контроле над тим шта генерише евиденцију, а шта не.
Када говоримо о управљању евиденцијом, мислимо на процесе и политике који се користе за администрирање и олакшавање генерисања, преноса, анализе, складиштења, архивирања и евентуалног одлагања великих количина података дневника. Управљање дневником подразумева централизован систем где се прикупљају евиденције из више извора.
Али управљање евиденцијама није само прикупљање дневника. Управљачки део је најважнији. Системи за управљање евиденцијама обично имају више функција, а прикупљање дневника је само једна од њих.
Када систем за управљање евиденцијама прими евиденције, потребно их је „превести“ у заједнички формат. Различити системи различито форматирају дневнике и укључују различите податке у своје дневнике. Неки започињу дневник са датумом и временом, неки га започињу бројем догађаја. Неки укључују само ИД дневника, док други укључују пун текстуални опис догађаја. Једна од сврха система за управљање дневником је да осигура да се сви прикупљени записи чувају у јединственом формату. Ово ће учинити претрагу и корелацију догађаја много лакшим у наставку.
Говорећи о претраживању, па чак и корелацији, ово је још једна важна функција многих система за управљање дневником. Неки од њих имају моћан претраживач који омогућава администраторима да прецизно одреде оно што им је потребно. Функције корелације ће аутоматски груписати повезане догађаје, чак и ако су из различитих извора. Како – и колико успешно – различити системи за управљање евиденцијама то постижу је главни фактор диференцијације.
Логгинг Протоцолс
Управљање дневником би било много теже, ако је икако могуће, да није протокола за евидентирање. Постоји неколико њих који дефинишу који подаци треба да буду укључени у евиденције, како их треба форматирати и како треба да се преносе између система.
Сислог је вероватно најчешће коришћени протокол за евидентирање. Измишљен раних осамдесетих, постао је де-факто стандард за системе сличне Уник-у. Једна од највећих предности сислог протокола је начин на који одваја софтвер који генерише евиденције, систем који их складишти и софтвер који их извештава и анализира. Коришћење Сислог протокола чини управљање евиденцијама много лакшим. Многи уређаји који нису Уник, као што су свичеви рутери и друга мрежна опрема многих произвођача користе варијанту сислог протокола.
Мицрософт Виндовс, као што сте можда претпоставили, користи другачији систем евидентирања. Можда има везе са чињеницом да Виндовс оперативни системи и апликације имају евиденције које обично садрже много више информација него што дозвољава системски дневник. На срећу, функције Виндовс сакупљача догађаја обезбеђују средство које системи за управљање евиденцијама могу да користе за примање догађаја од Виндовс хостова.
Без обзира који се протокол евидентирања користи, важан део управљања евиденцијама је конфигурисање уређаја да шаљу своје евиденције систему за управљање. Ово се разликује од других алата као што су системи за праћење мреже, где алат преузима податке са хостова.
Лог сервери против управљања евиденцијом
Пошто је већ дуже време доступан на сваком систему сличном Уник-у, Сислог се често користи као сервер за евиденцију са једним рачунаром који прима сислог податке од неколико других. Иако ово централизовано складиштење дневника има одређене предности, то није управљање евиденцијама.
Да би заслужио име Система за управљање евиденцијом, производ мора да садржи бар неке од напреднијих функција. Према Википедији, управљање евиденцијама се састоји од следећих функција: прикупљање дневника, централизовано агрегирање дневника, дугорочно складиштење и задржавање дневника, ротација дневника, анализа дневника, претрага дневника и извештавање. Лог сервери често нуде само прикупљање и складиштење дневника и ретко више од тога. Сваки од система за управљање евиденцијама на нашој топ листи нуди барем неке од напреднијих функција.
Шта је са СИЕМ системима?
Још једна популарна технологија која се често повезује са евиденцијама и меша са системима за управљање евиденцијама је управљање безбедносним информацијама и догађајима, или СИЕМ. Ово се прилично разликује од управљања дневником иако је уско повезано. У ствари, неки производи који се рекламирају као системи за управљање евиденцијама су заправо СИЕМ системи, док неки основни СИЕМ системи нису ништа друго до системи за управљање евиденцијама.
