5 Herramientas de administración y monitoreo de registro de código abierto para Linux

Cuando un sistema operativo como Linux se está ejecutando, hay muchos eventos y procesos que se ejecutan en segundo plano para permitir el uso eficiente y confiable de los recursos del sistema. Estos eventos pueden ocurrir en el software del sistema, por ejemplo, el en eso o system Aplicaciones de proceso o de usuarios como apache, Mysql, Ftp, y muchos más.

Para comprender el estado del sistema y las diferentes aplicaciones y cómo están funcionando, los administradores del sistema deben seguir revisando los archivos de registro diariamente en entornos de producción.

Puede imaginar tener que revisar los archivos de registro de varias áreas y aplicaciones del sistema, ahí es donde los sistemas de registro son útiles. Ayudan a monitorear, revisar, analizar e incluso generar informes de diferentes archivos de registro según lo configurado por un administrador del sistema.

También podría gustarte:

• Cómo monitorear los usos del sistema, las interrupciones y la solución de problemas de Linux Sistemas
• Cómo administrar los registros del servidor (configurar y rotar) en Linux
• Cómo monitorear los registros del servidor de Linux en tiempo real con el registro.herramienta IO

En este artículo, analizaremos los cuatro principales sistemas de gestión de registro de código abierto más utilizados en Linux hoy, el protocolo de registro estándar en la mayoría de las distribuciones, si no todas, es Syslog.

Tabla de contenido

1

• 1. ManagenEngine EventLog Analyzer
• 2. GrayLog 2
• 3. Cheque de registro
• 4. Observación de registro
• 5. Establo de registro
• Resumen

1. ManagenEngine EventLog Analyzer

ManageEngine EventLog Analyzer es una solución de gestión de registros de registro local diseñada para empresas de todos los tamaños en diversas industrias, como tecnología de la información, salud, venta minorista, finanzas, educación y más. La solución proporciona a los usuarios una colección de registros basada en agentes y sin agentes, capacidades de análisis de registro, un potente motor de búsqueda de registros y opciones de archivo de registro.

Con la funcionalidad de auditoría de dispositivos de red, permite a los usuarios monitorear sus dispositivos de usuario final, firewalls, enrutadores, interruptores y más en tiempo real. La solución muestra datos analizados en forma de gráficos e informes intuitivos.

Los mecanismos de detección de incidentes del analizador de eventlog, como la correlación del registro de eventos, la inteligencia de amenazas, la implementación del marco de Mitre ATT y CK, el análisis de amenazas avanzadas y más, ayudan a detectar amenazas de seguridad tan pronto como ocurran.

El sistema de alerta en tiempo real alerta a los usuarios sobre actividades sospechosas, para que puedan priorizar las amenazas de seguridad de alto riesgo. Y con un sistema automatizado de respuesta a incidentes, los SOC pueden mitigar las posibles amenazas.

La solución también ayuda a los usuarios a cumplir con varios estándares de cumplimiento de TI como PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR y más. Los servicios basados ​​en suscripción se ofrecen dependiendo de la cantidad de fuentes de registro para el monitoreo. El soporte está disponible para los usuarios por teléfono, videos de productos y una base de conocimiento en línea.

ManagenEngine EventLog Analyzer

2. GrayLog 2

GrayLog es una herramienta líder de gestión de registro centralizada de código abierto y sólida que se utiliza ampliamente para recopilar y revisar registros en varios entornos, incluidos los entornos de prueba y producción. Es fácil de configurar y es muy recomendable para pequeñas empresas.

GrayLog - Gestión de registros líderes de Linux

GrayLog Le ayuda a recopilar fácilmente datos de múltiples dispositivos, incluidos interruptores de red, enrutadores y puntos de acceso inalámbrico. Se integra con el Elasticsearch Motor de análisis y apalancamiento Mongodb Para almacenar datos y los registros recopilados ofrecen información profunda y son útiles en la solución de fallas y errores del sistema.

Con GrayLog, Obtiene una webui ordenada y somnolienta con paneles geniales que lo ayudan a rastrear los datos sin problemas. Además, obtienes un conjunto de ingeniosas herramientas y funcionalidades que ayudan en la auditoría de cumplimiento, la búsqueda de amenazas y mucho más. Puede habilitar notificaciones de tal manera que se active una alerta cuando se cumple una determinada condición o se produce un problema.

En general, GrayLog hace un trabajo bastante bueno al recopilar grandes cantidades de datos y simplifica la búsqueda y el análisis de los datos. La última versión es GrayLog 4.0 y ofrece nuevas características como modo oscuro, integración con Slack y Elasticsearch 7 y mucho más.

