Open source

5 outils de surveillance et de gestion du journal open source pour Linux

5 outils de surveillance et de gestion du journal open source pour Linux

Lorsqu'un système d'exploitation comme Linux est en cours d'exécution, il existe de nombreux événements et des processus qui s'exécutent en arrière-plan pour permettre une utilisation efficace et fiable des ressources système. Ces événements peuvent se produire dans le logiciel système, par exemple le init ou systemd processus ou applications utilisateur telles que Apache, Mysql, FTP, et beaucoup plus.

Afin de comprendre l'état du système et différentes applications et comment ils fonctionnent, les administrateurs système doivent continuer à examiner quotidiennement les fichiers journaux dans les environnements de production.

Vous pouvez imaginer devoir examiner les fichiers de journaux de plusieurs domaines et applications système, c'est là que les systèmes de journalisation sont utiles. Ils aident à surveiller, examiner, analyser et même génèrent des rapports à partir de différents fichiers de journaux configurés par un administrateur système.

Vous pourriez aussi aimer:

  • Comment surveiller les usages du système, les pannes et le dépannage des systèmes Linux
  • Comment gérer les journaux des serveurs (configurer et tourner) dans Linux
  • Comment surveiller les journaux du serveur Linux en temps réel avec le journal.outil IO

Dans cet article, nous examinerons les quatre systèmes de gestion des journalisations les plus utilisés les plus utilisés à Linux aujourd'hui, le protocole de journalisation standard dans la plupart des distributions, sinon toutes les distributions aujourd'hui, Syslog.

Table des matières

1
  • 1. Analyseur d'événements GeatorEngine
  • 2. Graylog 2
  • 3. Cocher
  • 4. Logwatch
  • 5. Trottoir
  • Résumé

1. Analyseur d'événements GeatorEngine

Manage Engine Eventlog Analyzer est une solution de gestion de journaux sur site conçue pour les entreprises de toutes tailles dans diverses industries telles que les technologies de l'information, la santé, la vente au détail, les finances, l'éducation, et plus. La solution fournit aux utilisateurs une collection de journaux basée sur des agents et sans agent, des capacités d'analyse de journal, un puissant moteur de recherche de journaux et des options d'archivage de journaux.

Avec la fonctionnalité d'audit des périphériques réseau, il permet aux utilisateurs de surveiller leurs appareils d'utilisateur final, leurs pare-feu, leurs routeurs, leurs commutateurs, et plus en temps réel. La solution affiche des données analysées sous forme de graphiques et de rapports intuitifs.

Les mécanismes de détection des incidents de l'événement Analyzer tels que la corrélation du logarithme des événements, l'intelligence des menaces, la mise en œuvre du cadre ATT & CK Mitre,, l'analyse avancée des menaces, etc., aident à repérer les menaces de sécurité dès qu'elles se produisent.

Le système d'alerte en temps réel alerte les utilisateurs sur les activités suspectes, afin qu'ils puissent hiérarchiser les menaces de sécurité à haut risque. Et avec un système automatisé de réponse aux incidents, les SOC peuvent atténuer les menaces potentielles.

La solution aide également les utilisateurs à se conformer à diverses normes de conformité informatique telles que PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, RGPD, et plus. Des services basés sur l'abonnement sont offerts en fonction du nombre de sources de journal pour la surveillance. La prise en charge est mise à la disposition des utilisateurs par téléphone, des vidéos de produits et une base de connaissances en ligne.

Analyseur d'événements GeatorEngine

2. Graylog 2

Graylog est un outil de gestion de journalisation centralisé de premier plan et robuste qui est largement utilisé pour collecter et examiner les journaux dans divers environnements, y compris les environnements de test et de production. Il est facile à installer et est fortement recommandé pour les petites entreprises.

Graylog - Gestion des journaux de tête de Linux

Grislog vous aide à collecter facilement des données à partir de plusieurs appareils, y compris les commutateurs réseau, les routeurs et les points d'accès sans fil. Il s'intègre au Elasticsearch moteur d'analyse et exploite Mongodb Pour stocker les données et les journaux collectés offrent des informations profondes et sont utiles pour dépanner les défauts et les erreurs du système.

Avec Grislog, Vous obtenez un webui soigné et endormi avec des tableaux de bord sympas qui vous aident à suivre parfaitement les données. En outre, vous obtenez un ensemble d'outils et de fonctionnalités astucieux qui aident à l'audit de conformité, à la recherche de menaces et bien plus encore. Vous pouvez activer les notifications de telle manière qu'une alerte est déclenchée lorsqu'une certaine condition est remplie ou qu'un problème se produit.

Global, Grislog fait un très bon travail pour rassembler de grandes quantités de données et simplifie la recherche et l'analyse des données. La dernière version est Graylog 4.0 et propose de nouvelles fonctionnalités telles que le mode sombre, l'intégration avec Slack et Elasticsearch 7 et bien plus.

