Apabila sistem operasi seperti Linux sedang berjalan, terdapat banyak peristiwa yang berlaku dan proses yang berjalan di latar belakang untuk membolehkan penggunaan sumber sistem yang cekap dan boleh dipercayai. Peristiwa -peristiwa ini mungkin berlaku dalam perisian sistem misalnya proses INIT atau SystemD atau aplikasi pengguna seperti Apache , MySQL , FTP , dan banyak lagi.

Untuk memahami keadaan sistem dan aplikasi yang berbeza dan bagaimana mereka bekerja, pentadbir sistem perlu terus mengkaji fail log setiap hari dalam persekitaran pengeluaran.

Anda boleh bayangkan perlu mengkaji semula logfile dari beberapa bidang sistem dan aplikasi, iaitu di mana sistem pembalakan berguna. Mereka membantu memantau, mengkaji, menganalisis, dan juga menghasilkan laporan dari logfil yang berbeza seperti yang dikonfigurasikan oleh pentadbir sistem.

Dalam artikel ini, kita akan melihat empat sistem pengurusan pembalakan sumber terbuka yang paling banyak digunakan di Linux hari ini, protokol pembalakan standard paling banyak jika tidak semua pengagihan hari ini adalah syslog .

1. Mengurus EventLog Analyzer

ManageEngine EventLog Analyzer adalah penyelesaian pengurusan log di premis yang direka untuk perniagaan dari semua saiz di pelbagai industri seperti teknologi maklumat, kesihatan, runcit, kewangan, pendidikan, dan banyak lagi. Penyelesaian ini menyediakan pengguna dengan kedua-dua koleksi log berasaskan ejen dan agen, keupayaan parsing log, enjin carian log yang kuat, dan pilihan pengarkiban log.

Dengan fungsi pengauditan peranti rangkaian, ia membolehkan pengguna memantau peranti pengguna akhir, firewall, router, suis, dan banyak lagi dalam masa nyata. Penyelesaian memaparkan data yang dianalisis dalam bentuk graf dan laporan intuitif.

Mekanisme pengesanan insiden EventLog Analyzer seperti korelasi log peristiwa, kecerdasan ancaman, pelaksanaan rangka kerja MITER ATT & CK, analisis ancaman lanjutan, dan banyak lagi, membantu ancaman keselamatan sebaik sahaja ia berlaku.

Sistem amaran masa nyata memberi amaran kepada pengguna tentang aktiviti yang mencurigakan, jadi mereka dapat mengutamakan ancaman keselamatan berisiko tinggi. Dengan sistem tindak balas insiden automatik, SOCS dapat mengurangkan ancaman yang berpotensi.

Penyelesaian ini juga membantu pengguna mematuhi pelbagai piawaian pematuhan IT seperti PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR, dan banyak lagi. Perkhidmatan berasaskan langganan ditawarkan bergantung kepada bilangan sumber log untuk pemantauan. Sokongan disediakan kepada pengguna melalui telefon, video produk, dan pangkalan pengetahuan dalam talian.

2. Graylog 2

GrayLog adalah alat pengurusan pembalakan berpusat sumber terbuka dan kuat yang digunakan secara meluas untuk mengumpul dan mengkaji semula log di pelbagai persekitaran termasuk persekitaran ujian dan pengeluaran. Ia mudah ditubuhkan dan sangat disyorkan untuk perniagaan kecil.

GrayLog membantu anda untuk mengumpul data dengan mudah dari pelbagai peranti termasuk suis rangkaian, router, dan titik akses tanpa wayar. Ia mengintegrasikan dengan enjin Analytics Elasticsearch dan memanfaatkan MongoDB untuk menyimpan data dan log yang dikumpulkan menawarkan pandangan yang mendalam dan membantu dalam kesilapan dan kesilapan sistem penyelesaian masalah.

Dengan Graylog , anda mendapat webui yang kemas dan mengantuk dengan papan pemuka sejuk yang membantu anda mengesan data dengan lancar. Juga, anda mendapat satu set alat dan fungsi bagus yang membantu dalam pengauditan pematuhan, carian ancaman dan banyak lagi. Anda boleh mengaktifkan pemberitahuan sedemikian rupa sehingga amaran dicetuskan apabila keadaan tertentu dipenuhi atau masalah berlaku.

Secara keseluruhannya, GrayLog melakukan tugas yang cukup baik untuk menyusun sejumlah besar data dan memudahkan mencari dan menganalisis data. Versi terkini ialah GrayLog 5.2.4 dan menawarkan ciri -ciri baru seperti Mode Dark, Integrasi dengan Slack dan Elasticsearch dan banyak lagi.

3. LogCheck

LogCheck adalah satu lagi alat pemantauan log sumber terbuka yang dijalankan sebagai pekerjaan cron. Ia menyaring beribu -ribu fail log untuk mengesan pelanggaran atau peristiwa sistem yang dicetuskan. LogCheck kemudian menghantar ringkasan terperinci mengenai makluman ke alamat e -mel yang dikonfigurasikan untuk memberi amaran kepada pasukan operasi mengenai isu seperti pelanggaran yang tidak dibenarkan atau kesalahan sistem.

