Linux için En İyi 5 Açık Kaynak Günlük Yönetim Aracı

Linux gibi bir işletim sistemi çalışırken, sistem kaynaklarının verimli ve güvenilir şekilde kullanılmasını sağlamak için arka planda çalışan birçok olay ve süreç vardır. Bu olaylar sistem yazılımında örneğin init veya systemd sürecinde veya Apache, MySQL gibi kullanıcı uygulamalarında gerçekleşebilir. , FTP ve çok daha fazlası.

Sistemin ve farklı uygulamaların durumunu ve nasıl çalıştıklarını anlamak için Sistem Yöneticilerinin üretim ortamlarında günlük dosyalarını günlük olarak incelemeye devam etmeleri gerekir.

Çeşitli sistem alanlarından ve uygulamalardan gelen günlük dosyalarını gözden geçirmeniz gerektiğini hayal edebilirsiniz, işte bu noktada günlük kaydı sistemleri kullanışlı olur. Sistem Yöneticisi tarafından yapılandırılan farklı günlük dosyalarının izlenmesine, incelenmesine, analiz edilmesine ve hatta bunlardan raporlar oluşturulmasına yardımcı olurlar.

Bu makalede, günümüzde Linux'ta en çok kullanılan dört açık kaynaklı günlük kaydı yönetim sistemine bakacağız; günümüzün tüm dağıtımlarında olmasa da çoğunda standart günlük kaydı protokolü Syslog'dur.

1. ManageEngine EventLog Analizörü

ManageEngine EventLog Analizörü, bilgi teknolojisi, sağlık, perakende, finans, eğitim ve daha fazlası gibi çeşitli sektörlerdeki her büyüklükteki işletme için tasarlanmış bir şirket içi günlük yönetimi çözümüdür. Çözüm, kullanıcılara hem aracı tabanlı hem de aracısız günlük toplama, günlük ayrıştırma yetenekleri, güçlü bir günlük arama motoru ve günlük arşivleme seçenekleri sunar.

Ağ cihazı denetleme işleviyle kullanıcıların son kullanıcı cihazlarını, güvenlik duvarlarını, yönlendiricilerini, anahtarlarını ve daha fazlasını gerçek zamanlı olarak izlemesine olanak tanır. Çözüm, analiz edilen verileri grafikler ve sezgisel raporlar biçiminde görüntüler.

EventLog Analizörünün olay günlüğü korelasyonu, tehdit istihbaratı, MITRE ATT&CK çerçeve uygulaması, gelişmiş tehdit analitiği ve daha fazlası gibi olay algılama mekanizmaları, güvenlik tehditlerinin ortaya çıktığı anda tespit edilmesine yardımcı olur.

Gerçek zamanlı uyarı sistemi, kullanıcıları şüpheli etkinlikler konusunda uyarır, böylece yüksek riskli güvenlik tehditlerine öncelik verebilirler. Otomatik olay müdahale sistemiyle SOC'ler potansiyel tehditleri azaltabilir.

Çözüm aynı zamanda kullanıcıların PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR ve daha fazlası gibi çeşitli BT uyumluluk standartlarına uymalarına da yardımcı olur. İzlemeye yönelik log kaynağı sayısına bağlı olarak abonelik bazlı hizmetler sunulmaktadır. Destek kullanıcılara telefon, ürün videoları ve çevrimiçi bilgi tabanı aracılığıyla sunulmaktadır.

2.Graylog 2

Graylog, test ve üretim ortamları da dahil olmak üzere çeşitli ortamlardaki günlükleri toplamak ve incelemek için yaygın olarak kullanılan, önde gelen açık kaynaklı ve sağlam bir merkezi günlük kaydı yönetim aracıdır. Kurulumu kolaydır ve küçük işletmeler için şiddetle tavsiye edilir.

Graylog ağ anahtarları, yönlendiriciler ve kablosuz erişim noktaları da dahil olmak üzere birden fazla cihazdan kolayca veri toplamanıza yardımcı olur. Elasticsearch analiz motoruyla entegre olur ve verileri depolamak için MongoDB'den yararlanır; toplanan günlükler, ayrıntılı bilgiler sunar ve sistem hatalarını ve hatalarını gidermeye yardımcı olur.

Graylog ile verileri sorunsuz bir şekilde izlemenize yardımcı olan harika kontrol panellerine sahip düzenli ve uykulu bir Web kullanıcı arayüzüne sahip olursunuz. Ayrıca uyumluluk denetimi, tehdit arama ve çok daha fazlasına yardımcı olan bir dizi şık araç ve işlevselliğe sahip olursunuz. Bildirimleri, belirli bir koşul karşılandığında veya bir sorun oluştuğunda bir uyarı tetiklenecek şekilde etkinleştirebilirsiniz.

Genel olarak, Graylog büyük miktarda veriyi derleme konusunda oldukça iyi bir iş çıkarıyor ve veri aramayı ve analiz etmeyi basitleştiriyor. En son sürüm Graylog 4.0'dır ve Karanlık mod, slack ile entegrasyon ve ElasticSearch 7 ve çok daha fazlası gibi yeni özellikler sunar.

