I 5 migliori strumenti di gestione dei log open source per Linux

1. Analizzatore EventLog di ManageEngine

ManageEngine EventLog Analyser è una soluzione di gestione dei registri in sede progettata per aziende di tutte le dimensioni in vari settori come tecnologia dell'informazione, sanità, vendita al dettaglio, finanza, istruzione e altro ancora. La soluzione fornisce agli utenti raccolta di log sia basata su agente che senza agente, funzionalità di analisi dei log, un potente motore di ricerca dei log e opzioni di archiviazione dei log.

Grazie alla funzionalità di controllo dei dispositivi di rete, consente agli utenti di monitorare i propri dispositivi finali, firewall, router, switch e altro in tempo reale. La soluzione visualizza i dati analizzati sotto forma di grafici e report intuitivi.

I meccanismi di rilevamento degli incidenti di EventLog Analyser, come la correlazione del registro eventi, l'intelligence sulle minacce, l'implementazione del framework MITRE ATT&CK, l'analisi avanzata delle minacce e altro ancora, aiutano a individuare le minacce alla sicurezza non appena si verificano.

Il sistema di avviso in tempo reale avvisa gli utenti di attività sospette, in modo che possano dare priorità alle minacce alla sicurezza ad alto rischio. E con un sistema automatizzato di risposta agli incidenti, i SOC possono mitigare le potenziali minacce.

La soluzione aiuta inoltre gli utenti a conformarsi a vari standard di conformità IT come PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR e altri. I servizi in abbonamento vengono offerti in base al numero di origini registro per il monitoraggio. Il supporto viene reso disponibile agli utenti tramite telefono, video dei prodotti e una knowledge base online.

2. Graylog 2

Graylog è uno strumento leader di gestione dei registri centralizzato, open source e robusto, ampiamente utilizzato per raccogliere ed esaminare i registri in vari ambienti, inclusi ambienti di test e di produzione. È facile da configurare ed è altamente raccomandato per le piccole imprese.

Graylog ti aiuta a raccogliere facilmente dati da più dispositivi tra cui switch di rete, router e punti di accesso wireless. Si integra con il motore di analisi Elasticsearch e sfrutta MongoDB per archiviare dati e i log raccolti offrono approfondimenti approfonditi e sono utili per la risoluzione di guasti ed errori del sistema.

Con Graylog, ottieni un'interfaccia utente Web ordinata e sonnolenta con dashboard interessanti che ti aiutano a tenere traccia dei dati senza problemi. Inoltre, ottieni una serie di strumenti e funzionalità intelligenti che aiutano nel controllo della conformità, nella ricerca delle minacce e molto altro ancora. Puoi abilitare le notifiche in modo tale che venga attivato un avviso quando viene soddisfatta una determinata condizione o si verifica un problema.

Nel complesso, Graylog fa un ottimo lavoro raccogliendo grandi quantità di dati e semplificando la ricerca e l'analisi dei dati. L'ultima versione è Graylog 4.0 e offre nuove funzionalità come la modalità Dark, l'integrazione con Slack ed ElasticSearch 7 e molto altro ancora.

3. Controllo registro

Logcheck è un altro strumento di monitoraggio dei log open source eseguito come processo cron. Esamina migliaia di file di registro per rilevare violazioni o eventi di sistema che vengono attivati. Logcheck invia quindi un riepilogo dettagliato degli avvisi a un indirizzo e-mail configurato per avvisare i team operativi di un problema come una violazione non autorizzata o un guasto del sistema.

In questo sistema di registrazione sono sviluppati tre diversi livelli di filtraggio dei file di registro che includono:

• Paranoid: è destinato a sistemi ad alta sicurezza che eseguono pochissimi servizi possibili.
• Server: questo è il livello di filtro predefinito per logcheck e le sue regole sono definite per molti demoni di sistema diversi. In questo livello sono incluse anche le regole definite nel livello paranoico.
• Workstation: è per sistemi protetti e aiuta a filtrare la maggior parte dei messaggi. Include anche regole definite a livello paranoico e server.

