5 أدوات مفتوحة المصدر لمراقبة وإدارة السجلات في نظام Linux

الدروس التعليمية

عند تشغيل نظام تشغيل مثل Linux ، هناك العديد من الأحداث التي تحدث والعمليات التي تعمل في الخلفية لتمكين استخدام موارد النظام بكفاءة وموثوقية. يمكن أن تحدث هذه الأحداث في البرامج النظامية مثل عملية init أو systemd أو التطبيقات الخاصة بالمستخدم مثل Apache، MySQL، FTP، والعديد من الآخرين.

من أجل فهم حالة النظام والتطبيقات المختلفة وكيفية عملها ، يتعين على مسؤولي النظام مراجعة ملفات السجل بشكل يومي في بيئات الإنتاج.

يمكنك تخيل الحاجة إلى مراجعة ملفات السجل من عدة مجالات نظام وتطبيقات ، وهنا تأتي أنظمة تسجيل السجلات بمساعدة. فهي تساعد في مراقبة ومراجعة وتحليل وحتى إنشاء تقارير من ملفات السجل المختلفة كما يتم تكوينها من قبل مسؤول النظام.

قد تعجبك أيضًا:

في هذا المقال، سنلقي نظرة على أفضل أربعة أنظمة إدارة تسجيل السجلات مفتوحة المصدر المستخدمة بشكل أساسي في Linux اليوم، بروتوكول تسجيل السجلات القياسي في معظم التوزيعات اليوم هو Syslog.

١. تحليل السجلات من مدير المحركات

تحليل السجلات من مدير المحركات هو حل إدارة السجلات المبني على الأرض مصمم للشركات من جميع الأحجام في مختلف الصناعات مثل تكنولوجيا المعلومات والصحة والتجزئة والمالية والتعليم وغيرها. يوفر الحل للمستخدمين قدرات جمع السجلات بالوكيل وبدون وكذلك قدرات تحليل السجلات ومحرك بحث سجلات قوي وخيارات أرشفة السجلات.

بفضل وظيفة التدقيق في أجهزة الشبكة، يمكن للمستخدمين مراقبة أجهزة المستخدمين النهائية وجدران الحماية وموجهات الشبكة ومفاتيح التبديل وغيرها بشكلٍ فوري. يعرض الحل البيانات المحللة على شكل رسوم بيانية وتقارير بديهية.

آليات كشف الحوادث في تحليل السجلات مثل ترابط سجل الحدث والمخابرات التهديدية وتنفيذ إطار MITRE ATT&CK وتحليل التهديدات المتقدمة وغير ذلك، تساعد على اكتشاف التهديدات الأمنية بمجرد وقوعها.

ينبه نظام التنبيه في الوقت الحقيقي المستخدمين إلى الأنشطة المشبوهة، حتى يتمكنوا من إعطاء الأولوية للتهديدات الأمنية ذات المخاطر العالية. مع نظام استجابة الحوادث التلقائي، يمكن لمراكز العمليات الأمنية التصدي للتهديدات المحتملة.

الحل أيضًا يساعد المستخدمين على الامتثال لمعايير الامتثال التكنولوجيا المختلفة مثل PCI DSS و ISO 27001 و GLBA و SOX و HIPAA و CCPA و GDPR وأكثر من ذلك. يتم تقديم خدمات على أساس اشتراكي حسب عدد مصادر السجلات التي يتم مراقبتها. يتم توفير الدعم للمستخدمين عبر الهاتف وفيديوهات المنتج وقاعدة المعرفة الإلكترونية.

ManageEngine EventLog Analyzer

2. Graylog 2

Graylog هو أداة ادارة التسجيل المركزية مفتوحة المصدر وقوية الرائدة التي تستخدم على نطاق واسع لجمع ومراجعة السجلات عبر مختلف البيئات بما في ذلك البيئات التجريبية والإنتاجية. من السهل إعداده ويوصى به لدى الشركات الصغيرة.

Graylog – Linux Leading Log Management

Graylog يساعدك على جمع البيانات بسهولة من الأجهزة المختلفة بما في ذلك مفاتيح الشبكة والموصلات ونقاط الوصول اللاسلكية. يتم تكامله مع محرك التحليل Elasticsearch ويستغل MongoDB لتخزين البيانات والسجلات المجمعة توفر رؤى عميقة ومفيدة في إصلاح أخطاء النظام والأخطاء.

مع Graylog، تحصل على واجهة مستخدم ويب أنيقة ومنمقة مع لوحات تحكم رائعة تساعدك على تتبع البيانات بسهولة. بالإضافة إلى ذلك، تحصل على مجموعة من الأدوات الرائعة والوظائف التي تساعد في التدقيق التوافقي والبحث عن التهديدات والمزيد من ذلك بكثير. يمكنك تمكين الإشعارات بحيث يتم تشغيل تنبيه عندما تتوافر شرط معين أو يحدث مشكلة.

بشكل عام، تقوم Graylog بعمل جيد جدًا في تجميع كميات كبيرة من البيانات وتبسيط البحث وتحليل البيانات. الإصدار الأحدث هو Graylog 5.2.4 ويقدم ميزات جديدة مثل وضع الظلام، والتكامل مع سليك و ElasticSearch والمزيد من ذلك بكثير.

3. Logcheck

Logcheck هو أداة مراقبة سجل مفتوحة المصدر أخرى تُشغَّل كمهمة cron. يقوم بتصفية آلاف ملفات السجل لاكتشاف انتهاكات أو أحداث نظام تُشغِّل. بعد ذلك، يُرسل Logcheck ملخصًا مفصلًا للتنبيهات إلى عنوان بريد إلكتروني مُكوَّن مُسبقًا لتنبيه فرق العمليات بوجود مشكلة مثل اختراق غير مصرح به أو عطل في النظام.

