Cuando un sistema operativo como Linux está en funcionamiento, ocurren muchos eventos y procesos que se ejecutan en segundo plano para permitir un uso eficiente y confiable de los recursos del sistema. Estos eventos pueden ocurrir en el software del sistema, por ejemplo, el proceso init o systemd, o en aplicaciones de usuario como Apache, MySQL, FTP, y muchas más.
Para entender el estado del sistema y de las diferentes aplicaciones y cómo están funcionando, los Administradores de Sistema tienen que revisar los archivos de registro diariamente en entornos de producción.
Puedes imaginarte tener que revisar archivos de registro de varias áreas del sistema y aplicaciones, ahí es donde entran en juego los sistemas de registro. Ayudan a monitorear, revisar, analizar e incluso generar informes a partir de diferentes archivos de registro configurados por un Administrador de Sistema.
En este artículo, vamos a analizar los cuatro sistemas de gestión de registros de código abierto más utilizados en Linux hoy en día. El protocolo de registro estándar en la mayoría, si no en todas las distribuciones hoy en día, es Syslog.
Tabla de Contenidos
1. ManageEngine EventLog Analyzer
ManageEngine EventLog Analyzer es una solución de gestión de registros en las instalaciones diseñada para empresas de todos los tamaños en diversas industrias como tecnología de la información, salud, comercio minorista, finanzas, educación y más. La solución proporciona a los usuarios tanto la recopilación de registros basada en agentes como sin agentes, capacidades de análisis de registros, un potente motor de búsqueda de registros y opciones de archivo de registros.
Con funcionalidad de auditoría de dispositivos de red, permite a los usuarios monitorear sus dispositivos de usuario final, firewalls, enrutadores, conmutadores y más en tiempo real. La solución muestra los datos analizados en forma de gráficos e informes intuitivos.
Los mecanismos de detección de incidentes de EventLog Analyzer, como la correlación de registros de eventos, la inteligencia de amenazas, la implementación del marco MITRE ATT&CK, análisis de amenazas avanzadas y más, ayudan a detectar amenazas de seguridad tan pronto como ocurren.
El sistema de alerta en tiempo real alerta a los usuarios sobre actividades sospechosas, para que puedan priorizar las amenazas de seguridad de alto riesgo. Con un sistema de respuesta a incidentes automatizado, los Centros de Operaciones de Seguridad (SOCs) pueden mitigar las amenazas potenciales.
La solución también ayuda a los usuarios a cumplir con varios estándares de cumplimiento de IT como PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR, y más. Los servicios basados en suscripción se ofrecen dependiendo del número de fuentes de registro para monitoreo. El soporte está disponible para los usuarios a través de teléfono, videos de productos y una base de conocimientos en línea.
2. Graylog 2
Graylog es una herramienta líder de gestión de registros centralizados, robusta y de código abierto, que se utiliza ampliamente para recopilar y revisar registros en varios entornos, incluidos los entornos de prueba y producción. Es fácil de configurar y es muy recomendable para pequeñas empresas.
Graylog te ayuda a recopilar fácilmente datos de múltiples dispositivos, incluidos switches de red, routers y puntos de acceso inalámbricos. Se integra con el motor de análisis Elasticsearch y aprovecha MongoDB para almacenar datos y los registros recopilados ofrecen información profunda y son útiles para solucionar fallas y errores del sistema.
Con Graylog, obtienes una interfaz web ordenada y fácil de usar con paneles geniales que te ayudan a rastrear datos sin problemas. Además, obtienes un conjunto de herramientas y funcionalidades ingeniosas que ayudan en la auditoría de cumplimiento, la búsqueda de amenazas y mucho más. Puedes habilitar notificaciones de tal manera que se genere una alerta cuando se cumpla cierta condición o ocurra un problema.
En general, Graylog hace un trabajo bastante bueno recopilando grandes cantidades de datos y simplificando la búsqueda y análisis de datos. La última versión es Graylog 5.2.4 y ofrece nuevas características como el modo oscuro, integración con Slack y ElasticSearch y mucho más.
3. Logcheck
Logcheck es otra herramienta de monitoreo de registros de código abierto que se ejecuta como un trabajo cron. Filtra a través de miles de archivos de registro para detectar violaciones o eventos del sistema que se desencadenan. Logcheck luego envía un resumen detallado de las alertas a una dirección de correo electrónico configurada para alertar a los equipos de operación de un problema como una violación no autorizada o una falla del sistema.
