Monitorowanie aktywności sieciowej może być żmudną pracą, ale są dobre powody, aby to robić. Po pierwsze, pozwala znaleźć i zbadać podejrzane logowania na stacjach roboczych, urządzeniach podłączonych do sieci i serwerach, identyfikując jednocześnie źródła nadużyć administratora. Możesz również śledzić instalacje oprogramowania i transfery danych, aby zidentyfikować potencjalne problemy w czasie rzeczywistym, a nie po wyrządzeniu szkody.
Te dzienniki przechodzą również długą drogę w kierunku utrzymania firmy w zgodności z ogólnym rozporządzeniem o ochronie danych (GDPR), które ma zastosowanie do każdego podmiotu działającego w Unii Europejskiej. Jeśli masz witrynę, która jest widoczna w UE, kwalifikujesz się.
Logowanie – zarówno śledzenie, jak i analiza – powinno być podstawowym procesem w każdej infrastrukturze monitorującej. Plik dziennika transakcji jest niezbędny do odzyskania bazy danych serwera SQL po awarii. Ponadto, dzięki śledzeniu plików dziennika, zespoły DevOps i administratorzy baz danych (DBA) mogą utrzymać optymalną wydajność bazy danych lub znaleźć dowody nieautoryzowanej aktywności w przypadku cyberataku. Z tego powodu ważne jest, aby regularnie monitorować i analizować logi systemowe. Jest to niezawodny sposób na odtworzenie łańcucha zdarzeń, który doprowadził do powstania problemu.
Dostępnych jest wiele narzędzi do śledzenia i analizy logów typu open source, co sprawia, że wybór odpowiednich zasobów dla logów aktywności jest łatwiejszy niż myślisz. Społeczność wolnego i otwartego oprogramowania oferuje projekty dzienników, które działają z każdym rodzajem stron i prawie każdym systemem operacyjnym. Oto pięć najlepszych z nich, z których korzystałem, w nieszczególnej kolejności.
Graylog
Graylog wystartował w Niemczech w 2011 roku i jest obecnie oferowany jako narzędzie open source lub rozwiązanie komercyjne. Został zaprojektowany jako scentralizowany system zarządzania logami, który odbiera strumienie danych z różnych serwerów lub punktów końcowych i pozwala na szybkie przeglądanie lub analizowanie tych informacji.
Graylog zbudował pozytywną reputację wśród administratorów systemów ze względu na łatwość skalowalności. Większość projektów internetowych zaczyna się od małych, ale może rosnąć wykładniczo. Graylog może równoważyć obciążenie sieci serwerów backendowych i obsługiwać kilka terabajtów danych dziennika każdego dnia.
Administratorzy IT uznają interfejs Grayloga za łatwy w użyciu i solidny w swojej funkcjonalności. Graylog jest zbudowany w oparciu o koncepcję pulpitów nawigacyjnych, co pozwala na wybór metryk lub źródeł danych, które są dla Ciebie najbardziej wartościowe, oraz szybkie obserwowanie trendów w czasie.
Gdy wystąpi incydent bezpieczeństwa lub wydajności, administratorzy IT chcą mieć możliwość jak najszybszego prześledzenia symptomów do pierwotnej przyczyny. Funkcjonalność wyszukiwania w Graylog ułatwia to zadanie. Graylog ma wbudowaną tolerancję błędów, która umożliwia wielowątkowe wyszukiwanie, dzięki czemu można analizować kilka potencjalnych zagrożeń jednocześnie.
Nagios
Nagios rozpoczął działalność w 1999 r. od jednego programisty i od tego czasu stał się jednym z najbardziej niezawodnych narzędzi open source do zarządzania danymi dziennika. Obecna wersja Nagiosa może integrować się z serwerami działającymi pod kontrolą systemów Microsoft Windows, Linux lub Unix.
Jego podstawowym produktem jest serwer logów, którego celem jest uproszczenie zbierania danych i uczynienie informacji bardziej dostępnymi dla administratorów systemów. Silnik serwera logów Nagios przechwytuje dane w czasie rzeczywistym i wprowadza je do potężnego narzędzia wyszukiwania. Integracja z nowym punktem końcowym lub aplikacją jest łatwa dzięki wbudowanemu kreatorowi konfiguracji.
Nagios jest najczęściej wykorzystywany w organizacjach, które muszą monitorować bezpieczeństwo sieci lokalnej. Może audytować szereg zdarzeń związanych z siecią i pomóc zautomatyzować dystrybucję alertów. Nagios może być nawet skonfigurowany do uruchamiania predefiniowanych skryptów w przypadku spełnienia określonych warunków, co pozwala na rozwiązywanie problemów zanim zaangażuje się w nie człowiek.
W ramach audytu sieci Nagios filtruje dane dziennika na podstawie lokalizacji geograficznej, z której pochodzą. Oznacza to, że można budować kompleksowe pulpity z technologią mapowania, aby zrozumieć, jak przepływa ruch w sieci.
Elastic Stack (stos ELK)
Elastic Stack, często nazywany stosem ELK, jest jednym z najpopularniejszych narzędzi open source wśród organizacji, które muszą przesiewać duże zbiory danych i nadawać sens swoim logom systemowym (i jest to również ich osobisty faworyt).
