5 כלים פתוחים לניטור וניהול לוגים לינוקס

מדריכים

כאשר מערכת ההפעלה כמו Linux רצה, ישנם אירועים רבים המתרחשים ו־תהליכים הרצים ברקע כדי לאפשר שימוש יעיל ואמין במשאבי המערכת. האירועים הללו עשויים להתרחש בתוכנה מערכתית לדוגמה בתהליך init או systemd או ביישומי משתמש כמו Apache, MySQL, FTP, ועוד רבים.

על מנת להבין את מצב המערכת ואת היישומים השונים ואיך הם פועלים, מנהלי מערכות חייבים להמשיך לסקור קבצי יומנים בצורה יומית בסביבות ייצור.

אתה יכול לדמות לעצמך את הצורך לבדוק קבצי יומנים ממספר אזורי מערכת ויישומים שונים, זהו המקום שבו מערכות יומנים מגיעות לידי ביד. הן מסייעות לניטור, סקירה, ניתוח, ואף ליצירת דוחות מקבצי יומנים שונים כפי שמוגדר על ידי מנהל מערכת.

עשוי לעניין אותך גם:

במאמר זה, נבחן את ארבעת המערכות לניהול יומנים בקוד פתוח הנפוצות ביותר ב-Linux היום, פרוטוקול הלוגים התקני ביותר ברוב ההפצות היום הוא Syslog.

1. ניהול מנוהל של אנליזט EventLog של ManageEngine

ניהול מנוהל של אנליזט EventLog של ManageEngine הוא פתרון לניהול לוגים באתר המיועד לעסקים בכל הגדלים בתחומים שונים כגון טכנולוגיות מידע, בריאות, קמעונאות, פיננסים, חינוך ועוד. הפתרון מספק למשתמשים אפשרויות איסוף לוגים בהתבסס על סוכן וללא סוכן, יכולות פירוק לוגים, מנוע חיפוש לוגים עוצמתי ואפשרויות ארכיבה של לוגים.

עם פונקציות רישום מכשירי רשת, הפתרון מאפשר למשתמשים לעקוב אחר מכשירי המשתמש הסופיים שלהם, חומות אש, נתבים, מתגים ועוד בזמן אמת. הפתרון מציג נתונים שננתחים בצורת גרפים ודוחות אינטואיטיביים.

מנגנוני זיהוי אירועים של אנליזט EventLog כגון קורלציה של לוגים, אינטליגנציה לזיהוי איומים, יישום מסגרת MITRE ATT&CK, ניתוח איומים מתקדם ועוד, עוזרים לזהות איומי אבטחה ברגע שהם מתרחשים.

המערכת להתראה בזמן אמת מתריעה למשתמשים על פעילויות חשודות, כך שהם יכולים לתת עדיפות לאיומי אבטחה בסיכון גבוה. עם מערכת תגובה לאירועים אוטומטית, צוותי SOC יכולים להפחית איומים פוטנציאליים.

הפתרון גם עוזר למשתמשים להדביק עם סטנדרטים שונים של הגנה במחשבים כמו PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR ועוד. שירותים מבוססים על חדשות מותקנים לפי מספר מקורות המתעדים לנטרלים. תמיכה נותנת למשתמשים באמצעות טלפון, סרטוני מוצר, ובסיס ידע מקוון.

ManageEngine EventLog Analyzer

2. Graylog 2

Graylog היא כלי ניהול מרכזי על-פתוח וחזק שמשתמשים בו בקנה מידה רחב לאסוף וסריקת מתעדים בסביבות שונות כוללות סביבות בדיקה וסביבות ייצור. הוא קל להגדרה ומומלץ ביעד עסקים קטנים.

Graylog – Linux Leading Log Management

Graylog עוזרת לך לאסוף מידע בקלות ממכשירים רבים כוללים חולים רשת, מעבדים ונקודות גישה אלחוטיות. היא מתחברת עם מנוע אנליטיקסים Elasticsearch ומשתמשת ב MongoDB כדי לאחסן מידע והמתעדים שנאספים מעניינים עמוקה ומועילים בפתרון בעיות ושגיאות במערכת.

Graylog, אתה מקבל גרפים מסודרים ונעימים ב-WebUI עם לוחות בקרה מדליקים שעוזרים לך לעקוב אחר הנתונים בצורה חלקה. בנוסף, אתה מקבל סט של כלים ופונקציות מומחיות שעוזרות בביקורת התאמה, חיפוש איומים ועוד הרבה יותר. ניתן להפעיל התראות בצורה שבה התראה מתפעלת כאשר תנאי מסוים מתקיימים או כאשר מצב אירע.

בכלל, Graylog עושה עבודה די טובה באיסוף כמויות גדולות של נתונים ומפשט את חיפוש וניתוח הנתונים. הגרסה האחרונה היא Graylog 5.2.4 ומציעה תכונות חדשות כגון מצב חשוך, שילוב עם Slack ו-ElasticSearch ועוד הרבה יותר.

3. Logcheck

Logcheck הוא עוד כלי לצפייה בלוגים מקור-פתוח שרץ כמשימת cron. הוא מסנן דרך אלפי קבצי לוג כדי לזהות הפרות או אירועי מערכת שמופעלים. Logcheck משלח סיכום מפורט של ההתראות לכתובת דוא"ל מוגדרת כדי להתריע לצוותי הפעולה על בעיה כגון פריצה לא מורשית או תקלת מערכת.