Este sistema de registro desarrolla tres niveles diferentes de filtrado de archivos de registro que incluyen:
- Paranoid: está destinado a sistemas de alta seguridad que están ejecutando la menor cantidad posible de servicios.
- Servidor: este es el nivel de filtrado predeterminado para logcheck y sus reglas están definidas para muchos demonios de sistema diferentes. Las reglas definidas bajo el nivel paranoico también están incluidas en este nivel.
- Estación de trabajo: es para sistemas protegidos y ayuda a filtrar la mayoría de los mensajes. También incluye reglas definidas bajo los niveles paranoico y de servidor.
Logcheck también es capaz de clasificar los mensajes a reportar en tres posibles capas que incluyen eventos de seguridad, eventos del sistema y alertas de ataque al sistema. Un Administrador de sistemas puede elegir el nivel de detalle al que se informan los eventos del sistema dependiendo del nivel de filtrado, aunque esto no afecta a los eventos de seguridad y alertas de ataque al sistema.
Logcheck proporciona las siguientes características:
- Plantillas de informes predefinidas.
- A mechanism for filtering logs using regular expressions.
- Notificaciones por correo electrónico instantáneas.
- Alertas de seguridad instantáneas.
4. Logwatch
Logwatch es una aplicación de recopilación y análisis de registros de código abierto y altamente personalizable. Analiza tanto los registros del sistema como de aplicaciones y genera un informe sobre cómo están funcionando las aplicaciones. El informe se entrega ya sea en la línea de comandos o a través de una dirección de correo electrónico dedicada.
Puedes personalizar fácilmente Logwatch según tus preferencias modificando los parámetros en la ruta /etc/logwatch/conf. También proporciona algo extra en forma de scripts PERL preescritos para facilitar el análisis de registros.
Logwatch viene con un enfoque escalonado y hay 3 ubicaciones principales donde se definen los detalles de configuración:
- /usr/share/logwatch/default.conf/*
- /etc/logwatch/conf/dist.conf/*
- /etc/logwatch/conf/*
Todos los ajustes predeterminados se definen en el archivo /usr/share/logwatch/default.conf/logwatch.conf. La práctica recomendada es dejar este archivo intacto y en su lugar crear tu propio archivo de configuración en la ruta /etc/logwatch/conf/ copiando el archivo de configuración original y luego definiendo tus ajustes personalizados.
La última versión de Logwatch es la versión 7.10 y proporciona soporte para consultar directamente el diario systemd utilizando journalctl. Si no puedes permitirte una herramienta de gestión de registros propietaria, Logwatch te dará tranquilidad al saber que todos los eventos se registrarán y se enviarán notificaciones en caso de que algo salga mal.
5. Logstash
Logstash es un canal de procesamiento de datos de código abierto en el servidor que acepta datos de una multitud de fuentes, incluidos archivos locales o sistemas distribuidos como S3. Luego procesa los registros y los dirige a plataformas como Elasticsearch donde se analizan y archivan más tarde. Es una herramienta bastante potente ya que puede ingerir volúmenes de registros de múltiples aplicaciones y luego enviarlos a diferentes bases de datos o motores al mismo tiempo.
Logstash estructura datos no estructurados y realiza búsquedas de geolocalización, anonimiza datos personales y se escala en múltiples nodos también. Hay una extensa lista de fuentes de datos a las que puedes hacer que Logstash escuche, incluidas SNMP, latidos cardíacos, Syslog, Kafka, títere, registro de eventos de Windows, etc.
Logstash se basa en ‘beats’ que son transportadores de datos ligeros que alimentan datos a Logstash para su análisis y estructuración, etc. Los datos se envían entonces a otros destinos como Google Cloud, MongoDB y Elasticsearch para su indexación. Logstash es un componente clave de Elastic Stack que permite a los usuarios recopilar datos en cualquier forma, analizarlos y visualizarlos en paneles interactivos.
Lo que es más, es que Logstash cuenta con un amplio soporte comunitario y actualizaciones regulares.
Resumen
Eso es todo por ahora y recuerda que estos no son todos los sistemas de gestión de registros disponibles que puedes usar en Linux. Seguiremos revisando y actualizando la lista en futuros artículos. Espero que encuentres útil este artículo y puedas informarnos sobre otras herramientas o sistemas de registro importantes que haya dejando un comentario.
Source:
https://www.tecmint.com/best-linux-log-monitoring-and-management-tools/