5 เครื่องมือจัดการบันทึกโอเพ่นซอร์สที่ดีที่สุดสำหรับ Linux
เมื่อระบบปฏิบัติการ เช่น Linux กำลังทำงานอยู่ จะมีเหตุการณ์มากมายเกิดขึ้นและกระบวนการต่างๆ ที่ทำงานอยู่เบื้องหลังเพื่อให้สามารถใช้ทรัพยากรระบบได้อย่างมีประสิทธิภาพและเชื่อถือได้ เหตุการณ์เหล่านี้อาจเกิดขึ้นในซอฟต์แวร์ระบบ เช่น กระบวนการ init หรือ systemd หรือแอปพลิเคชันของผู้ใช้ เช่น Apache, MySQL , FTP และอื่นๆ อีกมากมาย
เพื่อให้เข้าใจสถานะของระบบและแอปพลิเคชันต่างๆ และวิธีการทำงาน ผู้ดูแลระบบจะต้องตรวจสอบไฟล์บันทึกเป็นประจำทุกวันในสภาพแวดล้อมการใช้งานจริง
คุณคงจินตนาการได้ว่าต้องตรวจสอบไฟล์บันทึกจากพื้นที่ระบบและแอปพลิเคชันต่างๆ ซึ่งเป็นจุดที่ระบบการบันทึกมีประโยชน์ ช่วยตรวจสอบ ทบทวน วิเคราะห์ และแม้แต่สร้างรายงานจากไฟล์บันทึกต่างๆ ตามที่ผู้ดูแลระบบกำหนดค่าไว้
ในบทความนี้ เราจะมาดูระบบจัดการบันทึกโอเพนซอร์สที่ใช้มากที่สุดสี่อันดับแรกใน Linux ในปัจจุบัน โปรโตคอลการบันทึกมาตรฐานในการกระจายส่วนใหญ่หรือทั้งหมดในปัจจุบันคือ Syslog
1. ManageEngine EventLog Analyzer
ManageEngine EventLog Analyzer เป็นโซลูชันการจัดการบันทึกภายในองค์กรที่ออกแบบมาสำหรับธุรกิจทุกขนาดในอุตสาหกรรมต่างๆ เช่น เทคโนโลยีสารสนเทศ สุขภาพ การค้าปลีก การเงิน การศึกษา และอื่นๆ โซลูชันนี้ช่วยให้ผู้ใช้มีการรวบรวมบันทึกทั้งแบบใช้เอเจนต์และแบบไม่ใช้เอเจนต์ ความสามารถในการแยกวิเคราะห์บันทึก เครื่องมือค้นหาบันทึกที่มีประสิทธิภาพ และตัวเลือกการเก็บถาวรบันทึก
ด้วยฟังก์ชันการตรวจสอบอุปกรณ์เครือข่าย ทำให้ผู้ใช้สามารถตรวจสอบอุปกรณ์ของผู้ใช้ปลายทาง ไฟร์วอลล์ เราเตอร์ สวิตช์ และอื่นๆ ได้ในแบบเรียลไทม์ โซลูชันนี้จะแสดงข้อมูลที่วิเคราะห์แล้วในรูปแบบของกราฟและรายงานที่ใช้งานง่าย
กลไกการตรวจจับเหตุการณ์ของ EventLog Analyzer เช่น ความสัมพันธ์ของบันทึกเหตุการณ์ ข้อมูลภัยคุกคาม การใช้เฟรมเวิร์ก MITER ATT&CK การวิเคราะห์ภัยคุกคามขั้นสูง และอื่นๆ อีกมากมาย ช่วยตรวจจับภัยคุกคามด้านความปลอดภัยทันทีที่เกิดขึ้น
ระบบแจ้งเตือนแบบเรียลไทม์จะแจ้งเตือนผู้ใช้เกี่ยวกับกิจกรรมที่น่าสงสัย เพื่อให้พวกเขาสามารถจัดลำดับความสำคัญของภัยคุกคามความปลอดภัยที่มีความเสี่ยงสูงได้ และด้วยระบบตอบสนองเหตุการณ์อัตโนมัติ SOC จึงสามารถบรรเทาภัยคุกคามที่อาจเกิดขึ้นได้
