Când un sistem de operare precum Linux rulează, se întâmplă multe evenimente și procese care rulează în fundal pentru a permite utilizarea eficientă și fiabilă a resurselor sistemului. Aceste evenimente se pot întâmpla în software-ul de sistem, de exemplu init sau systemd aplicații de proces sau de utilizator, cum ar fi Apache, MySQL, FTP, si multe altele.
Pentru a înțelege starea sistemului și a diferitelor aplicații și modul în care acestea funcționează, administratorii de sistem trebuie să revadă zilnic fișierele jurnal în mediile de producție.
Vă puteți imagina că trebuie să revizuiți fișierele jurnal din mai multe zone de sistem și aplicații, de aceea sistemele de jurnalizare sunt utile. Acestea vă ajută să monitorizați, să revizuiți, să analizați și chiar să generați rapoarte din diferite fișiere jurnal configurate de un administrator de sistem.
În acest articol, vom analiza primele patru sisteme de gestionare a jurnalelor open source cele mai utilizate în Linux astăzi, protocolul standard de jurnalizare în majoritatea, dacă nu toate distribuțiile de astăzi este Syslog.
Graylog este un lider open-source și robust instrument de gestionare centralizată a exploatării care este utilizat pe scară largă pentru colectarea și revizuirea jurnalelor în diferite medii, inclusiv testarea și mediile de producție. Este ușor de configurat și este foarte recomandat pentru întreprinderile mici.
Graylog vă ajută să colectați cu ușurință date de pe mai multe dispozitive, inclusiv switch-uri de rețea, routere și puncte de acces wireless. Se integrează cu Elasticsearch motor analitic și pârghii MongoDB stocarea datelor și a jurnalelor colectate oferă informații detaliate și sunt utile în depanarea defecțiunilor și erorilor sistemului.
Cu Graylog, veți obține un WebUI îngrijit și somn cu tablouri de bord interesante, care vă ajută să urmăriți fără probleme datele. De asemenea, veți obține un set de instrumente și funcționalități ingenioase care vă ajută la auditarea conformității, căutarea amenințărilor și multe altele. Puteți activa notificările în așa fel încât să se declanșeze o alertă atunci când este îndeplinită o anumită condiție sau apare o problemă.
Per total, Graylog face o treabă destul de bună în colectarea unor cantități mari de date și simplifică căutarea și analiza datelor. Cea mai recentă versiune este Graylog 4.0 și oferă noi funcții precum modul întunecat, integrarea cu slack și ElasticSearch 7 și multe altele.
Verificare jurnal este încă un alt instrument open-source de monitorizare a jurnalelor care este rulat ca o cron job. Trece prin mii de fișiere jurnal pentru a detecta încălcări sau evenimente de sistem care sunt declanșate. Logcheck trimite apoi un rezumat detaliat al alertelor la o adresă de e-mail configurată pentru a avertiza echipele operaționale cu privire la o problemă, cum ar fi o încălcare neautorizată sau o eroare de sistem.
Trei niveluri diferite de filtrare a fișierelor jurnal sunt dezvoltate în acest sistem de jurnalizare care include:
Logcheck este, de asemenea, capabil să sorteze mesajele care să fie raportate în trei straturi posibile, care includ evenimente de securitate, evenimente de sistem și alerte de atac de sistem. Un administrator de sistem poate alege nivelul de detalii la care sunt raportate evenimentele de sistem în funcție de nivelul de filtrare, deși acest lucru nu afectează evenimentele de securitate și alertele de atac de sistem.
Logcheck oferă următoarele caracteristici:
Logwatch este o aplicație open-source și foarte personalizabilă de colectare și analiză a jurnalelor. Analizează atât jurnalele de sistem, cât și aplicațiile și generează un raport despre modul în care rulează aplicațiile. Raportul este livrat fie pe linia de comandă, fie printr-o adresă de e-mail dedicată.
Puteți personaliza cu ușurință Logwatch după preferințele dvs. modificând parametrii din /etc/logwatch/conf cale. De asemenea, oferă ceva suplimentar în ceea ce privește scripturile PERL pre-scrise pentru a facilita analiza jurnalelor.
Logwatch vine cu o abordare pe mai multe niveluri și există 3 locații principale în care sunt definite detaliile de configurare:
Toate setările implicite sunt definite în /usr/share/logwatch/default.conf/logwatch.conf fişier. Practica recomandată este să lăsați acest fișier intact și, în schimb, să creați propriul fișier de configurare la /etc/logwatch/conf/ calea prin copierea fișierului de configurare original și apoi definirea setărilor personalizate.
Cea mai recentă versiune de Logwatch este versiunea 7.5.5 și oferă suport pentru interogarea fișierului systemd jurnal folosind direct journalctl. Dacă nu vă puteți permite un instrument de gestionare a jurnalelor proprietar, Logwatch vă va oferi liniște sufletească știind că toate evenimentele vor fi înregistrate și notificările livrate în cazul în care ceva nu merge bine.
Logstash este o conductă open-source de procesare a datelor de pe server, care acceptă date dintr-o multitudine de surse, inclusiv fișiere locale sau sisteme distribuite precum S3. Apoi procesează jurnalele și le canalizează pe platforme precum Elasticsearch unde sunt analizate și arhivate ulterior. Este un instrument destul de puternic, deoarece poate ingera volume de jurnale din mai multe aplicații și le poate transmite ulterior în diferite baze de date sau motoare, în același timp.
Logstash structurează date nestructurate și efectuează căutări de geolocalizare, anonimizează datele cu caracter personal și scalează pe mai multe noduri. Există o listă extinsă de surse de date pe care Logstash le poate asculta, inclusiv SNMP, heartbeats, Syslog, Kafka, marionetă, jurnal de evenimente Windows etc.
Logstash se bazează pe „bate„Care sunt expeditori de date ușoare care alimentează date către Logstash pentru analiză și structurare etc. Datele sunt apoi trimise către alte destinații, cum ar fi Google Cloud, MongoDB și Elasticsearch, pentru indexare. Logstash este o componentă cheie a Elastic Stack care permite utilizatorilor să strângă date sub orice formă, să le analizeze și să le vizualizeze pe tablouri de bord interactive.
Mai mult, este asta Logstash se bucură de sprijin comunitar larg și de actualizări regulate.
Asta este deocamdată și amintiți-vă că acestea nu sunt toate sistemele de gestionare a jurnalelor disponibile pe care le puteți utiliza pe Linux. Vom continua să examinăm și să actualizăm lista în articolele viitoare, sper că veți găsi acest articol este util și ne puteți informa despre alte instrumente sau sisteme importante de înregistrare acolo, lăsând un cometariu.