Recherche de site Web

5 meilleurs outils de gestion des journaux Open Source pour Linux


Lorsqu'un système d'exploitation tel que Linux est en cours d'exécution, de nombreux événements et processus s'exécutent en arrière-plan pour permettre une utilisation efficace et fiable des ressources système. Ces événements peuvent se produire dans le logiciel système, par exemple le processus init ou systemd ou dans les applications utilisateur telles que Apache, MySQL. , FTP et bien d'autres encore.

Afin de comprendre l'état du système et des différentes applications ainsi que leur fonctionnement, les administrateurs système doivent continuer à examiner quotidiennement les fichiers journaux dans les environnements de production.

Vous pouvez imaginer devoir examiner les fichiers journaux de plusieurs zones du système et applications, c'est là que les systèmes de journalisation sont utiles. Ils aident à surveiller, examiner, analyser et même générer des rapports à partir de différents fichiers journaux configurés par un administrateur système.

Dans cet article, nous examinerons les quatre systèmes de gestion de journalisation open source les plus utilisés sous Linux aujourd'hui. Le protocole de journalisation standard dans la plupart, sinon la totalité, des distributions actuelles est Syslog.

1. Analyseur de journaux d'événements ManageEngine

ManageEngine EventLog Analyzer est une solution de gestion des journaux sur site conçue pour les entreprises de toutes tailles dans divers secteurs tels que les technologies de l'information, la santé, la vente au détail, la finance, l'éducation, etc. La solution offre aux utilisateurs une collecte de journaux avec et sans agent, des capacités d'analyse des journaux, un puissant moteur de recherche de journaux et des options d'archivage des journaux.

Grâce à la fonctionnalité d'audit des périphériques réseau, il permet aux utilisateurs de surveiller leurs périphériques d'utilisateur final, leurs pare-feu, leurs routeurs, leurs commutateurs et bien plus encore en temps réel. La solution affiche les données analysées sous forme de graphiques et de rapports intuitifs.

Les mécanismes de détection des incidents d'EventLog Analyzer, tels que la corrélation des journaux d'événements, les renseignements sur les menaces, la mise en œuvre du cadre MITRE ATT&CK, l'analyse avancée des menaces, etc., aident à repérer les menaces de sécurité dès qu'elles surviennent.

Le système d'alerte en temps réel alerte les utilisateurs des activités suspectes, afin qu'ils puissent prioriser les menaces de sécurité à haut risque. Et grâce à un système automatisé de réponse aux incidents, les SOC peuvent atténuer les menaces potentielles.

La solution aide également les utilisateurs à se conformer à diverses normes de conformité informatique telles que PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR, etc. Les services par abonnement sont proposés en fonction du nombre de sources de journaux à surveiller. L'assistance est mise à la disposition des utilisateurs par téléphone, via des vidéos de produits et une base de connaissances en ligne.

2. Graylog 2

Graylog est un outil de gestion de journalisation centralisé, open source et robuste, largement utilisé pour collecter et examiner les journaux dans divers environnements, y compris les environnements de test et de production. Il est facile à mettre en place et est fortement recommandé pour les petites entreprises.

Graylog vous aide à collecter facilement des données à partir de plusieurs appareils, notamment des commutateurs réseau, des routeurs et des points d'accès sans fil. Il s'intègre au moteur d'analyse Elasticsearch et exploite MongoDB pour stocker les données. Les journaux collectés offrent des informations approfondies et sont utiles pour dépanner les pannes et les erreurs du système.

Avec Graylog, vous obtenez une interface Web soignée et endormie avec des tableaux de bord sympas qui vous aident à suivre les données de manière transparente. Vous bénéficiez également d’un ensemble d’outils et de fonctionnalités astucieux qui facilitent l’audit de conformité, la recherche de menaces et bien plus encore. Vous pouvez activer les notifications de manière à ce qu'une alerte soit déclenchée lorsqu'une certaine condition est remplie ou qu'un problème survient.

Dans l'ensemble, Graylog fait un très bon travail en rassemblant de grandes quantités de données et simplifie la recherche et l'analyse des données. La dernière version est Graylog 4.0 et offre de nouvelles fonctionnalités telles que le mode sombre, l'intégration avec Slack et ElasticSearch 7 et bien plus encore.

3. Vérification du journal

Logcheck est un autre outil de surveillance des journaux open source exécuté en tant que tâche cron. Il passe au crible des milliers de fichiers journaux pour détecter les violations ou les événements système déclenchés. Logcheck envoie ensuite un résumé détaillé des alertes à une adresse e-mail configurée pour alerter les équipes opérationnelles d'un problème tel qu'une violation non autorisée ou une panne du système.

