5 ferramentas de monitoramento e gerenciamento de logs de código aberto para Linux

Tutoriais

Quando um sistema operacional como o Linux está em execução, muitos eventos estão acontecendo e processos que são executados em segundo plano para permitir o uso eficiente e confiável dos recursos do sistema. Esses eventos podem ocorrer no software do sistema, por exemplo, no processo init ou systemd, ou em aplicativos de usuário, como Apache, MySQL, FTP e muitos outros.

Para entender o estado do sistema e diferentes aplicativos e como eles estão funcionando, os Administradores de Sistema precisam continuar revisando arquivos de log diariamente em ambientes de produção.

Você pode imaginar ter que revisar arquivos de log de várias áreas do sistema e aplicativos, é aí que os sistemas de log se tornam úteis. Eles ajudam a monitorar, revisar, analisar e até mesmo gerar relatórios a partir de diferentes arquivos de log conforme configurado por um Administrador de Sistema.

Você também pode gostar de:

Neste artigo, vamos analisar os quatro sistemas de gerenciamento de logs de código aberto mais utilizados no Linux hoje. O protocolo de logging padrão na maioria, se não em todas as distribuições hoje, é o Syslog.

1. O ManageEngine EventLog Analyzer

O ManageEngine EventLog Analyzer é uma solução de gerenciamento de logs local projetada para empresas de todos os tamanhos em vários setores, como tecnologia da informação, saúde, varejo, finanças, educação e mais. A solução fornece aos usuários tanto coleta de logs baseada em agente quanto sem agente, capacidades de análise de logs, um poderoso mecanismo de busca de logs e opções de arquivamento de logs.

Com funcionalidade de auditoria de dispositivos de rede, permite aos usuários monitorar seus dispositivos de usuário final, firewalls, roteadores, switches e mais em tempo real. A solução exibe os dados analisados na forma de gráficos e relatórios intuitivos.

Os mecanismos de detecção de incidentes do EventLog Analyzer, como correlação de logs de eventos, inteligência de ameaças, implementação do framework MITRE ATT&CK, análise avançada de ameaças e mais, ajudam a identificar ameaças de segurança assim que elas ocorrem.

O sistema de alerta em tempo real alerta os usuários sobre atividades suspeitas, para que possam priorizar ameaças de segurança de alto risco. Com um sistema de resposta a incidentes automatizado, os SOCs podem mitigar ameaças potenciais.

A solução também ajuda os usuários a cumprirem várias normas de conformidade de TI, como PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR e outras. Serviços baseados em assinatura são oferecidos dependendo do número de fontes de log para monitoramento. O suporte é disponibilizado aos usuários via telefone, vídeos do produto e uma base de conhecimento online.

ManageEngine EventLog Analyzer

2. Graylog 2

O Graylog é uma ferramenta líder de gerenciamento de logs centralizados de código aberto e robusta que é amplamente utilizada para coletar e revisar logs em diversos ambientes, incluindo ambientes de teste e produção. É fácil de configurar e é altamente recomendado para pequenas empresas.

Graylog – Linux Leading Log Management

O Graylog ajuda você a coletar facilmente dados de vários dispositivos, incluindo switches de rede, roteadores e pontos de acesso sem fio. Ele se integra ao motor de análise Elasticsearch e aproveita o MongoDB para armazenar dados e os logs coletados oferecem insights profundos e são úteis na resolução de falhas e erros do sistema.

Com o Graylog, você obtém uma WebUI organizada e intuitiva com painéis legais que ajudam a acompanhar os dados de forma transparente. Além disso, você recebe um conjunto de ferramentas e funcionalidades inteligentes que auxiliam na auditoria de conformidade, na busca por ameaças e muito mais. Você pode habilitar notificações de forma que um alerta seja acionado quando uma determinada condição for atendida ou ocorrer um problema.

No geral, o Graylog faz um bom trabalho em reunir grandes quantidades de dados e simplificar a busca e análise de dados. A versão mais recente é o Graylog 5.2.4 e oferece novos recursos como o modo escuro, integração com o Slack e o ElasticSearch e muito mais.

3. Logcheck

Logcheck é mais uma ferramenta de monitoramento de logs de código aberto que é executada como um trabalho cron. Ele filtra milhares de arquivos de log para detectar violações ou eventos do sistema que são acionados. O Logcheck então envia um resumo detalhado dos alertas para um endereço de e-mail configurado para alertar as equipes de operação sobre um problema, como uma violação não autorizada ou uma falha do sistema.