Главни разлог за ту конфузију је тај што је управљање евиденцијама — или барем анализа дневника — важна компонента СИЕМ система. У ствари, СИЕМ системи обично подижу управљање евиденцијама на виши ниво додавањем неке интелигенције процесу. Ови системи врше анализу дневника са крајњим циљем да идентификују безбедносне проблеме. Они ће, на пример, тражити знаке неуспешних пријављивања који би указивали на покушај неовлашћеног упада. Ови системи ће аутоматски скенирати уносе у дневник тражећи било шта необично.
СИЕМ системи имају више везе са ИТ безбедношћу него са ИТ управљањем и док неки укључују опсежне функције управљања евиденцијама, многи такође могу да користе екстерне системе за управљање евиденцијама и није неуобичајено видети оба система како раде један поред другог.
Најбољи софтвер за управљање дневником
Сада када имамо заједничко разумевање шта је управљање евиденцијама, а шта није, хајде да погледамо шта је доступно. На тржишту смо тражили неке од најбољих система за управљање евиденцијама. Наш почетни налаз је да их има много и да су многи од њих веома добри. Али имамо само толико простора, тако да ћемо прегледати осам најзанимљивијих које смо могли пронаћи.
1. СоларВиндс Папертраил
СоларВиндс је уобичајено име у области алата за мрежну администрацију. Постоји скоро 20 година и донео нам је један од најбољих алата за праћење пропусног опсега и један од најбољих НетФлов анализатора и колектора. Компанија је такође позната по објављивању неколико бесплатних алата који се баве неким специфичним потребама мрежних администратора, као што су калкулатор подмреже или системски сервер.
Пре неколико година, СоларВиндс је купио Папертраил, популаран систем за управљање дневником. Он агрегира датотеке евиденције из широког спектра популарних производа као што су Апацхе или МиСКЛ, као и Руби он Раилс апликације, различите услуге хостинга у облаку и друге стандардне текстуалне датотеке евиденције. Папертраил корисници тада могу да користе интерфејс за претрагу заснован на вебу или алате командне линије за претрагу ових датотека како би помогли у дијагностицирању грешака и проблема са перформансама. Папертраил такође се интегрише са другим СоларВиндс производима као што су Либрато и Гецкобоард за графичке резултате.
Папертраил је софтвер као услуга (СааС) заснован на облаку који нуди СоларВиндс. Лако је имплементирати, користити и разумети. И то ће вам дати тренутну видљивост у свим системима за неколико минута. Алат има веома ефикасан претраживач који може претраживати и ускладиштене и стримоване дневнике. И то је муњевито.
Папертраил је доступан у оквиру неколико планова укључујући бесплатни план. Међутим, донекле је ограничен и дозвољава само 100 МБ евиденције сваког месеца. Међутим, то ће омогућити 16 ГБ евиденције у првом месецу, што је еквивалентно бесплатном пробном периоду од 30 дана. Плаћени планови почињу од 7 УСД месечно за 1 ГБ/месечно евиденције, 1 годину архиве и 1 недељу индекса. Филтрирање буке омогућава алату да сачува податке не чувајући бескорисне евиденције.
2. СоларВиндс Лог & Евент Манагер (бесплатна пробна верзија)
Наш следећи унос је још један производ компаније СоларВиндс под називом СоларВиндс Менаџер дневника и догађаја. За разлику од нашег претходног уноса, ово је локално инсталиран производ. И то је такође много више од обичног система за управљање евиденцијом. Многе напредне карактеристике овог производа стављају га у СИЕМ асортиман. На пример, има корелацију вентилације у реалном времену и санацију у реалном времену.
Ево прегледа СоларВиндс Лог & Евент Манагерглавне карактеристике. Брзо елиминише претње користећи тренутно откривање сумњивих активности и аутоматизоване одговоре. Такође може да обавља истрагу безбедносних догађаја и форензику ради ублажавања и усклађености. А када говоримо о усаглашености, производ ће вам омогућити да то демонстрирате, захваљујући извештајима доказаним ревизијом за ХИПАА, ПЦИ ДСС и СОКС, између осталих. Овај алат такође има праћење интегритета датотека и надгледање УСБ уређаја, две карактеристике које су далеко изнад онога што обично видимо у системима за управљање евиденцијама.
