5 beste open source logbeheertools voor Linux

1. ManageEngine EventLog-analysator

ManageEngine EventLog Analyzer is een lokale oplossing voor logbeheer die is ontworpen voor bedrijven van elke omvang in verschillende sectoren, zoals informatietechnologie, gezondheidszorg, detailhandel, financiën, onderwijs en meer. De oplossing biedt gebruikers zowel agentgebaseerde als agentloze logverzameling, mogelijkheden voor het parseren van logbestanden, een krachtige logzoekmachine en opties voor logarchivering.

Met de auditfunctionaliteit voor netwerkapparaten kunnen gebruikers hun eindgebruikersapparaten, firewalls, routers, switches en meer in realtime monitoren. De oplossing geeft geanalyseerde gegevens weer in de vorm van grafieken en intuïtieve rapporten.

De mechanismen voor incidentdetectie van EventLog Analyzer, zoals correlatie van gebeurtenislogboeken, bedreigingsinformatie, implementatie van het MITRE ATT&CK-framework, geavanceerde dreigingsanalyses en meer, helpen beveiligingsbedreigingen op te sporen zodra ze zich voordoen.

Het realtime waarschuwingssysteem waarschuwt gebruikers voor verdachte activiteiten, zodat ze prioriteit kunnen geven aan beveiligingsrisico's. En met een geautomatiseerd incidentresponssysteem kunnen SOC's potentiële bedreigingen beperken.

De oplossing helpt gebruikers ook te voldoen aan verschillende IT-compliancenormen, zoals PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR en meer. Er worden op abonnementsbasis diensten aangeboden, afhankelijk van het aantal logbronnen voor monitoring. Ondersteuning wordt aan de gebruikers beschikbaar gesteld via telefoon, productvideo's en een online kennisbank.

2. Graylog 2

Graylog is een toonaangevende open-source en robuuste gecentraliseerde tool voor logboekbeheer die op grote schaal wordt gebruikt voor het verzamelen en beoordelen van logboeken in verschillende omgevingen, waaronder test- en productieomgevingen. Het is eenvoudig in te stellen en wordt sterk aanbevolen voor kleine bedrijven.

Graylog helpt u eenvoudig gegevens te verzamelen van meerdere apparaten, waaronder netwerkswitches, routers en draadloze toegangspunten. Het integreert met de Elasticsearch analyse-engine en maakt gebruik van MongoDB om gegevens op te slaan. De verzamelde logboeken bieden diepgaande inzichten en zijn nuttig bij het oplossen van systeemfouten en fouten.

Met Graylog krijgt u een nette en slaperige WebUI met coole dashboards waarmee u gegevens naadloos kunt bijhouden. Bovendien krijgt u een reeks handige tools en functionaliteiten die u helpen bij compliance-audits, het zoeken naar bedreigingen en nog veel meer. U kunt meldingen zo inschakelen dat er een waarschuwing wordt geactiveerd wanneer aan een bepaalde voorwaarde wordt voldaan of er een probleem optreedt.

Over het geheel genomen levert Graylog behoorlijk goed werk bij het verzamelen van grote hoeveelheden gegevens en vereenvoudigt het zoeken en analyseren van gegevens. De nieuwste versie is Graylog 4.0 en biedt nieuwe functies zoals de donkere modus, integratie met slack en ElasticSearch 7 en nog veel meer.

3. Logcontrole

Logcheck is nog een andere open-source tool voor logmonitoring die wordt uitgevoerd als een cronjob. Het doorzoekt duizenden logbestanden om overtredingen of systeemgebeurtenissen te detecteren die worden geactiveerd. Logcheck stuurt vervolgens een gedetailleerd overzicht van de waarschuwingen naar een geconfigureerd e-mailadres om operationele teams te waarschuwen voor een probleem, zoals een ongeoorloofde inbreuk of een systeemfout.

In dit logsysteem zijn drie verschillende niveaus van logbestandfiltering ontwikkeld, waaronder:

• Paranoïde: is bedoeld voor systemen met een hoog beveiligingsniveau waarop zo min mogelijk services worden uitgevoerd.
• Server: dit is het standaard filterniveau voor logcheck en de regels ervan zijn gedefinieerd voor veel verschillende systeemdaemons. De regels die onder het paranoïde niveau zijn gedefinieerd, vallen ook onder dit niveau.
• Werkstation: het is bedoeld voor beschutte systemen en helpt bij het filteren van de meeste berichten. Het bevat ook regels die zijn gedefinieerd op paranoïde- en serverniveaus.