3. Günlük kontrolü

Logcheck, cron işi olarak çalıştırılan bir başka açık kaynaklı günlük izleme aracıdır. İhlalleri veya tetiklenen sistem olaylarını tespit etmek için binlerce günlük dosyasını inceler. Logcheck daha sonra, operasyon ekiplerini yetkisiz bir ihlal veya sistem hatası gibi bir sorun konusunda uyarmak için uyarıların ayrıntılı bir özetini yapılandırılmış bir e-posta adresine gönderir.

Bu kayıt sisteminde aşağıdakileri içeren üç farklı düzeyde günlük dosyası filtreleme geliştirilmiştir:

Logcheck ayrıca raporlanacak mesajları güvenlik olayları, sistem olayları ve sistem saldırısı uyarılarını içeren üç olası katmana ayırma yeteneğine de sahiptir. Sistem Yöneticisi, filtreleme düzeyine bağlı olarak sistem olaylarının raporlanacağı ayrıntı düzeyini seçebilir; ancak bu, güvenlik olaylarını ve sistem saldırısı uyarılarını etkilemez.

4. Günlük izleme

Logwatch açık kaynaklı ve son derece özelleştirilebilir bir günlük toplama ve analiz uygulamasıdır. Hem sistem hem de uygulama günlüklerini ayrıştırır ve uygulamaların nasıl çalıştığına ilişkin bir rapor oluşturur. Rapor, komut satırından veya özel bir e-posta adresi aracılığıyla iletilir.

/etc/logwatch/conf yolundaki parametreleri değiştirerek Logwatch'ı tercihlerinize göre kolayca özelleştirebilirsiniz. Ayrıca günlük ayrıştırmayı kolaylaştırmak için önceden yazılmış PERL komut dosyaları şeklinde ekstra bir şeyler de sağlar.

Logwatch katmanlı bir yaklaşımla gelir ve yapılandırma ayrıntılarının tanımlandığı 3 ana konum vardır:

Tüm varsayılan ayarlar /usr/share/logwatch/default.conf/logwatch.conf dosyasında tanımlanmıştır. Önerilen uygulama, bu dosyayı olduğu gibi bırakmak ve bunun yerine, orijinal yapılandırma dosyasını kopyalayıp ardından özel ayarlarınızı tanımlayarak /etc/logwatch/conf/ yolunda kendi yapılandırma dosyanızı oluşturmaktır.

Logwatch'un en son sürümü 7.5.5 sürümüdür ve systemd günlüğünü doğrudan Journalctl kullanarak sorgulamak için destek sağlar. Özel bir günlük yönetimi aracı almaya gücünüz yetmiyorsa Logwatch, bir şeyler ters gittiğinde tüm olayların günlüğe kaydedileceğini ve bildirimlerin iletileceğini bilmenin rahatlığını verecektir.

5. Günlük

Logstash, yerel dosyalar veya S3 gibi dağıtılmış sistemler de dahil olmak üzere çok sayıda kaynaktan veri kabul eden, açık kaynaklı, sunucu tarafı bir veri işleme hattıdır. Daha sonra günlükleri işler ve bunları daha sonra analiz edilip arşivlenecekleri Elasticsearch gibi platformlara yönlendirir. Birden fazla uygulamadan hacimli günlükleri alıp daha sonra bunları farklı veritabanlarına veya motorlara aynı anda gönderebildiği için oldukça güçlü bir araçtır.

Logstash yapılandırılmamış verileri yapılandırır ve coğrafi konum aramaları gerçekleştirir, kişisel verileri anonimleştirir ve birden fazla düğümde de ölçeklendirir. Logstash'ın SNMP, kalp atışları, Syslog, Kafka, kukla, Windows olay günlüğü vb. dahil olmak üzere boruyu dinlemesini sağlayabileceğiniz kapsamlı bir veri kaynakları listesi vardır.

Logstash, ayrıştırma ve yapılandırma vb. amaçlarla Logstash'a veri besleyen hafif veri göndericileri olan "beats"e güvenir. Veriler daha sonra dizine ekleme için Google Cloud, MongoDB ve Elasticsearch gibi diğer hedeflere gönderilir. Logstash, Elastic Stack'in kullanıcıların herhangi bir biçimdeki verileri derlemesine, ayrıştırmasına ve etkileşimli kontrol panellerinde görselleştirmesine olanak tanıyan önemli bir bileşenidir.

Dahası, Logstash yaygın topluluk desteğinden ve düzenli güncellemelerden yararlanıyor.

Özet

Şimdilik bu kadar ve bunların Linux'ta kullanabileceğiniz tüm günlük yönetim sistemleri olmadığını unutmayın. Gelecek makalelerde listeyi incelemeye ve güncellemeye devam edeceğiz, umarım bu makaleyi faydalı bulursunuz ve yorum bırakarak diğer önemli kayıt araçları veya sistemleri hakkında bize bilgi verebilirsiniz.