โซลูชันนี้ยังช่วยให้ผู้ใช้ปฏิบัติตามมาตรฐานการปฏิบัติตามไอทีต่างๆ เช่น PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR และอื่นๆ มีการเสนอบริการแบบสมัครสมาชิกโดยขึ้นอยู่กับจำนวนแหล่งบันทึกสำหรับการตรวจสอบ มีการสนับสนุนสำหรับผู้ใช้ผ่านทางโทรศัพท์ วิดีโอผลิตภัณฑ์ และฐานความรู้ออนไลน์
2. เกรย์ล็อก 2
Graylog เป็นเครื่องมือจัดการบันทึกแบบรวมศูนย์แบบโอเพ่นซอร์สและมีประสิทธิภาพชั้นนำ ซึ่งใช้กันอย่างแพร่หลายในการรวบรวมและตรวจสอบบันทึกในสภาพแวดล้อมต่างๆ รวมถึงสภาพแวดล้อมการทดสอบและการใช้งานจริง ติดตั้งง่ายและแนะนำเป็นอย่างยิ่งสำหรับธุรกิจขนาดเล็ก
Graylog ช่วยให้คุณรวบรวมข้อมูลจากอุปกรณ์หลายเครื่องได้อย่างง่ายดาย รวมถึงสวิตช์เครือข่าย เราเตอร์ และจุดเข้าใช้งานแบบไร้สาย โดยผสานรวมกับเครื่องมือวิเคราะห์ Elasticsearch และใช้ประโยชน์จาก MongoDB เพื่อจัดเก็บข้อมูลและบันทึกที่รวบรวมไว้นำเสนอข้อมูลเชิงลึกและมีประโยชน์ในการแก้ไขปัญหาข้อผิดพลาดและข้อผิดพลาดของระบบ
ด้วย Graylog คุณจะได้รับ WebUI ที่เรียบร้อยและเงียบสงบพร้อมแดชบอร์ดสุดเจ๋งที่ช่วยให้คุณติดตามข้อมูลได้อย่างราบรื่น นอกจากนี้คุณยังได้รับชุดเครื่องมือและฟังก์ชันการทำงานที่ดีซึ่งช่วยในการตรวจสอบการปฏิบัติตามข้อกำหนด การค้นหาภัยคุกคาม และอื่นๆ อีกมากมาย คุณสามารถเปิดใช้งานการแจ้งเตือนในลักษณะที่จะทริกเกอร์การแจ้งเตือนเมื่อตรงตามเงื่อนไขบางประการหรือเกิดปัญหาขึ้น
โดยรวมแล้ว Graylog ทำงานได้ดีทีเดียวในการรวบรวมข้อมูลจำนวนมาก และทำให้การค้นหาและวิเคราะห์ข้อมูลง่ายขึ้น เวอร์ชันล่าสุดคือ Graylog 4.0 และมีคุณลักษณะใหม่ๆ เช่น โหมดมืด การผสานรวมกับ slack และ ElasticSearch 7 และอื่นๆ อีกมากมาย
3. ล็อกเช็ค
Logcheck เป็นอีกหนึ่งเครื่องมือตรวจสอบบันทึกโอเพ่นซอร์สที่ทำงานเป็นงาน cron โดยจะกรองไฟล์บันทึกนับพันไฟล์เพื่อตรวจจับการละเมิดหรือเหตุการณ์ของระบบที่ถูกทริกเกอร์ จากนั้น Logcheck จะส่งสรุปโดยละเอียดของการแจ้งเตือนไปยังที่อยู่อีเมลที่กำหนดค่าไว้ เพื่อแจ้งเตือนทีมปฏิบัติการเกี่ยวกับปัญหา เช่น การละเมิดที่ไม่ได้รับอนุญาตหรือข้อบกพร่องของระบบ
