Linux用の5つのオープンソースログ監視および管理ツール

チュートリアル

Linuxなどのオペレーティングシステムが実行されていると、システムリソースを効率的かつ信頼性高く使用するために、多くのイベントが発生し、バックグラウンドで実行されるプロセスがあります。これらのイベントは、initsystemdプロセスなどのシステムソフトウェア、またはApacheMySQLFTPなどのユーザーアプリケーションで発生する可能性があります。

システムの状態や異なるアプリケーションの動作を理解するために、システム管理者は本番環境でログファイルを日々確認する必要があります。

複数のシステム領域やアプリケーションからログファイルを確認することを想像してみてください。そこでログシステムが役立ちます。システム管理者が構成に応じて異なるログファイルを監視、確認、分析、さらにはレポートを生成するのを支援します。

以下もおすすめです:

この記事では、今日のLinuxで最もよく使用されているオープンソースのログ管理システムのトップ4つを見ていきます。ほとんどの場合、すべてのディストリビューションで標準のログ記録プロトコルはSyslogです。

1. ManageEngine EventLog Analyzer

ManageEngine EventLog Analyzerは、情報技術、医療、小売、金融、教育などさまざまな業界の中小企業向けに設計されたオンプレミスのログ管理ソリューションです。

このソリューションは、エージェントベースとエージェントレスの両方のログ収集、ログ解析機能、強力なログ検索エンジン、およびログアーカイブオプションをユーザーに提供します。

ネットワークデバイス監査機能を備えており、エンドユーザーデバイス、ファイアウォール、ルーター、スイッチなどをリアルタイムで監視できます。ソリューションは、解析されたデータをグラフや直感的なレポートの形で表示します。

EventLog Analyzerのインシデント検出メカニズム(イベントログの相関、脅威インテリジェンス、MITRE ATT&CKフレームワークの実装、高度な脅威分析など)は、セキュリティ脅威をすぐに発見するのに役立ちます。リアルタイムのアラートシステムは、ユーザーに怪しい活動について警告し、高リスクのセキュリティ脅威を優先的に処理できます。自動化されたインシデント対応システムにより、SOCは潜在的な脅威を軽減できます。

解決策は、ユーザーがPCI DSS、ISO 27001、GLBA、SOX、HIPAA、CCPA、GDPRなどのさまざまなITコンプライアンス基準に準拠するのを支援します。監視のためのログソースの数に応じて、定期購読サービスが提供されます。サポートは、電話、製品ビデオ、オンラインのナレッジベースを通じてユーザーに提供されます。

ManageEngine EventLog Analyzer

2. Graylog 2

Graylogは、テスト環境や本番環境を含むさまざまな環境でログを収集してレビューするために広く使用されている主要なオープンソースの堅牢な集中ログ管理ツールです。設定が簡単であり、中小企業に強くお勧めです。

Graylog – Linux Leading Log Management

Graylogは、ネットワークスイッチ、ルーター、ワイヤレスアクセスポイントなど、複数のデバイスからデータを簡単に収集するのに役立ちます。それはElasticsearchの分析エンジンと統合し、MongoDBを使用してデータを保存し、収集されたログは深い洞察を提供し、システムの障害やエラーのトラブルシューティングに役立ちます。

Graylogを使用すると、データをシームレスに追跡するのに役立つクールなダッシュボードがあるきれいでスリーピーなWebUIが得られます。また、コンプライアンス監査、脅威検索などの機能を提供する一連の便利なツールが提供されます。特定の条件が満たされるか、問題が発生したときにアラートがトリガーされるように通知を有効にすることもできます。

全体として、Graylogは大量のデータをまとめて検索および分析を簡素化することにかなり成功しています。最新バージョンはGraylog 5.2.4で、ダークモード、Slackとの統合、ElasticSearchとの統合など、新しい機能が提供されています。

3. Logcheck

Logcheckは、クーロンジョブとして実行されるさらにもう一つのオープンソースのログ監視ツールです。Logcheckは数千のログファイルをふるいにかけてトリガーされた違反やシステムイベントを検出します。その後、Logcheckは警告の詳細な要約を構成された電子メールアドレスに送信し、不正侵入やシステムの障害などの問題を運用チームに警告します。

