4 Dobri alati za nadzor i upravljanje zapisima otvorenog koda za Linux

Kada je pokrenut operativni sustav poput Linuxa, događa se mnogo događaja i procesa koji se pokreću u pozadini kako bi se omogućilo učinkovito i pouzdano korištenje sistemskih resursa. Ti se događaji mogu dogoditi u sistemskom softveru, na primjer u init ili systemd procesu ili u korisničkim aplikacijama kao što su Apache, MySQL, FTP i mnogi drugi.

Da bi razumjeli stanje sustava i različitih aplikacija i njihov rad, administratori sustava moraju svakodnevno pregledavati datoteke dnevnika u proizvodnim okruženjima.

Možete zamisliti da trebate pregledavati datoteke dnevnika iz nekoliko sistemskih područja i aplikacija, tu sustavi za prijavu dobro dođu. Oni pomažu nadgledati, pregledavati, analizirati, pa čak i generirati izvješća iz različitih dnevnika kako ih je konfigurirao administrator sustava.

  • Kako nadzirati upotrebu sustava, prekide i rješavanje problema s Linux sustavima
  • Kako upravljati zapisima poslužitelja (konfigurirati i rotirati) u Linuxu
  • Kako nadzirati dnevnike Linux poslužitelja u stvarnom vremenu pomoću alata Log.io

U ovom ćemo članku pogledati četiri najpopularnija sustava za upravljanje dnevnikom s otvorenim kodom u Linuxu, standardni protokol zapisivanja u većini, ako ne i svim distribucijama danas, je Syslog.

1. Graylog 2

centralizirani alat za upravljanje zapisnicima koji se široko koristi za prikupljanje i pregled dnevnika u različitim okruženjima, uključujući okruženja za testiranje i proizvodnju. Jednostavno je postaviti i toplo se preporučuje malim poduzećima.

Graylog vam pomaže da lako prikupite podatke s više uređaja, uključujući mrežne prekidače, usmjerivače i bežične pristupne točke. Integrira se s Elasticsearch analitičkim motorom i koristi MongoDB za pohranu podataka, a prikupljeni dnevnici daju duboke uvide i korisni su u rješavanju kvarova i pogrešaka sustava.

Uz Graylog dobivate uredan i uspavan WebUI s cool nadzornim pločama koje vam pomažu u nesmetanom praćenju podataka. Također ćete dobiti set izvrsnih alata i funkcionalnosti koji pomažu u reviziji usklađenosti, pretraživanju prijetnji i još mnogo toga. Obavijesti možete omogućiti na takav način da se upozorenje aktivira kada je ispunjen određeni uvjet ili se dogodi problem.

Sve u svemu, Graylog radi prilično dobar posao u prikupljanju velikih količina podataka i pojednostavljuje pretraživanje i analizu podataka. Najnovija verzija je Graylog 4.0 i nudi nove značajke kao što su Tamni način rada, integracija sa slackom i ElasticSearch 7 i još mnogo toga.

2. Provjera dnevnika

Logcheck je još jedan alat za nadzor dnevnika otvorenog koda koji se izvodi kao cron posao. Pregledava tisuće datoteka dnevnika kako bi otkrio kršenja ili pokrenute sistemske događaje. Logcheck zatim šalje detaljan sažetak upozorenja na konfiguriranu adresu e-pošte kako bi upozorio operativne timove na problem poput neovlaštenog kršenja ili kvara sustava.

Tri su različite razine filtriranja datoteka dnevnika razvijene su u ovom sustavu evidentiranja koji uključuje:

  • Paranoid: namijenjen je sustavima visoke sigurnosti koji imaju vrlo malo usluga.
  • Poslužitelj: ovo je zadana razina filtriranja za provjeru dnevnika i njegova su pravila definirana za mnogo različitih demona sustava. Pravila definirana na paranoičnoj razini također su uključena na ovu razinu.
  • Radna stanica: namijenjena je zaštićenim sustavima i pomaže u filtriranju većine poruka. Također uključuje pravila definirana na paranoičnoj razini i razini poslužitelja.