3. Cheque de registro

Cheque de registro es otra herramienta de monitoreo de registro de código abierto que se ejecuta como un trabajo cron. Se analiza miles de archivos de registro para detectar violaciones o eventos del sistema que se activan. LogCheck luego envía un resumen detallado de las alertas a una dirección de correo electrónico configurada para alertar a los equipos de operación de un problema, como una violación no autorizada o una falla del sistema.

Registros del sistema de escaneos de registro de registro

Se desarrollan tres niveles diferentes de filtrado de archivos de registro en este sistema de registro que incluye:

• Paranoico: está destinado a sistemas de alta seguridad que ejecutan muy pocos servicios como sea posible.
• Servidor: Este es el nivel de filtrado predeterminado para LogCheck y sus reglas se definen para muchos demonios de sistema diferentes. Las reglas definidas bajo el nivel paranoico también se incluyen bajo este nivel.
• Puesto de trabajo: Es para sistemas protegidos y ayuda a filtrar la mayoría de los mensajes. También incluye reglas definidas a niveles paranoicos y de servidor.

LogCheck también es capaz de clasificar los mensajes que se informarán en tres capas posibles que incluyen, eventos de seguridad, eventos del sistema y alertas de ataque del sistema. Un administrador del sistema puede elegir el nivel de detalles al que se informan los eventos del sistema dependiendo del nivel de filtrado, aunque esto no afecta los eventos de seguridad y las alertas de ataque del sistema.

LogCheck proporciona las siguientes características:

• Plantillas de informe predefinidas.
• Un mecanismo para filtrar registros utilizando expresiones regulares.
• Notificaciones de correo electrónico instantáneo.
• Alertas de seguridad instantáneas.

4. Observación de registro

LogWatch es una aplicación de recopilación y análisis de registros de código abierto y altamente personalizable. Analiza tanto el sistema como los registros de aplicaciones y genera un informe sobre cómo se ejecutan las aplicaciones. El informe se entrega en la línea de comandos o a través de una dirección de correo electrónico dedicada.

Analizador de registro de Logwatch Linux

Puede personalizar fácilmente logwatch a su preferencia modificando los parámetros en el /etc/logwatch/conf camino. También proporciona algo extra en el camino de los scripts de perl preescritos para facilitar el análisis de registros.

Observación de registro Viene con un enfoque escalonado y hay 3 ubicaciones principales donde se definen los detalles de configuración:

• /usr/share/logwatch/predeterminado.conf/*
• /etc/logwatch/conf/dist.conf/*
• /etc/logwatch/conf/*

Todas las configuraciones predeterminadas se definen en el /usr/share/logwatch/predeterminado.conf/logwatch.confusión archivo. La práctica recomendada es dejar este archivo intacto y, en su lugar, crear su propio archivo de configuración en el /etc/logwatch/conf/ ruta copiando el archivo de configuración original y luego definiendo su configuración personalizada.

La última versión de Observación de registro es la versión 7.5.5 y proporciona soporte para consultar el system Revista directamente usando JournalCTL. Si no puede permitirse una herramienta de gestión de registros propietaria, Observación de registro te dará tranquilidad al saber que todos los eventos se registrarán y se entregarán notificaciones en caso de que algo se ponga mal.

5. Establo de registro

Establo de registro es una tubería de procesamiento de datos del lado del servidor de código abierto que acepta datos de una multitud de fuentes que incluyen archivos locales o sistemas distribuidos como S3. Luego procesa los registros y los canaliza a plataformas como Elasticsearch donde se analizan y archivan más tarde. Es una herramienta bastante poderosa, ya que puede ingerir volúmenes de registros de múltiples aplicaciones y luego llevarlos a diferentes bases de datos o motores al mismo tiempo.

Logstash: recopilar, analizar y transformar registros

Establo de registro Estructuras de datos no estructurados y realiza búsqueda de geolocalización, anonimiza los datos personales y las escalas también a través de múltiples nodos. Hay una extensa lista de fuentes de datos que puede hacer que Logstash escuche tuberías que incluyen SNMP, Heartbeats, Syslog, Kafka, Puppet, Windows Event Registre, etc.

Logstash se basa en 'ritmo'que son cargadores de datos livianos que alimentan los datos para registrar a los registros para análisis y estructuración, etc. Luego se envían datos a otros destinos como Google Cloud, MongoDB y Elasticsearch para la indexación. Logstash es un componente clave de la pila elástica que permite a los usuarios recopilar datos de cualquier forma, analizarlos y visualizarlo en paneles interactivos.

Lo que es más es que Establo de registro disfruta de un amplio apoyo comunitario y actualizaciones regulares.

Resumen

Eso es todo por ahora y recuerde que estos no son todos los sistemas de administración de registros disponibles que puede usar en Linux. Seguiremos revisando y actualizando la lista en futuros artículos, espero que encuentre este artículo útil y puede informarnos de otras herramientas o sistemas importantes de registro dejando un comentario.