Trois niveaux différents de filtrage des fichiers journaux sont développés dans ce système de journalisation, notamment :

  • Paranoid : est destiné aux systèmes de haute sécurité qui exécutent très peu de services possible.
  • Serveur : il s'agit du niveau de filtrage par défaut pour logcheck et ses règles sont définies pour de nombreux démons système différents. Les règles définies sous le niveau paranoïaque sont également incluses sous ce niveau.
  • Workstation : il est destiné aux systèmes protégés et permet de filtrer la plupart des messages. Il comprend également des règles définies aux niveaux paranoïaque et serveur.

Logcheck est également capable de trier les messages à signaler en trois couches possibles, à savoir les événements de sécurité, les événements système et les alertes d'attaque système. Un administrateur système peut choisir le niveau de détails auquel les événements système sont signalés en fonction du niveau de filtrage, bien que cela n'affecte pas les événements de sécurité et les alertes d'attaque système.

Logcheck offre les fonctionnalités suivantes :

  • Modèles de rapport prédéfinis.
  • Un mécanisme de filtrage des journaux à l'aide d'expressions régulières.
  • Notifications instantanées par e-mail.
  • Alertes de sécurité instantanées.

4. Journal de surveillance

Logwatch est une application de collecte et d'analyse de journaux open source et hautement personnalisable. Il analyse les journaux du système et des applications et génère un rapport sur le fonctionnement des applications. Le rapport est livré soit sur la ligne de commande, soit via une adresse e-mail dédiée.

Vous pouvez facilement personnaliser Logwatch selon vos préférences en modifiant les paramètres dans le chemin /etc/logwatch/conf. Il fournit également quelque chose de plus sous la forme de scripts PERL pré-écrits pour faciliter l'analyse des journaux.

Logwatch propose une approche à plusieurs niveaux et il existe 3 emplacements principaux où les détails de configuration sont définis :

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

Tous les paramètres par défaut sont définis dans le fichier /usr/share/logwatch/default.conf/logwatch.conf. La pratique recommandée est de laisser ce fichier intact et de créer à la place votre propre fichier de configuration au chemin /etc/logwatch/conf/ en copiant le fichier de configuration d'origine, puis en définissant vos paramètres personnalisés.

La dernière version de Logwatch est la version 7.5.5 et prend en charge l'interrogation du journal systemd directement à l'aide de journalctl. Si vous ne pouvez pas vous permettre un outil propriétaire de gestion des journaux, Logwatch vous apportera la tranquillité d'esprit en sachant que tous les événements seront enregistrés et des notifications envoyées en cas de problème.

5. Réserve de journaux

Logstash est un pipeline de traitement de données open source côté serveur qui accepte des données provenant d'une multitude de sources, y compris des fichiers locaux ou des systèmes distribués comme S3. Il traite ensuite les journaux et les achemine vers des plateformes telles que Elasticsearch où ils sont analysés et archivés ultérieurement. Il s’agit d’un outil assez puissant car il peut ingérer des volumes de journaux provenant de plusieurs applications et les envoyer ensuite vers différentes bases de données ou moteurs en même temps.

Logstash structure les données non structurées et effectue des recherches de géolocalisation, anonymise les données personnelles et s'étend également sur plusieurs nœuds. Il existe une liste complète de sources de données que vous pouvez demander à Logstash d'écouter, notamment SNMP, les battements de cœur, Syslog, Kafka, Puppet, le journal des événements Windows, etc.

Logstash s'appuie sur des « beats » qui sont des expéditeurs de données légers qui transmettent des données à Logstash pour l'analyse et la structuration, etc. Les données sont ensuite envoyées vers d'autres destinations telles que Google Cloud, MongoDB et Elasticsearch pour l'indexation. Logstash est un composant clé d'Elastic Stack qui permet aux utilisateurs de rassembler des données sous n'importe quelle forme, de les analyser et de les visualiser sur des tableaux de bord interactifs.

De plus, Logstash bénéficie d'un large soutien de la communauté et de mises à jour régulières.

Résumé

C'est tout pour l'instant et rappelez-vous que ce ne sont pas tous les systèmes de gestion de journaux disponibles que vous pouvez utiliser sous Linux. Nous continuerons à examiner et à mettre à jour la liste dans les prochains articles. J'espère que vous trouverez cet article utile et que vous pourrez nous faire part d'autres outils ou systèmes de journalisation importants en laissant un commentaire.