Logcheck Scans System Logs

このログシステムでは、次の3つの異なるレベルのログファイルフィルタリングが開発されています:

  • パラノイド:可能な限り少ないサービスを実行している高セキュリティシステム向けです。
  • サーバー: これはログチェックのデフォルトのフィルタリングレベルであり、そのルールはさまざまなシステムデーモンに定義されています。過剰なレベルで定義されたルールもこのレベルに含まれています。
  • ワークステーション: これは保護されたシステム用であり、ほとんどのメッセージをフィルタリングするのに役立ちます。これには、過剰およびサーバーレベルで定義されたルールも含まれています。

ログチェックは、報告されるメッセージをセキュリティイベント、システムイベント、およびシステム攻撃アラートの3つの可能なレイヤーに分類する機能も備えています。システム管理者は、システムイベントが報告される詳細レベルを選択できますが、これはセキュリティイベントとシステム攻撃アラートには影響しません。

ログチェックは、以下の機能を提供します:

  • 事前定義されたレポートテンプレート。
  • A mechanism for filtering logs using regular expressions.
  • 即時のメール通知。
  • 即時のセキュリティアラート。

4. Logwatch

Logwatchは、オープンソースで高度にカスタマイズ可能なログ収集および解析アプリケーションです。システムログとアプリケーションログの両方を解析し、アプリケーションの実行状況に関するレポートを生成します。レポートは、コマンドラインまたは専用のメールアドレスを介して配信されます。

Logwatch Linux Log Analyzer

あなたは簡単にLogwatchを好みに合わせることができます。これは、/etc/logwatch/confパスのパラメータを変更することで行います。また、ログの解析を容易にするための事前に書かれたPERLスクリプトも提供しています。

Logwatchは段階的なアプローチで提供され、設定の詳細が定義されているメインの場所が3つあります:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

すべてのデフォルト設定は/usr/share/logwatch/default.conf/logwatch.confファイルに定義されています。推奨される方法は、このファイルをそのままにしておき、代わりにオリジナルの設定ファイルをコピーして、カスタム設定を定義するために/etc/logwatch/conf/パスに自分自身の構成ファイルを作成することです。

Logwatchの最新バージョンは7.10で、systemdジャーナルに直接journalctlを使用してクエリを実行するサポートを提供しています。プロプライエタリなログ管理ツールを購入する余裕がない場合、Logwatchは、すべてのイベントがログに記録され、何かがおかしい場合に通知が届くことで安心感を得ることができます。

5. Logstash

Logstashは、ローカルファイルやS3のような分散システムからのデータを含むさまざまなソースからデータを受け入れるオープンソースのサーバーサイドデータ処理パイプラインです。それは、ログを処理し、それらをElasticsearchのようなプラットフォームに導き、後で分析およびアーカイブに供します。それは、複数のアプリケーションからの大量のログを取り込み、それらを同時に異なるデータベースやエンジンに出力できるため、非常に強力なツールです。

Logstash: Collect, Parse, and Transform Logs

Logstashは非構造化データを構造化し、ジオロケーションのルックアップを行い、個人データを匿名化し、複数のノードにまたがるスケーリングも行います。SNMP、ハートビート、Syslog、Kafka、puppet、Windowsイベントログなど、Logstashがリッスンしてパイプに接続することができるデータソースの広範なリストがあります。

Logstashは、パースや構造化などのためにデータをLogstashに供給する軽量なデータシッパーである「beats」に依存しています。そのデータは、Google Cloud、MongoDB、およびElasticsearchなどの他の宛先に送信され、索引化されます。Logstashは、ユーザーがデータを任意の形式でまとめ、パースし、対話型ダッシュボードで視覚化することを可能にするElastic Stackの重要なコンポーネントです。

Logstashのさらなる利点は、広範囲なコミュニティサポートと定期的なアップデートを享受していることです。

概要

それでは今のところは以上です。Linuxで使用できるすべての利用可能なログ管理システムではありませんことを覚えておいてください。将来の記事でリストを見直し、更新していきますので、この記事が役立つことを願っています。他に重要なログツールやシステムがあれば、コメントでお知らせいただければ幸いです。

Source:
https://www.tecmint.com/best-linux-log-monitoring-and-management-tools/