การกรองไฟล์บันทึกสามระดับที่แตกต่างกันได้รับการพัฒนาในระบบการบันทึกนี้ซึ่งรวมถึง:
- หวาดระแวง: มีไว้สำหรับระบบความปลอดภัยสูงที่ให้บริการน้อยมากที่สุดเท่าที่จะเป็นไปได้
- เซิร์ฟเวอร์: นี่คือระดับการกรองเริ่มต้นสำหรับการตรวจสอบบันทึก และกฎของเซิร์ฟเวอร์ถูกกำหนดไว้สำหรับเดมอนของระบบต่างๆ มากมาย กฎเกณฑ์ที่กำหนดไว้ภายใต้ระดับหวาดระแวงจะรวมอยู่ในระดับนี้ด้วย
- เวิร์กสเตชัน: มีไว้สำหรับระบบที่มีการป้องกันและช่วยกรองข้อความส่วนใหญ่ นอกจากนี้ยังมีกฎที่กำหนดไว้ภายใต้ระดับหวาดระแวงและระดับเซิร์ฟเวอร์
Logcheck ยังสามารถจัดเรียงข้อความเพื่อรายงานเป็นสามชั้นที่เป็นไปได้ซึ่งรวมถึง เหตุการณ์ความปลอดภัย กิจกรรมของระบบ และการแจ้งเตือนการโจมตีระบบ ผู้ดูแลระบบสามารถเลือกระดับรายละเอียดที่จะรายงานเหตุการณ์ของระบบได้ โดยขึ้นอยู่กับระดับการกรอง แม้ว่าจะไม่ส่งผลต่อเหตุการณ์ด้านความปลอดภัยและการแจ้งเตือนการโจมตีระบบก็ตาม
Logcheck มีคุณสมบัติดังต่อไปนี้:
- เทมเพลตรายงานที่กำหนดไว้ล่วงหน้า
- กลไกในการกรองบันทึกโดยใช้นิพจน์ทั่วไป
- การแจ้งเตือนทางอีเมลทันที
- การแจ้งเตือนความปลอดภัยทันที
4. ล็อกวอทช์
Logwatch เป็นแอปพลิเคชันการรวบรวมและวิเคราะห์บันทึกโอเพ่นซอร์สที่ปรับแต่งได้สูง แยกวิเคราะห์ทั้งบันทึกของระบบและแอปพลิเคชัน และสร้างรายงานเกี่ยวกับวิธีการทำงานของแอปพลิเคชัน รายงานจะถูกส่งผ่านทางบรรทัดคำสั่งหรือผ่านที่อยู่อีเมลเฉพาะ
คุณสามารถปรับแต่ง Logwatch ตามความต้องการของคุณได้อย่างง่ายดายโดยการแก้ไขพารามิเตอร์ในเส้นทาง /etc/logwatch/conf นอกจากนี้ยังมีสิ่งพิเศษเพิ่มเติมเกี่ยวกับสคริปต์ PERL ที่เขียนไว้ล่วงหน้าเพื่อให้การแยกวิเคราะห์บันทึกง่ายขึ้น
Logwatch มาพร้อมกับแนวทางแบบลำดับชั้นและมี 3 ตำแหน่งหลักที่มีการกำหนดรายละเอียดการกำหนดค่า:
- /usr/share/logwatch/default.conf/*
- /etc/logwatch/conf/dist.conf/*
- /etc/logwatch/conf/*
การตั้งค่าเริ่มต้นทั้งหมดถูกกำหนดไว้ในไฟล์ /usr/share/logwatch/default.conf/logwatch.conf แนวทางปฏิบัติที่แนะนำคือปล่อยไฟล์นี้ไว้เหมือนเดิม และสร้างไฟล์การกำหนดค่าของคุณเองที่เส้นทาง /etc/logwatch/conf/ แทน โดยการคัดลอกไฟล์การกำหนดค่าต้นฉบับ จากนั้นกำหนดการตั้งค่าที่คุณกำหนดเอง