3. Cocher

Cocher est encore un autre outil de surveillance du journal open source qui est exécuté comme un travail cron. Il passe à travers des milliers de fichiers journaux pour détecter les violations ou les événements système qui sont déclenchés. Logcheck envoie ensuite un résumé détaillé des alertes à une adresse e-mail configurée aux équipes d'opération d'alerte d'un problème tel qu'une violation non autorisée ou un défaut système.

Logcheck analyse les journaux système

Trois niveaux différents de filtrage des fichiers logarithmiques sont développés dans ce système de journalisation qui incluent:

  • Paranoïaque: est destiné à des systèmes de haute sécurité qui gèrent très peu de services que possible.
  • Serveur: Il s'agit du niveau de filtrage par défaut pour LogCheck et ses règles sont définies pour de nombreux démons système différents. Les règles définies en vertu du niveau paranoïaque sont également incluses dans ce niveau.
  • Poste de travail: il s'agit de systèmes abrité et aide à filtrer la plupart des messages. Il comprend également des règles définies en vertu des niveaux paranoïaques et des serveurs.

Logcheck est également capable de trier les messages à signaler en trois couches possibles qui incluent les événements de sécurité, les événements système et les alertes d'attaque système. Un administrateur système peut choisir le niveau de détails auquel les événements système sont signalés en fonction du niveau de filtrage, bien que cela n'affecte pas les événements de sécurité et les alertes d'attaque du système.

Logcheck fournit les fonctionnalités suivantes:

  • Modèles de rapport prédéfinis.
  • Un mécanisme de filtrage des journaux en utilisant des expressions régulières.
  • Notifications par e-mail instantanées.
  • Alertes de sécurité instantanées.

4. Logwatch

Logwatch est une application de collecte et d'analyse de journaux open source et hautement personnalisable. Il analyse les journaux du système et des applications et génère un rapport sur la façon dont les applications s'exécutent. Le rapport est livré soit sur la ligne de commande, soit via une adresse e-mail dédiée.

Analyseur de journaux Logwatch Linux

Vous pouvez facilement personnaliser Logwatch à votre préférence en modifiant les paramètres dans le / etc / logwatch / confre chemin. Il fournit également quelque chose de plus dans la manière des scripts Perl pré-écrits pour faciliter l'analyse des journaux.

Logwatch Livré avec une approche à plusieurs niveaux et il y a 3 emplacements principaux où les détails de configuration sont définis:

  • / usr / share / logwatch / par défaut.conf / *
  • / etc / logwatch / conf / Dist.conf / *
  • / etc / logwatch / conf / *

Tous les paramètres par défaut sont définis dans le / usr / share / logwatch / par défaut.conf / logwatch.confli déposer. La pratique recommandée consiste à laisser ce fichier intact et à créer votre propre fichier de configuration au niveau du / etc / logwatch / conf / Chemin de chemin en copiant le fichier de configuration d'origine, puis en définissant vos paramètres personnalisés.

La dernière version de Logwatch est la version 7.5.5 et il prend en charge la question de l'interrogation systemd Journal directement à l'aide de journalctl. Si vous ne pouvez pas vous permettre un outil de gestion des journaux propriétaires, Logwatch vous donnera la tranquillité d'esprit en sachant que tous les événements seront enregistrés et que les notifications seront livrées au cas où quelque chose va mal.

5. Trottoir

Trottoir est un pipeline de traitement des données côté serveur open source qui accepte les données d'une multitude de sources, y compris des fichiers locaux, ou des systèmes distribués comme S3. Il traite ensuite les journaux et les entoure sur des plates-formes telles que Elasticsearch où ils sont analysés et archivés plus tard. C'est un outil assez puissant car il peut ingérer des volumes de journaux à partir de plusieurs applications et les publier ultérieurement vers différentes bases de données ou moteurs en même temps.

Logstash: collectionner, analyser et transformer les journaux

Trottoir structure des données non structurées et effectue des recherches sur la géolocalisation, anonymiste des données personnelles et des échelles sur plusieurs nœuds également. Il existe une liste approfondie de sources de données que vous pouvez avoir une écoute Logstash, y compris SNMP, HeartBeats, Syslog, Kafka, Puppet, Windows Event Log, etc.

Logstash s'appuie sur 'Beats`` Quel sont des expéditeurs de données légers qui alimentent les données à logstash pour l'analyse et la structuration, etc. Les données sont ensuite envoyées à d'autres destinations telles que Google Cloud, MongoDB et Elasticsearch pour l'indexation. Logstash est un composant clé de la pile élastique qui permet aux utilisateurs de rassembler des données sous n'importe quelle forme, de l'analyser et de le visualiser sur des tableaux de bord interactifs.

De plus, c'est Trottoir bénéficie d'un soutien communautaire généralisé et de mises à jour régulières.

Résumé

C'est tout pour l'instant et n'oubliez pas que ce ne sont pas tous les systèmes de gestion de journaux disponibles que vous pouvez utiliser sur Linux. Nous allons continuer à examiner et à mettre à jour la liste dans les prochains articles, j'espère que vous trouverez cet article utile et que vous pouvez nous faire part des autres outils ou systèmes de journalisation importants en laissant un commentaire.