ค้นหาเว็บไซต์

5 เครื่องมือจัดการบันทึกโอเพ่นซอร์สที่ดีที่สุดสำหรับ Linux

เมื่อระบบปฏิบัติการ เช่น Linux กำลังทำงานอยู่ จะมีเหตุการณ์มากมายเกิดขึ้นและกระบวนการต่างๆ ที่ทำงานอยู่เบื้องหลังเพื่อให้สามารถใช้ทรัพยากรระบบได้อย่างมีประสิทธิภาพและเชื่อถือได้ เหตุการณ์เหล่านี้อาจเกิดขึ้นในซอฟต์แวร์ระบบ เช่น กระบวนการ init หรือ systemd หรือแอปพลิเคชันของผู้ใช้ เช่น Apache, MySQL , FTP และอื่นๆ อีกมากมาย

เพื่อให้เข้าใจสถานะของระบบและแอปพลิเคชันต่างๆ และวิธีการทำงาน ผู้ดูแลระบบจะต้องตรวจสอบไฟล์บันทึกเป็นประจำทุกวันในสภาพแวดล้อมการใช้งานจริง

คุณคงจินตนาการได้ว่าต้องตรวจสอบไฟล์บันทึกจากพื้นที่ระบบและแอปพลิเคชันต่างๆ ซึ่งเป็นจุดที่ระบบการบันทึกมีประโยชน์ ช่วยตรวจสอบ ทบทวน วิเคราะห์ และแม้แต่สร้างรายงานจากไฟล์บันทึกต่างๆ ตามที่ผู้ดูแลระบบกำหนดค่าไว้

ในบทความนี้ เราจะมาดูระบบจัดการบันทึกโอเพนซอร์สที่ใช้มากที่สุดสี่อันดับแรกใน Linux ในปัจจุบัน โปรโตคอลการบันทึกมาตรฐานในการกระจายส่วนใหญ่หรือทั้งหมดในปัจจุบันคือ Syslog

1. ManageEngine EventLog Analyzer

ManageEngine EventLog Analyzer เป็นโซลูชันการจัดการบันทึกภายในองค์กรที่ออกแบบมาสำหรับธุรกิจทุกขนาดในอุตสาหกรรมต่างๆ เช่น เทคโนโลยีสารสนเทศ สุขภาพ การค้าปลีก การเงิน การศึกษา และอื่นๆ โซลูชันนี้ช่วยให้ผู้ใช้มีการรวบรวมบันทึกทั้งแบบใช้เอเจนต์และแบบไม่ใช้เอเจนต์ ความสามารถในการแยกวิเคราะห์บันทึก เครื่องมือค้นหาบันทึกที่มีประสิทธิภาพ และตัวเลือกการเก็บถาวรบันทึก

ด้วยฟังก์ชันการตรวจสอบอุปกรณ์เครือข่าย ทำให้ผู้ใช้สามารถตรวจสอบอุปกรณ์ของผู้ใช้ปลายทาง ไฟร์วอลล์ เราเตอร์ สวิตช์ และอื่นๆ ได้ในแบบเรียลไทม์ โซลูชันนี้จะแสดงข้อมูลที่วิเคราะห์แล้วในรูปแบบของกราฟและรายงานที่ใช้งานง่าย

กลไกการตรวจจับเหตุการณ์ของ EventLog Analyzer เช่น ความสัมพันธ์ของบันทึกเหตุการณ์ ข้อมูลภัยคุกคาม การใช้เฟรมเวิร์ก MITER ATT&CK การวิเคราะห์ภัยคุกคามขั้นสูง และอื่นๆ อีกมากมาย ช่วยตรวจจับภัยคุกคามด้านความปลอดภัยทันทีที่เกิดขึ้น