Цене за СоларВиндс Лог & Евент Манагер почиње од 4.585 долара за до 30 надгледаних чворова. Лиценце за до 2500 чворова се могу купити, чинећи производ високо скалабилним. А ако желите да практично проверите да ли је производ прави за вас, доступна је бесплатна, потпуно функционална пробна верзија од 30 дана.
3. ипсвитцх Лог Манагемент Суите
Тхе Лог Манагемент Суите је алатка компаније Ипсвитцх, исте компаније која нам је донела ВхатсУп Голд, изузетно популаран алат за праћење мреже. Ово је аутоматизовани алат који прикупља, складишти, архивира и чува системске евиденције, Виндовс догађаје и В3Ц/ИИЦ евиденције. Штавише, његов континуирани надзор дневника ће вас упозорити на сваку сумњиву активност.
Догађаји који се често ревидирају као што су права приступа и привилегије датотека, фасцикли и објеката могу се пратити, генеришући упозорења по потреби и користити за прављење извештаја о усклађености за усклађеност са ХИПАА, СОКС, ФИСМА, ПЦИ, МиФИД или Басел ИИ. Алат вам такође може помоћи да трансформишете своје необрађене податке дневника у значајне податке за менаџере или ИТ безбедносне тимове, захваљујући функцијама аутоматског филтрирања, повезивања, извештавања и конверзије.
Информације о ценама за Лог Манагемент Суите није лако доступан од Ипсвитцх-а. Производ се може купити или директно од издавача или преко Ипсвитцх-ове мреже препродавача. Доступна је и бесплатна пробна верзија.
4. МанагеЕнгине ЕвентЛог Анализер
МанагеЕнгине, још једно уобичајено име код мрежног администратора, чини одличан систем за управљање евиденцијама под називом МанагеЕнгине ЕвентЛог Анализер. Производ ће прикупљати, управљати, анализирати, корелирати и претраживати податке дневника преко 700 извора користећи комбинацију или прикупљање дневника без агената и агента, као и увоз дневника.
Брзина је једна од МанагеЕнгине ЕвентЛог Анализерснага. Може да обрађује податке дневника са импресивних 25.000 логова у секунди и открива нападе у реалном времену. Такође може да изврши брзу форензичку анализу како би смањио утицај кршења. Могућности ревизије система се проширују на евиденције уређаја периметра мреже, активности корисника, промене налога сервера, приступе корисника и још много тога, помажући вам да испуните потребе безбедносне ревизије.
Тхе МанагеЕнгине ЕвентЛог Анализер је доступан у бесплатном издању са смањеним функцијама које подржава само 5 извора евиденције или у премиум издању које почиње од 595 УСД и варира у зависности од броја уређаја и апликација. Доступна је и бесплатна, потпуно функционална пробна верзија од 30 дана.
5. Нагиос Лог Сервер
Нагиос је најпознатији по свом одличном софтверу за праћење мреже, али његов Лог Сервер је вероватно једнако занимљив. Прикладно названа Нагиос Лог Сервер, нуди централизовано управљање евиденцијама, праћење и анализу. Тхе Нагиос Лог Сервер поједностављује процес претраживања ваших података дневника. Такође вам омогућава да подесите упозорења да будете обавештени о потенцијалним претњама. Штавише, софтвер има високу доступност и могућност преласка на грешку. Његови чаробњаци за једноставно подешавање извора ће вам помоћи да брзо конфигуришете сервере да шаљу све податке евиденције и започнете надгледање ваших евиденција за неколико минута .
Тхе Нагиос Лог Сервер омогућава вам да лако повежете догађаје дневника на свим серверима у само неколико кликова. И омогућава вам да видите податке дневника у реалном времену, дајући вам могућност да анализирате и решавате проблеме како се појаве. Производ има импресивну скалабилност и наставиће да задовољава ваше потребе како ваша организација буде расла. Додатни Нагиос Лог Сервер инстанце се могу додати у кластер за надгледање, што вам омогућава да брзо додате више снаге, брзине, складиштења и поузданости.