Logcheck Scans System Logs

تم تطوير ثلاثة مستويات مختلفة من تصفية سجل الملفات في هذا النظام الذي يتضمن:

  • مفتون: مخصص للأنظمة عالية الأمان التي تعمل بأقل عدد ممكن من الخدمات.
  • الخادم: هذا هو مستوى التصفية الافتراضي لبرنامج logcheck وتحدد قواعده لعدة سجلات نظام مختلفة. تشمل القواعد المحددة تحت مستوى الشكوك أيضًا ضمن هذا المستوى.
  • محطة العمل: هذا المستوى مخصص للأنظمة المحمية ويساعد في تصفية معظم الرسائل. كما يتضمن القواعد المحددة ضمن مستويات الشكوك والخادم أيضًا.

يمكن لبرنامج logcheck أيضًا فرز الرسائل التي يتعين الإبلاغ عنها إلى ثلاث طبقات محتملة تتضمن الأحداث الأمنية وأحداث النظام وتنبيهات هجمات النظام. يمكن لمسؤول النظام اختيار مستوى التفاصيل التي يتم الإبلاغ عن أحداث النظام وذلك اعتمادًا على مستوى التصفية، على الرغم من أن هذا لا يؤثر على الأحداث الأمنية وتنبيهات هجمات النظام.

يوفر برنامج logcheck الميزات التالية:

  • قوالب تقارير محددة مسبقًا.
  • A mechanism for filtering logs using regular expressions.
  • إشعارات البريد الإلكتروني الفورية.
  • تنبيهات الأمان الفورية.

4. Logwatch

Logwatch هو تطبيق جمع وتحليل سجلات مفتوح المصدر وقابل للتخصيص بشكل كبير. يحلل كلاً من سجلات النظام والتطبيق ويولد تقريرًا حول كيفية تشغيل التطبيقات. يتم توصيل التقرير إما عبر سطر الأوامر أو من خلال عنوان بريد إلكتروني مخصص.

Logwatch Linux Log Analyzer

يمكنك بسهولة تخصيص Logwatch وفقًا لتفضيلاتك عن طريق تعديل المعلمات في المسار /etc/logwatch/conf. كما يوفر شيئًا إضافيًا في شكل سكريبتات PERL مكتوبة مسبقًا لتسهيل تحليل السجلات.

Logwatch يأتي بنهج متدرج وهناك 3 مواقع رئيسية حيث يتم تحديد تفاصيل التكوين:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

جميع الإعدادات الافتراضية محددة في ملف /usr/share/logwatch/default.conf/logwatch.conf. الممارسة الموصى بها هي ترك هذا الملف سليمًا وبدلاً من ذلك إنشاء ملف تكوين خاص بك في المسار /etc/logwatch/conf/ عن طريق نسخ ملف التكوين الأصلي ومن ثم تحديد الإعدادات المخصصة الخاصة بك.

آخر إصدار من Logwatch هو الإصدار 7.10 ويوفر دعمًا للاستعلام عن سجل systemd مباشرة باستخدام journalctl. إذا لم تكن قادرًا على تحمل أداة إدارة السجلات الممتلكات، ستوفر لك Logwatch راحة البال بمعرفة أن جميع الأحداث ستتم تسجيلها وسيتم تقديم الإخطارات في حالة حدوث أي مشكلة.

5. Logstash

لوغ ستاش هو خط أنابيب معالجة بيانات مفتوح المصدر على الخادم يقبل البيانات من مصادر متعددة بما في ذلك الملفات المحلية، أو أنظمة موزعة مثل S3. ثم يعالج السجلات ويوجهها إلى منصات مثل إيلاستيك سيرش حيث يتم تحليلها وأرشفتها لاحقًا. إنه أداة قوية للغاية حيث يمكنها استيعاب حجم كبير من السجلات من تطبيقات متعددة ومن ثم إخراجها إلى قواعد بيانات مختلفة أو محركات في نفس الوقت.

Logstash: Collect, Parse, and Transform Logs

لوغ ستاش يهيكل البيانات غير المهيكلة ويقوم بعمليات البحث عن المواقع الجغرافية ويجعل البيانات الشخصية مجهولة، ويتطور عبر عدة عقد أيضًا. هناك قائمة شاملة من مصادر البيانات التي يمكن أن يستمع لها لوغ ستاش بما في ذلك SNMP، heartbeats، Syslog، Kafka، puppet، سجل الأحداث في نظام التشغيل ويندوز، إلخ.

لوغ ستاش يعتمد على “بيتس” التي هي ناقلات بيانات خفيفة الوزن تغذي لوغ ستاش بالبيانات لتحليلها وهيكلتها وما إلى ذلك. يتم إرسال البيانات بعد ذلك إلى وجهات أخرى مثل Google Cloud و MongoDB و Elasticsearch للفهرسة. لوغ ستاش هو عنصر رئيسي في مجموعة Elastic التي تتيح للمستخدمين تجميع البيانات بأي شكل، وتحليلها وتصورها على لوحات تفاعلية.

ما هو أكثر من ذلك، هو أن لوغ ستاش يتمتع بدعم واسع من المجتمع وتحديثات منتظمة.

الملخص

هذا كل شيء حالياً وتذكر أن هذه ليست جميع أنظمة إدارة السجلات المتاحة التي يمكنك استخدامها على نظام التشغيل لينكس. سنواصل مراجعة وتحديث القائمة في مقالات مستقبلية، آمل أن تجد هذا المقال مفيدًا ويمكنك إخبارنا بأدوات أو أنظمة تسجيل البيانات الهامة الأخرى المتوفرة عبر ترك تعليق.

Source:
https://www.tecmint.com/best-linux-log-monitoring-and-management-tools/