ระบบแจ้งเตือนแบบเรียลไทม์จะแจ้งเตือนผู้ใช้เกี่ยวกับกิจกรรมที่น่าสงสัย เพื่อให้พวกเขาสามารถจัดลำดับความสำคัญของภัยคุกคามความปลอดภัยที่มีความเสี่ยงสูงได้ และด้วยระบบตอบสนองเหตุการณ์อัตโนมัติ SOC จึงสามารถบรรเทาภัยคุกคามที่อาจเกิดขึ้นได้

โซลูชันนี้ยังช่วยให้ผู้ใช้ปฏิบัติตามมาตรฐานการปฏิบัติตามไอทีต่างๆ เช่น PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR และอื่นๆ มีการเสนอบริการแบบสมัครสมาชิกโดยขึ้นอยู่กับจำนวนแหล่งบันทึกสำหรับการตรวจสอบ มีการสนับสนุนสำหรับผู้ใช้ผ่านทางโทรศัพท์ วิดีโอผลิตภัณฑ์ และฐานความรู้ออนไลน์

2. เกรย์ล็อก 2

Graylog เป็นเครื่องมือจัดการบันทึกแบบรวมศูนย์แบบโอเพ่นซอร์สและมีประสิทธิภาพชั้นนำ ซึ่งใช้กันอย่างแพร่หลายในการรวบรวมและตรวจสอบบันทึกในสภาพแวดล้อมต่างๆ รวมถึงสภาพแวดล้อมการทดสอบและการใช้งานจริง ติดตั้งง่ายและแนะนำเป็นอย่างยิ่งสำหรับธุรกิจขนาดเล็ก

Graylog ช่วยให้คุณรวบรวมข้อมูลจากอุปกรณ์หลายเครื่องได้อย่างง่ายดาย รวมถึงสวิตช์เครือข่าย เราเตอร์ และจุดเข้าใช้งานแบบไร้สาย โดยผสานรวมกับเครื่องมือวิเคราะห์ Elasticsearch และใช้ประโยชน์จาก MongoDB เพื่อจัดเก็บข้อมูลและบันทึกที่รวบรวมไว้นำเสนอข้อมูลเชิงลึกและมีประโยชน์ในการแก้ไขปัญหาข้อผิดพลาดและข้อผิดพลาดของระบบ

ด้วย Graylog คุณจะได้รับ WebUI ที่เรียบร้อยและเงียบสงบพร้อมแดชบอร์ดสุดเจ๋งที่ช่วยให้คุณติดตามข้อมูลได้อย่างราบรื่น นอกจากนี้คุณยังได้รับชุดเครื่องมือและฟังก์ชันการทำงานที่ดีซึ่งช่วยในการตรวจสอบการปฏิบัติตามข้อกำหนด การค้นหาภัยคุกคาม และอื่นๆ อีกมากมาย คุณสามารถเปิดใช้งานการแจ้งเตือนในลักษณะที่จะทริกเกอร์การแจ้งเตือนเมื่อตรงตามเงื่อนไขบางประการหรือเกิดปัญหาขึ้น

โดยรวมแล้ว Graylog ทำงานได้ดีทีเดียวในการรวบรวมข้อมูลจำนวนมาก และทำให้การค้นหาและวิเคราะห์ข้อมูลง่ายขึ้น เวอร์ชันล่าสุดคือ Graylog 4.0 และมีคุณลักษณะใหม่ๆ เช่น โหมดมืด การผสานรวมกับ slack และ ElasticSearch 7 และอื่นๆ อีกมากมาย

3. ล็อกเช็ค

Logcheck เป็นอีกหนึ่งเครื่องมือตรวจสอบบันทึกโอเพ่นซอร์สที่ทำงานเป็นงาน cron โดยจะกรองไฟล์บันทึกนับพันไฟล์เพื่อตรวจจับการละเมิดหรือเหตุการณ์ของระบบที่ถูกทริกเกอร์ จากนั้น Logcheck จะส่งสรุปโดยละเอียดของการแจ้งเตือนไปยังที่อยู่อีเมลที่กำหนดค่าไว้ เพื่อแจ้งเตือนทีมปฏิบัติการเกี่ยวกับปัญหา เช่น การละเมิดที่ไม่ได้รับอนุญาตหรือข้อบกพร่องของระบบ