Logcheck è anche in grado di ordinare i messaggi da segnalare in tre possibili livelli che includono eventi di sicurezza, eventi di sistema e avvisi di attacchi di sistema. Un amministratore di sistema può scegliere il livello di dettaglio con cui vengono segnalati gli eventi di sistema in base al livello di filtro, sebbene ciò non influisca sugli eventi di sicurezza e sugli avvisi di attacco al sistema.

Logcheck fornisce le seguenti funzionalità:

• Modelli di report predefiniti.
• Un meccanismo per filtrare i log utilizzando le espressioni regolari.
• Notifiche e-mail istantanee.
• Avvisi di sicurezza istantanei.

4. Logwatch

Logwatch è un'applicazione di raccolta e analisi dei registri open source e altamente personalizzabile. Analizza sia i registri di sistema che quelli delle applicazioni e genera un rapporto su come vengono eseguite le applicazioni. Il report viene consegnato dalla riga di comando o tramite un indirizzo email dedicato.

Puoi personalizzare facilmente Logwatch in base alle tue preferenze modificando i parametri nel percorso /etc/logwatch/conf. Fornisce inoltre qualcosa in più in termini di script PERL precompilati per semplificare l'analisi dei log.

Logwatch prevede un approccio a più livelli e sono presenti 3 posizioni principali in cui vengono definiti i dettagli di configurazione:

• /usr/share/logwatch/default.conf/*
• /etc/logwatch/conf/dist.conf/*
• /etc/logwatch/conf/*

Tutte le impostazioni predefinite sono definite nel file /usr/share/logwatch/default.conf/logwatch.conf. La pratica consigliata è lasciare intatto questo file e creare invece il proprio file di configurazione nel percorso /etc/logwatch/conf/ copiando il file di configurazione originale e quindi definendo le impostazioni personalizzate.

L'ultima versione di Logwatch è la versione 7.5.5 e fornisce supporto per interrogare il journal systemd direttamente utilizzando journalctl. Se non puoi permetterti uno strumento proprietario di gestione dei registri, Logwatch ti darà la tranquillità di sapere che tutti gli eventi verranno registrati e le notifiche verranno inviate nel caso qualcosa vada storto.

5. Registro

Logstash è una pipeline di elaborazione dati lato server open source che accetta dati da una moltitudine di fonti, inclusi file locali o sistemi distribuiti come S3. Successivamente elabora i log e li convoglia su piattaforme come Elasticsearch dove vengono successivamente analizzati e archiviati. È uno strumento piuttosto potente in quanto può acquisire volumi di registri da più applicazioni e successivamente inviarli a diversi database o motori contemporaneamente.

Logstash struttura dati non strutturati ed esegue ricerche di geolocalizzazione, rende anonimi i dati personali e si adatta anche a più nodi. Esiste un ampio elenco di origini dati che puoi consentire a Logstash di ascoltare tramite pipe, inclusi SNMP, heartbeat, Syslog, Kafka, pupazzo, registro eventi di Windows, ecc.

Logstash si basa su "beat", che sono trasportatori di dati leggeri che forniscono dati a Logstash per l'analisi, la strutturazione, ecc. I dati vengono quindi inviati ad altre destinazioni come Google Cloud, MongoDB ed Elasticsearch per l'indicizzazione. Logstash è un componente chiave di Elastic Stack che consente agli utenti di raccogliere dati in qualsiasi forma, analizzarli e visualizzarli su dashboard interattive.

Inoltre, Logstash gode di un ampio supporto da parte della community e di aggiornamenti regolari.

Riepilogo

Per ora è tutto e ricorda che questi non sono tutti i sistemi di gestione dei log disponibili che puoi utilizzare su Linux. Continueremo a rivedere e aggiornare l'elenco negli articoli futuri, spero che troverai utile questo articolo e che tu possa farci conoscere altri importanti strumenti o sistemi di registrazione disponibili lasciando un commento.