Logcheck Scans System Logs

São desenvolvidos três níveis diferentes de filtragem de arquivos de log neste sistema de registro que incluem:

  • Paranóico: é destinado a sistemas de alta segurança que estão executando o menor número possível de serviços.
  • Servidor: este é o nível de filtragem padrão para o logcheck e suas regras são definidas para muitos daemons de sistema diferentes. As regras definidas sob o nível paranóico também estão incluídas neste nível.
  • Estação de Trabalho: é para sistemas protegidos e ajuda a filtrar a maioria das mensagens. Também inclui regras definidas nos níveis paranóico e de servidor.

O logcheck também é capaz de classificar mensagens a serem relatadas em três camadas possíveis, que incluem eventos de segurança, eventos de sistema e alertas de ataque ao sistema. Um Administrador de Sistema pode escolher o nível de detalhes para o qual os eventos do sistema são relatados, dependendo do nível de filtragem, embora isso não afete os eventos de segurança e alertas de ataque ao sistema.

O logcheck oferece os seguintes recursos:

  • Modelos de relatório predefinidos.
  • A mechanism for filtering logs using regular expressions.
  • Notificações por email instantâneas.
  • Alertas de segurança instantâneos.

4. Logwatch

Logwatch é uma aplicação de coleta e análise de logs de código aberto e altamente personalizável. Ele analisa tanto logs de sistema quanto de aplicativos e gera um relatório sobre como os aplicativos estão sendo executados. O relatório é entregue ou na linha de comando ou através de um endereço de email dedicado.

Logwatch Linux Log Analyzer

Você pode facilmente personalizar o Logwatch de acordo com sua preferência modificando os parâmetros no caminho /etc/logwatch/conf. Ele também fornece algo extra na forma de scripts PERL pré-escritos para facilitar a análise de logs.

Logwatch vem com uma abordagem em camadas e existem 3 locais principais onde os detalhes de configuração são definidos:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

Todas as configurações padrão são definidas no arquivo /usr/share/logwatch/default.conf/logwatch.conf. A prática recomendada é deixar este arquivo intacto e, em vez disso, criar seu próprio arquivo de configuração no caminho /etc/logwatch/conf/ copiando o arquivo de configuração original e depois definindo suas configurações personalizadas.

A versão mais recente do Logwatch é a versão 7.10 e ela fornece suporte para consultar diretamente o diário systemd usando journalctl. Se você não pode pagar por uma ferramenta de gerenciamento de logs proprietária, o Logwatch lhe dará tranquilidade sabendo que todos os eventos serão registrados e notificações serão entregues caso algo dê errado.

5. Logstash

Logstash é um pipeline de processamento de dados de código aberto no lado do servidor que aceita dados de uma infinidade de fontes, incluindo arquivos locais, ou sistemas distribuídos como S3. Em seguida, processa os logs e os encaminha para plataformas como o Elasticsearch, onde são analisados e arquivados posteriormente. É uma ferramenta bastante poderosa, pois pode ingerir volumes de logs de várias aplicações e depois enviá-los para diferentes bancos de dados ou mecanismos simultaneamente.

Logstash: Collect, Parse, and Transform Logs

Logstash estrutura dados não estruturados e realiza pesquisas de geolocalização, anonimiza dados pessoais e escala por vários nós também. Há uma extensa lista de fontes de dados às quais você pode fazer com que o Logstash ouça, incluindo SNMP, batimentos cardíacos, Syslog, Kafka, puppet, log de eventos do Windows, etc.

O Logstash depende de ‘beats’, que são remetentes de dados leves que alimentam dados para o Logstash para análise e estruturação etc. Os dados são então enviados para outros destinos, como Google Cloud, MongoDB e Elasticsearch para indexação. Logstash é um componente-chave do Elastic Stack que permite aos usuários reunir dados em qualquer formato, analisá-los e visualizá-los em painéis interativos.

O que é mais, é que Logstash desfruta de amplo suporte da comunidade e atualizações regulares.

Resumo

Aqui está, por agora, e lembre-se de que estes não são todos os sistemas de gestão de registos disponíveis que pode utilizar no Linux. Continuaremos a rever e a atualizar a lista em futuros artigos. Espero que ache este artigo útil e que possa informar-nos sobre outras ferramentas ou sistemas de registo importantes através de um comentário.

Source:
https://www.tecmint.com/best-linux-log-monitoring-and-management-tools/