Logcheck kan ook de te rapporteren berichten in drie mogelijke lagen sorteren, waaronder beveiligingsgebeurtenissen, systeemgebeurtenissen en systeemaanvalwaarschuwingen. Een systeembeheerder kan het detailniveau kiezen waarop systeemgebeurtenissen worden gerapporteerd, afhankelijk van het filterniveau, hoewel dit geen invloed heeft op beveiligingsgebeurtenissen en systeemaanvalwaarschuwingen.

Logcheck biedt de volgende functies:

• Vooraf gedefinieerde rapportsjablonen.
• Een mechanisme voor het filteren van logboeken met behulp van reguliere expressies.
• Directe e-mailmeldingen.
• Directe beveiligingswaarschuwingen.

4. Logwacht

Logwatch is een open-source en zeer aanpasbare applicatie voor het verzamelen en analyseren van logbestanden. Het parseert zowel systeem- als applicatielogboeken en genereert een rapport over hoe applicaties draaien. Het rapport wordt afgeleverd via de opdrachtregel of via een speciaal e-mailadres.

U kunt Logwatch eenvoudig aanpassen aan uw voorkeuren door de parameters in het pad /etc/logwatch/conf te wijzigen. Het biedt ook iets extra's in de vorm van vooraf geschreven PERL-scripts om het parseren van logbestanden eenvoudiger te maken.

Logwatch wordt geleverd met een gelaagde aanpak en er zijn 3 hoofdlocaties waar configuratiedetails worden gedefinieerd:

• /usr/share/logwatch/default.conf/*
• /etc/logwatch/conf/dist.conf/*
• /etc/logwatch/conf/*

Alle standaardinstellingen zijn gedefinieerd in het bestand /usr/share/logwatch/default.conf/logwatch.conf. De aanbevolen praktijk is om dit bestand intact te laten en in plaats daarvan uw eigen configuratiebestand te maken op het pad /etc/logwatch/conf/ door het originele configuratiebestand te kopiëren en vervolgens uw aangepaste instellingen te definiëren.

De nieuwste versie van Logwatch is versie 7.5.5 en biedt ondersteuning voor het rechtstreeks opvragen van het systemd journaal met behulp van journalctl. Als u zich geen eigen logbeheertool kunt veroorloven, geeft Logwatch u gemoedsrust omdat u weet dat alle gebeurtenissen worden geregistreerd en dat er meldingen worden afgeleverd voor het geval er iets misgaat.

5. Logboekopslag

Logstash is een open-source gegevensverwerkingspijplijn op de server die gegevens accepteert uit een groot aantal bronnen, waaronder lokale bestanden of gedistribueerde systemen zoals S3. Vervolgens worden de logbestanden verwerkt en naar platforms zoals Elasticsearch geleid, waar ze later worden geanalyseerd en gearchiveerd. Het is een behoorlijk krachtig hulpmiddel, omdat het volumes aan logboeken van meerdere applicaties kan opnemen en deze later allemaal tegelijkertijd naar verschillende databases of motoren kan uitvoeren.

Logstash structureert ongestructureerde gegevens en voert geolocatiezoekopdrachten uit, anonimiseert persoonlijke gegevens en schaalt ook over meerdere knooppunten. Er is een uitgebreide lijst met gegevensbronnen waar u Logstash naar kunt laten luisteren, waaronder SNMP, hartslagen, Syslog, Kafka, marionet, Windows-gebeurtenislogboek, enz.

Logstash vertrouwt op ‘beats’, dit zijn lichtgewicht gegevensverzenders die gegevens aan Logstash doorgeven voor parsering en structurering enz. Gegevens worden vervolgens naar andere bestemmingen verzonden, zoals Google Cloud, MongoDB en Elasticsearch voor indexering. Logstash is een belangrijk onderdeel van Elastic Stack waarmee gebruikers gegevens in welke vorm dan ook kunnen verzamelen, analyseren en visualiseren op interactieve dashboards.

Wat meer is, is dat Logstash brede community-ondersteuning en regelmatige updates geniet.

Samenvatting

Dat is het voor nu en onthoud dat dit niet alle beschikbare logbeheersystemen zijn die u op Linux kunt gebruiken. We zullen de lijst in toekomstige artikelen blijven beoordelen en bijwerken. Ik hoop dat je dit artikel nuttig vindt en dat je ons op de hoogte kunt stellen van andere belangrijke logtools of -systemen door een reactie achter te laten.