การกรองไฟล์บันทึกสามระดับที่แตกต่างกันได้รับการพัฒนาในระบบการบันทึกนี้ซึ่งรวมถึง:

  • หวาดระแวง: มีไว้สำหรับระบบความปลอดภัยสูงที่ให้บริการน้อยมากที่สุดเท่าที่จะเป็นไปได้
  • เซิร์ฟเวอร์: นี่คือระดับการกรองเริ่มต้นสำหรับการตรวจสอบบันทึก และกฎของเซิร์ฟเวอร์ถูกกำหนดไว้สำหรับเดมอนของระบบต่างๆ มากมาย กฎเกณฑ์ที่กำหนดไว้ภายใต้ระดับหวาดระแวงจะรวมอยู่ในระดับนี้ด้วย
  • เวิร์กสเตชัน: มีไว้สำหรับระบบที่มีการป้องกันและช่วยกรองข้อความส่วนใหญ่ นอกจากนี้ยังมีกฎที่กำหนดไว้ภายใต้ระดับหวาดระแวงและระดับเซิร์ฟเวอร์

Logcheck ยังสามารถจัดเรียงข้อความเพื่อรายงานเป็นสามชั้นที่เป็นไปได้ซึ่งรวมถึง เหตุการณ์ความปลอดภัย กิจกรรมของระบบ และการแจ้งเตือนการโจมตีระบบ ผู้ดูแลระบบสามารถเลือกระดับรายละเอียดที่จะรายงานเหตุการณ์ของระบบได้ โดยขึ้นอยู่กับระดับการกรอง แม้ว่าจะไม่ส่งผลต่อเหตุการณ์ด้านความปลอดภัยและการแจ้งเตือนการโจมตีระบบก็ตาม

Logcheck มีคุณสมบัติดังต่อไปนี้:

  • เทมเพลตรายงานที่กำหนดไว้ล่วงหน้า
  • กลไกในการกรองบันทึกโดยใช้นิพจน์ทั่วไป
  • การแจ้งเตือนทางอีเมลทันที
  • การแจ้งเตือนความปลอดภัยทันที

4. ล็อกวอทช์

Logwatch เป็นแอปพลิเคชันการรวบรวมและวิเคราะห์บันทึกโอเพ่นซอร์สที่ปรับแต่งได้สูง แยกวิเคราะห์ทั้งบันทึกของระบบและแอปพลิเคชัน และสร้างรายงานเกี่ยวกับวิธีการทำงานของแอปพลิเคชัน รายงานจะถูกส่งผ่านทางบรรทัดคำสั่งหรือผ่านที่อยู่อีเมลเฉพาะ

คุณสามารถปรับแต่ง Logwatch ตามความต้องการของคุณได้อย่างง่ายดายโดยการแก้ไขพารามิเตอร์ในเส้นทาง /etc/logwatch/conf นอกจากนี้ยังมีสิ่งพิเศษเพิ่มเติมเกี่ยวกับสคริปต์ PERL ที่เขียนไว้ล่วงหน้าเพื่อให้การแยกวิเคราะห์บันทึกง่ายขึ้น

Logwatch มาพร้อมกับแนวทางแบบลำดับชั้นและมี 3 ตำแหน่งหลักที่มีการกำหนดรายละเอียดการกำหนดค่า:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

การตั้งค่าเริ่มต้นทั้งหมดถูกกำหนดไว้ในไฟล์ /usr/share/logwatch/default.conf/logwatch.conf แนวทางปฏิบัติที่แนะนำคือปล่อยไฟล์นี้ไว้เหมือนเดิม และสร้างไฟล์การกำหนดค่าของคุณเองที่เส้นทาง /etc/logwatch/conf/ แทน โดยการคัดลอกไฟล์การกำหนดค่าต้นฉบับ จากนั้นกำหนดการตั้งค่าที่คุณกำหนดเอง