Jego podstawowa oferta składa się z trzech oddzielnych produktów: Elasticsearch, Kibana i Logstash:
-
Jak sama nazwa wskazuje, Elasticsearch został zaprojektowany, aby pomóc użytkownikom znaleźć dopasowania w zbiorach danych przy użyciu szerokiej gamy języków zapytań i typów. Zaletą numer jeden tego narzędzia jest jego szybkość. Można go rozbudować do klastrów składających się z setek węzłów serwerowych, aby z łatwością obsługiwał petabajty danych.
-
Kibana to narzędzie do wizualizacji, które działa równolegle z Elasticsearch, umożliwiając użytkownikom analizowanie danych i tworzenie zaawansowanych raportów. Po zainstalowaniu silnika Kibana na klastrze serwerów, użytkownik uzyskuje dostęp do interfejsu, który pokazuje statystyki, wykresy, a nawet animacje danych.
-
Ostatnim elementem ELK Stack jest Logstash, który działa jako potok czysto serwerowy do bazy danych Elasticsearch. Logstash można zintegrować z różnymi językami kodowania i interfejsami API, dzięki czemu informacje z witryn internetowych i aplikacji mobilnych będą trafiały bezpośrednio do potężnej wyszukiwarki Elastic Stalk.
Unikalną cechą ELK Stack jest możliwość monitorowania aplikacji zbudowanych w oparciu o otwartoźródłowe instalacje WordPressa. W przeciwieństwie do większości zewnętrznych narzędzi do audytu bezpieczeństwa, które śledzą logi administratora i PHP, ale niewiele więcej, ELK Stack może przesiewać logi serwera WWW i bazy danych.
Złe śledzenie logów i zarządzanie bazą danych są jedną z najczęstszych przyczyn słabej wydajności witryny. Brak regularnego sprawdzania, optymalizacji i opróżniania dzienników baz danych może nie tylko spowolnić działanie strony, ale także doprowadzić do jej awarii. Dlatego ELK Stack jest doskonałym narzędziem dla każdego programisty WordPressa.
LOGalyze
LOGalyze jest organizacją z siedzibą na Węgrzech, która buduje narzędzia open source dla administratorów systemów i ekspertów ds. bezpieczeństwa, aby pomóc im w zarządzaniu logami serwera i przekształcaniu ich w użyteczne punkty danych. Jej podstawowy produkt jest dostępny do pobrania za darmo do użytku osobistego lub komercyjnego.
LOGalyze został zaprojektowany do pracy jako masywny potok, w którym wiele serwerów, aplikacji i urządzeń sieciowych może dostarczać informacje za pomocą metody Simple Object Access Protocol (SOAP). Udostępnia interfejs frontendowy, w którym administratorzy mogą się zalogować, aby monitorować zbieranie danych i rozpocząć ich analizę.
Z poziomu interfejsu webowego LOGalyze można uruchamiać dynamiczne raporty i eksportować je do plików Excel, PDF lub innych formatów. Raporty te mogą być oparte na wielowymiarowych statystykach zarządzanych przez backend LOGalyze. Może nawet łączyć pola danych w różnych serwerach lub aplikacjach, aby pomóc Ci dostrzec trendy w wydajności.
LOGalyze został zaprojektowany tak, aby można go było zainstalować i skonfigurować w mniej niż godzinę. Posiada wbudowaną funkcjonalność, która pozwala na zbieranie danych audytowych w formatach wymaganych przez akty prawne. Na przykład LOGalyze może łatwo uruchamiać różne raporty HIPAA, aby zapewnić, że organizacja przestrzega przepisów zdrowotnych i pozostaje w zgodzie z przepisami.
Fluentd
Jeśli Twoja organizacja posiada źródła danych w wielu różnych lokalizacjach i środowiskach, Twoim celem powinno być ich scentralizowanie w jak największym stopniu. W przeciwnym razie, będziesz miał problemy z monitorowaniem wydajności i ochroną przed zagrożeniami bezpieczeństwa.
Fluentd jest solidnym rozwiązaniem do zbierania danych i jest całkowicie open source. Nie oferuje on pełnego interfejsu frontendowego, ale zamiast tego działa jako warstwa zbierająca, która pomaga organizować różne potoki. Fluentd jest używany przez niektóre z największych firm na świecie, ale może być również wdrażany w mniejszych organizacjach.
Największą zaletą Fluentd jest jego kompatybilność z najbardziej powszechnymi narzędziami technologicznymi dostępnymi obecnie. Na przykład, możesz użyć Fluentd do zbierania danych z serwerów internetowych takich jak Apache, czujników z inteligentnych urządzeń i dynamicznych rekordów z MongoDB. To, co zrobisz z tymi danymi, zależy wyłącznie od Ciebie.
Fluentd bazuje na formacie danych JSON i może być używany w połączeniu z ponad 500 wtyczkami stworzonymi przez renomowanych deweloperów. Pozwala to na rozszerzenie danych logowania do innych aplikacji i prowadzenie lepszych analiz przy minimalnym wysiłku ręcznym.
Podsumowanie
Jeśli jeszcze nie używasz logów aktywności do celów bezpieczeństwa, zgodności rządowej i pomiaru wydajności, zobowiązuj się do zmiany tego. Na rynku jest wiele wtyczek, które są zaprojektowane do pracy z wieloma środowiskami i platformami, nawet w sieci wewnętrznej. Nie czekaj na poważny incydent, aby uzasadnić podjęcie proaktywnego podejścia do konserwacji dzienników i nadzoru.