Logcheck je također sposoban sortirati poruke koje se prijavljuju u tri moguća sloja koja uključuju sigurnosne događaje, sistemske događaje i upozorenja o napadima sustava. Administrator sustava može odabrati razinu pojedinosti na koju će se izvještavati sistemski događaji, ovisno o razini filtriranja, iako to ne utječe na sigurnosne događaje i upozorenja o napadima sustava.

Logcheck nudi sljedeće značajke:

  • Unaprijed definirani predlošci izvješća.
  • Mehanizam za filtriranje dnevnika pomoću regularnih izraza.
  • Trenutne obavijesti e-poštom.
  • Trenutna sigurnosna upozorenja.

3. Logwatch

Logwatch je aplikacija za prikupljanje i analizu dnevnika otvorenog koda i vrlo prilagodljiva. Analizira sistemske zapise i zapisnike aplikacija i generira izvješće o pokretanju aplikacija. Izvješće se isporučuje na naredbenom retku ili putem namjenske adrese e-pošte.

Logwatch možete jednostavno prilagoditi svojim željama tako što ćete izmijeniti parametre u/etc/logwatch/conf stazi. Također pruža nešto dodatno na način unaprijed napisanih PERL skripti za olakšavanje raščlanjivanja dnevnika.

Logwatch dolazi s stupnjevitim pristupom i postoje 3 glavna mjesta na kojima su definirani detalji konfiguracije:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

Sve zadane postavke definirane su u datoteci /usr/share/logwatch/default.conf/logwatch.conf. Preporučena praksa je da ovu datoteku ostavite netaknutu i umjesto toga stvorite vlastitu konfiguracijsku datoteku na/etc/logwatch/conf/path kopiranjem izvorne konfiguracijske datoteke i zatim definirajte svoje prilagođene postavke.

Najnovija verzija Logwatcha je verzija 7.5.5 i pruža podršku za izravno ispitivanje sistemskog dnevnika pomoću journalctl. Ako si ne možete priuštiti vlastiti alat za upravljanje zapisima, Logwatch će vam pružiti mir, znajući da će se svi događaji bilježiti i da će se isporučivati obavijesti u slučaju da nešto ne uspije.

4. Logstash

Logstash je cjevovod za obradu podataka na strani poslužitelja otvorenog koda koji prihvaća podatke iz mnoštva izvora, uključujući lokalne datoteke ili distribuirane sustave poput S3. Zatim obrađuje zapisnike i usmjerava ih na platforme poput Elasticsearch gdje se kasnije analiziraju i arhiviraju. Prilično je moćan alat jer može istovremeno unijeti količine dnevnika iz više aplikacija i kasnije ih iznijeti u različite baze podataka ili mehanizme.

Logstash strukturira nestrukturirane podatke i izvodi geolokacijske pretrage, anonimizira osobne podatke i također skalira na više čvorova. Opsežan je popis izvora podataka koje možete dati Logstashu da sluša, uključujući SNMP, otkucaje srca, Syslog, Kafka, marionete, zapisnik događaja Windows, itd.

Logstash se oslanja na "otkucaje" koji su laki otpremači podataka koji podatke šalju u Logstash radi raščlanjivanja i strukturiranja itd. Podaci se zatim šalju na druga odredišta kao što su Google Cloud, MongoDB i Elasticsearch za indeksiranje. Logstash je ključna komponenta Elastic Stacka koja omogućuje korisnicima da podatke kombiniraju u bilo kojem obliku, raščlanjuju i vizualiziraju na interaktivnim nadzornim pločama.

Štoviše, Logstash uživa široku podršku zajednice i redovita ažuriranja.

Sažetak

To je zasad to i imajte na umu da ovo nisu svi dostupni sustavi za upravljanje zapisima koje možete koristiti na Linuxu. Nastavit ćemo pregledavati i ažurirati popis u budućim člancima, nadam se da će vam ovaj članak biti koristan i da ćete nas obavijestiti o drugim važnim alatima za prijavljivanje ili sustavima ostavljajući komentar.