Logwatch เวอร์ชันล่าสุดคือเวอร์ชัน 7.5.5 และให้การสนับสนุนในการสืบค้นเจอร์นัล systemd โดยตรงโดยใช้เจอร์นัลctl หากคุณไม่สามารถซื้อเครื่องมือจัดการบันทึกที่เป็นกรรมสิทธิ์ได้ Logwatch จะทำให้คุณอุ่นใจได้ว่ากิจกรรมทั้งหมดจะถูกบันทึกและจะมีการแจ้งเตือนในกรณีที่มีสิ่งผิดปกติเกิดขึ้น

5. ล็อกสแตช

Logstash คือไปป์ไลน์การประมวลผลข้อมูลฝั่งเซิร์ฟเวอร์แบบโอเพ่นซอร์สที่ยอมรับข้อมูลจากแหล่งที่มาจำนวนมาก รวมถึงไฟล์ในเครื่อง หรือระบบแบบกระจาย เช่น S3 จากนั้นจะประมวลผลบันทึกและส่งต่อไปยังแพลตฟอร์ม เช่น Elasticsearch ซึ่งจะมีการวิเคราะห์และเก็บถาวรในภายหลัง มันเป็นเครื่องมือที่ค่อนข้างทรงพลังเนื่องจากสามารถนำเข้าบันทึกจำนวนมากจากหลาย ๆ แอปพลิเคชันและส่งออกไปยังฐานข้อมูลหรือกลไกต่าง ๆ ในเวลาเดียวกันได้ในภายหลัง

Logstash จัดโครงสร้างข้อมูลที่ไม่มีโครงสร้างและดำเนินการค้นหาตำแหน่งทางภูมิศาสตร์ ปิดบังข้อมูลส่วนบุคคล และปรับขนาดในหลายโหนดเช่นกัน มีรายการแหล่งข้อมูลมากมายที่คุณสามารถให้ Logstash ฟังไพพ์ได้ รวมถึง SNMP, ฮาร์ทบีท, Syslog, Kafka, หุ่นเชิด, บันทึกเหตุการณ์ของ Windows เป็นต้น

Logstash อาศัย "จังหวะ" ซึ่งเป็นผู้จัดส่งข้อมูลแบบน้ำหนักเบาซึ่งป้อนข้อมูลไปยัง Logstash เพื่อแยกวิเคราะห์และจัดโครงสร้าง ฯลฯ จากนั้นข้อมูลจะถูกส่งไปยังปลายทางอื่นๆ เช่น Google Cloud, MongoDB และ Elasticsearch เพื่อการจัดทำดัชนี Logstash เป็นองค์ประกอบสำคัญของ Elastic Stack ที่ช่วยให้ผู้ใช้สามารถเปรียบเทียบข้อมูลในรูปแบบใดก็ได้ แยกวิเคราะห์ และแสดงภาพข้อมูลบนแดชบอร์ดเชิงโต้ตอบ

ยิ่งไปกว่านั้น Logstash ยังได้รับการสนับสนุนจากชุมชนอย่างกว้างขวางและการอัปเดตเป็นประจำ

สรุป

ในตอนนี้ก็เท่านั้น และจำไว้ว่าสิ่งเหล่านี้ไม่ใช่ระบบการจัดการบันทึกทั้งหมดที่คุณสามารถใช้ได้บน Linux เราจะตรวจสอบและอัปเดตรายการต่อไปในบทความต่อๆ ไป ฉันหวังว่าคุณจะพบว่าบทความนี้มีประโยชน์ และคุณสามารถแจ้งให้เราทราบเกี่ยวกับเครื่องมือหรือระบบการบันทึกที่สำคัญอื่นๆ ได้โดยแสดงความคิดเห็น