Logwatch เวอร์ชันล่าสุดคือเวอร์ชัน 7.5.5 และให้การสนับสนุนในการสืบค้นเจอร์นัล systemd โดยตรงโดยใช้เจอร์นัลctl หากคุณไม่สามารถซื้อเครื่องมือจัดการบันทึกที่เป็นกรรมสิทธิ์ได้ Logwatch จะทำให้คุณอุ่นใจได้ว่ากิจกรรมทั้งหมดจะถูกบันทึกและจะมีการแจ้งเตือนในกรณีที่มีสิ่งผิดปกติเกิดขึ้น
5. ล็อกสแตช
Logstash คือไปป์ไลน์การประมวลผลข้อมูลฝั่งเซิร์ฟเวอร์แบบโอเพ่นซอร์สที่ยอมรับข้อมูลจากแหล่งที่มาจำนวนมาก รวมถึงไฟล์ในเครื่อง หรือระบบแบบกระจาย เช่น S3 จากนั้นจะประมวลผลบันทึกและส่งต่อไปยังแพลตฟอร์ม เช่น Elasticsearch ซึ่งจะมีการวิเคราะห์และเก็บถาวรในภายหลัง มันเป็นเครื่องมือที่ค่อนข้างทรงพลังเนื่องจากสามารถนำเข้าบันทึกจำนวนมากจากหลาย ๆ แอปพลิเคชันและส่งออกไปยังฐานข้อมูลหรือกลไกต่าง ๆ ในเวลาเดียวกันได้ในภายหลัง
Logstash จัดโครงสร้างข้อมูลที่ไม่มีโครงสร้างและดำเนินการค้นหาตำแหน่งทางภูมิศาสตร์ ปิดบังข้อมูลส่วนบุคคล และปรับขนาดในหลายโหนดเช่นกัน มีรายการแหล่งข้อมูลมากมายที่คุณสามารถให้ Logstash ฟังไพพ์ได้ รวมถึง SNMP, ฮาร์ทบีท, Syslog, Kafka, หุ่นเชิด, บันทึกเหตุการณ์ของ Windows เป็นต้น
Logstash อาศัย "จังหวะ" ซึ่งเป็นผู้จัดส่งข้อมูลแบบน้ำหนักเบาซึ่งป้อนข้อมูลไปยัง Logstash เพื่อแยกวิเคราะห์และจัดโครงสร้าง ฯลฯ จากนั้นข้อมูลจะถูกส่งไปยังปลายทางอื่นๆ เช่น Google Cloud, MongoDB และ Elasticsearch เพื่อการจัดทำดัชนี Logstash เป็นองค์ประกอบสำคัญของ Elastic Stack ที่ช่วยให้ผู้ใช้สามารถเปรียบเทียบข้อมูลในรูปแบบใดก็ได้ แยกวิเคราะห์ และแสดงภาพข้อมูลบนแดชบอร์ดเชิงโต้ตอบ
ยิ่งไปกว่านั้น Logstash ยังได้รับการสนับสนุนจากชุมชนอย่างกว้างขวางและการอัปเดตเป็นประจำ
สรุป
ในตอนนี้ก็เท่านั้น และจำไว้ว่าสิ่งเหล่านี้ไม่ใช่ระบบการจัดการบันทึกทั้งหมดที่คุณสามารถใช้ได้บน Linux เราจะตรวจสอบและอัปเดตรายการต่อไปในบทความต่อๆ ไป ฉันหวังว่าคุณจะพบว่าบทความนี้มีประโยชน์ และคุณสามารถแจ้งให้เราทราบเกี่ยวกับเครื่องมือหรือระบบการบันทึกที่สำคัญอื่นๆ ได้โดยแสดงความคิดเห็น