Tiga tahap penapisan logfile yang berbeza dibangunkan dalam sistem pembalakan ini yang termasuk:

• Paranoid : bertujuan untuk sistem keselamatan tinggi yang menjalankan sedikit perkhidmatan yang mungkin.
• Server : Ini adalah tahap penapisan lalai untuk LogCheck dan peraturannya ditakrifkan untuk banyak daemon sistem yang berbeza. Peraturan yang ditakrifkan di bawah paras paranoid juga termasuk di bawah tahap ini.
• Workstation : Ia adalah untuk sistem terlindung dan membantu menapis kebanyakan mesej. Ia juga termasuk peraturan yang ditakrifkan di bawah tahap paranoid dan pelayan.

LogCheck juga mampu menyusun mesej yang dilaporkan kepada tiga lapisan yang mungkin termasuk, peristiwa keselamatan, peristiwa sistem, dan makluman serangan sistem. Pentadbir sistem boleh memilih tahap butiran yang mana peristiwa sistem dilaporkan bergantung pada tahap penapisan walaupun ini tidak menjejaskan peristiwa keselamatan dan makluman serangan sistem.

LogCheck menyediakan ciri -ciri berikut:

• Templat laporan yang telah ditetapkan.
• Mekanisme untuk penapisan log menggunakan ungkapan biasa.
• Pemberitahuan e -mel segera.
• Makluman keselamatan segera.

4. Logwatch

LogWatch adalah aplikasi log dan analisis log sumber terbuka dan sangat disesuaikan. Ia memasangkan kedua -dua sistem dan log aplikasi dan menghasilkan laporan mengenai bagaimana aplikasi berjalan. Laporan ini disampaikan sama ada pada baris arahan atau melalui alamat e -mel yang berdedikasi.

Anda boleh menyesuaikan logwatch dengan mudah ke keutamaan anda dengan mengubahsuai parameter dalam /etc/logwatch/conf . Ia juga menyediakan sesuatu yang lebih baik dalam cara skrip Perl pra-ditulis untuk membuat parsing log lebih mudah.

Logwatch dilengkapi dengan pendekatan bertingkat dan terdapat 3 lokasi utama di mana butiran konfigurasi ditakrifkan:

• /usr/share/logwatch/default.conf/*
• /etc/logwatch/conf/dist.conf/*
• /etc/logwatch/conf/*

Semua tetapan lalai ditakrifkan dalam fail /usr/share/logwatch/default.conf/logwatch.conf . Amalan yang disyorkan adalah meninggalkan fail ini utuh dan sebaliknya membuat fail konfigurasi anda sendiri di /etc/logwatch/conf/ path dengan menyalin fail konfigurasi asal dan kemudian menentukan tetapan tersuai anda.

Versi terkini LogWatch adalah versi 7.10 dan ia memberikan sokongan untuk menanyakan jurnal SystemD secara langsung menggunakan JournalCTL. Sekiranya anda tidak mampu membeli alat pengurusan log proprietari, Logwatch akan memberi anda ketenangan fikiran dalam mengetahui bahawa semua peristiwa akan dilog masuk dan pemberitahuan yang disampaikan sekiranya berlaku sesuatu yang tidak kena.

5. Logstash

LogStash adalah saluran paip pemprosesan data pelayan sumber terbuka yang menerima data dari pelbagai sumber termasuk fail tempatan, atau sistem yang diedarkan seperti S3 . Ia kemudian memproses kayu balak dan menyerupai mereka ke platform seperti Elasticsearch di mana mereka dianalisis dan diarkibkan kemudian. Ia adalah alat yang cukup kuat kerana ia dapat menelan jumlah balak dari pelbagai aplikasi dan kemudian mengeluarkannya ke pangkalan data atau enjin yang berbeza pada masa yang sama.

Struktur logstash data yang tidak berstruktur dan melakukan carian geolokasi mengamati data peribadi, dan skala merentasi pelbagai nod juga. Terdapat senarai sumber data yang luas yang boleh anda logstash mendengar paip termasuk SNMP, degupan jantung, syslog, kafka, boneka, log acara Windows, dll.

Logstash bergantung pada ' beats ' yang merupakan pengirim data ringan yang memberi makan data untuk melayari parsing dan penstrukturan dan lain -lain. Data kemudiannya dihantar ke destinasi lain seperti Google Cloud, MongoDB, dan Elasticsearch untuk pengindeksan. LogStash adalah komponen utama timbunan elastik yang membolehkan pengguna menyusun data dalam bentuk apa pun, menghuraikannya dan memvisualisasikannya pada papan pemuka interaktif.

Lebih -lebih lagi, Logstash menikmati sokongan komuniti yang meluas dan kemas kini tetap.

Ringkasan

Itulah sekarang dan ingat bahawa ini bukan semua sistem pengurusan log yang tersedia yang boleh anda gunakan di Linux. Kami akan terus mengkaji dan mengemas kini senarai dalam artikel masa depan, saya harap anda dapati artikel ini berguna dan anda boleh memberitahu kami tentang alat pembalakan penting lain atau sistem di luar sana dengan meninggalkan komen.

Atas ialah kandungan terperinci 5 Alat pengurusan log sumber terbuka terbaik untuk Linux pada tahun 2024. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!