Logcheck Scans System Logs

שלושה רמות שונות של סינון קבצי לוג פותחו במערכת זו שכוללות:

  • פרנואיד: מיועד למערכות ביטחון גבוה שפועלות עם מינימום שירותים.
  • שרת: זהו רמת הסינון הבסיסית עבור logcheck והכללים שלה הוגדרו עבור הרבה דמונים שונים במערכת. הכללים שהוגדרו ברמת הפראנואיה כוללים גם ברמה זו.
  • תחנת עבודה: זו עבור מערכות מוגנות ועוזרת לסנן רוב ההודעות. זה גם כולל כללים שהוגדרו ברמת הפראנואיה וברמת השרת.

Logcheck גם מסוגל למיין הודעות לדיווח לשלוש שכבות אפשריות שכוללות, אירועי אבטחה, אירועי מערכת, והתראות על תקיפה במערכת. מנהל מערכת יכול לבחור את רמת הפרטים שבה אירועי מערכת מדווחים בהתאם לרמת הסינון אף על פי שזה לא משפיע על אירועי אבטחה והתראות על תקיפות במערכת.

Logcheck מספק את התכונות הבאות:

  • תבניות דוחות מוגדרות מראש.
  • A mechanism for filtering logs using regular expressions.
  • התראות אימייל מיידיות.
  • התראות אבטחה מיידיות.

4. Logwatch

Logwatch הוא יישום לאיסוף וניתוח יומנים פתוח ובעל גמישות גבוהה. הוא מפענח כאן יומנים של מערכת ויישומים ויוצר דוח על איך היישומים פועלים. הדוח מופיע או דרך שורת הפקודה או דרך כתובת דואר אלקטרוני מיועדת.

Logwatch Linux Log Analyzer

ניתן להתאים את Logwatch בקלות לפי העדפותיך על ידי שינוי הפרמטרים בנתיב /etc/logwatch/conf. הוא מספק גם משהו נוסף בדרך של תסריטים מוקדמים שנכתבו מראש ב- PERL כדי להקל על ניתוח הלוגים.

Logwatch מגיע עם גישה בשכבות ויש 3 מיקומים ראשיים בהם נגדיר פרטי תצורה:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

כל ההגדרות הברירת מחדל מוגדרות בקובץ /usr/share/logwatch/default.conf/logwatch.conf. המעשי המומלץ הוא להשאיר קובץ זה בלתי נגוע ובמקום זאת ליצור קובץ תצורה משלך בנתיב /etc/logwatch/conf/ על ידי העתקת הקובץ המקורי לתוך התיקייה ואז הגדרת הגדרות המותאמות אישית שלך.

הגרסה האחרונה של Logwatch היא גרסה 7.10 והיא מספקת תמיכה בשאילתת יומן המערכת של systemd באופן ישיר באמצעות journalctl. אם אין לך אפשרות לרכוש כלי ניהול יומנים פרופרי, Logwatch יעניק לך שקט נפשי על ידי ידע שכל האירועים יתעדו והתראות יישלחו במקרה שמשהו לא ילך בצורה תקינה.

5. Logstash

לוגסתש הוא שרת עיבוד מידע פתוח סיסמה מקבל מידע ממקורות רבים כולל קבצים מקומיים או מערכות מופרדות כמו S3. אחר כך, הוא עובד על הגלוגים ומעביר אותם לפלטפורמות כמו אלקטיביסייז בהם הם מנתחים ואחר כך מארכיבים. זהו כלי חזק מאד בגלל שהוא יכול להטעין בסך כלל מספר גדול של גלוגים מיישומים רבים ולהפוך אותם באותו הזמן למסדרונות מסויימים אחרים.

Logstash: Collect, Parse, and Transform Logs

לוגסתש מבנה מידע לא-מבנוי ומבצע חיפושים גיאולוגיים, אנונימציה של מידע פרטי, ועובד על רבים מהתשתיות הללו באותו הזמן. יש רשימה מרחבית של מקורות מידע שאתה יכול לגרום ללוגסתש להקשיב להם ולעבור אותם לעיבוד ומבנה וכדומה.

לוגסתש תלוי ב- 'ביטס' שהם שיותרי מידע קלים שמספקים מידע ללוגסתש עבור פירוש ומבנה וכדומה. אחר כך, המידע נשלח למיקומים אחרים כמו גוגל צילום אחרים, MongoDB, ואלקטיביסייז עבור מיפוי סימנים. לוגסתש הוא רכיב מפתח של הערך האלקטיבי המאפשר למשתמשים לרכב מידע בדרכים שונות, לפירוש אותו ולהציג אותו על לוחות אינטראקטיביים.

מה שיותר מזה, הם זרם הקהילה הרחבה ועדכונים מקריים ללוגסתש.

</diy13

זהו לעכשיו וזכור שלא כל מערכות ניהול יומנים הזמינות לשימוש על Linux מופיעות כאן. אנחנו נמשיך לעבור ולעדכן את הרשימה במאמרים עתידיים, אני מקווה שתמצאו מועיל את המאמר הזה ותוכלו להודיע לנו על כלי או מערכות יומנים חשובות נוספות שקיימות שם על ידי השארת תגובה.

Source:
https://www.tecmint.com/best-linux-log-monitoring-and-management-tools/