Цена за једну инстанцу за Нагиос Лог Сервер кошта 3 995 долара и иако изгледа да бесплатна пробна верзија није доступна, бесплатна онлајн демо верзија је ако више волите да погледате производ из прве руке.
6. Алерт Логиц Лог Манагер
Примарни фокус Алерт Логиц-а је безбедност и усклађеност. А пошто је управљање евиденцијама уско повезано са оба, није изненађење што компанија нуди Алерт Логиц Лог Манагер. Овај алат заснован на облаку нуди аутоматизовано и обједињено управљање евиденцијама у свим вашим окружењима. Он ће прикупљати, агрегирати и претраживати податке дневника из облака, сервера, апликација, сигурности и мрежних средстава.
Тхе Алерт Логиц Лог Манагер укључује праћење и анализу дневника, као и преглед дневника који уживо раде људски анализатори. Стручњаци Алерт Логиц-а ће вас упозорити на могуће претње 365 дана у години. Услуга ће такође помоћи да се испуне захтеви за преглед евиденције СОЦ 2, ХИПАА и СОКС и растеретити терет прегледа евиденције и праћења догађаја, како би се ускладили са ПЦИ/ДСС 10.6, 10.6.1, 10.6.3
Информације о ценама за Алерт Логиц Лог Манагер није лако доступан са веба и мораћете да контактирате Алерт Логиц продају да бисте добили званичну понуду. Бесплатна пробна верзија такође није доступна, али бесплатна демо верзија се може договорити тако што ћете контактирати Алерт Логиц.
7. ЛогДНА
Основан 2015. ЛогДНА је нови клинац у блоку. Компанија тврди да „ЛогДНА је најбржи, најинтуитивнији и најисплативији систем за управљање дневником”. Све почиње инсталацијом која траје само неколико минута пре него што почнете да надгледате своје евиденције. Без обзира на то како се евиденције генеришу и преносе, доступне су стотине прилагођених шема интеграције за централизацију евиденција у једном окну.
ЛогДНА може бити засновано на облаку или самостално, у зависности од ваших жеља. Веома је скалабилан и може да обради стотине хиљада дневника у секунди и десетине терабајта по кориснику, дневно уз потпуну сигурност уз анализу дневника у реалном времену. Компанија и њени производи су усаглашени са СОЦ2, ПЦИ и ХИПАА, као и са Приваци Схиелд сертификатом.
Са својим једноставним моделом цена за плаћање по ГБ који елиминише уговоре и фиксне групе података, компанија има једну од најнижих укупних трошкова власништва. Доступно је неколико планова претплате са све већим функцијама. План доњег нивоа је бесплатан, а плаћени планови варирају од 1,50 УСД/ГБ/месечно до 3 УСД/ГБ/месечно у зависности од трајања задржавања и броја корисника. Доступна је и бесплатна, потпуно функционална пробна верзија од 14 дана.
8. Граилог
Последњи на нашој листи је производ под називом Граилог. Производ нуди многе занимљиве карактеристике. Алат ће анализирати и обогатити евиденције и податке о догађајима из било ког извора података. Његови цевоводи за обраду омогућавају одређену флексибилност у рутирању, стављању на црну листу, модификовању и обогаћивању порука у реалном времену. Граилог ће претраживати терабајте података дневника да открије и анализира важне информације. Моћна синтакса претраживања омогућава вам да пронађете управо оно што тражите.
Витх Граилог, можете да креирате контролне табле да бисте визуелизовали метрику и посматрали трендове на једној централној локацији. Можете да користите статистику поља, брзе вредности и графиконе са странице са резултатима претраге да бисте уронили у дубљу анализу својих података. Систем такође има опцију да покрене радње или изда обавештења о догађајима као што су неуспели покушаји пријављивања, изузеци или деградација перформанси.
Граилог је доступна или као бесплатна верзија отвореног кода, ограничена функцијама која такође има ограничену подршку или као верзија за предузећа са проширеним функцијама и неограниченом подршком. Пробна лиценца се такође може добити контактирањем Граилог продаја.