Monitorear la actividad de la red puede ser un trabajo tedioso, pero hay buenas razones para hacerlo. Por un lado, te permite encontrar e investigar inicios de sesión sospechosos en estaciones de trabajo, dispositivos conectados a redes y servidores, al tiempo que identificas fuentes de abuso del administrador. También puede rastrear las instalaciones de software y las transferencias de datos para identificar posibles problemas en tiempo real y no después de que el daño esté hecho.
Estos registros también contribuyen en gran medida a que su empresa cumpla con el Reglamento General de Protección de Datos (GDPR) que se aplica a cualquier entidad que opere en la Unión Europea. Si tiene un sitio web que se puede ver en la UE, cumple los requisitos.
El registro -tanto de seguimiento como de análisis- debe ser un proceso fundamental en cualquier infraestructura de supervisión. Un archivo de registro de transacciones es necesario para recuperar una base de datos de servidor SQL de un desastre. Además, mediante el seguimiento de los archivos de registro, los equipos de DevOps y los administradores de bases de datos (DBA) pueden mantener un rendimiento óptimo de la base de datos o encontrar pruebas de actividades no autorizadas en el caso de un ciberataque. Por esta razón, es importante supervisar y analizar regularmente los registros del sistema. Es una forma fiable de recrear la cadena de eventos que condujeron a cualquier problema que haya surgido.
Hay bastantes rastreadores de registros de código abierto y herramientas de análisis disponibles hoy en día, lo que hace que elegir los recursos adecuados para los registros de actividad sea más fácil de lo que se piensa. La comunidad de software libre y de código abierto ofrece diseños de registros que funcionan con todo tipo de sitios y casi cualquier sistema operativo. Aquí están cinco de los mejores que he utilizado, sin ningún orden en particular.
Graylog
Graylog comenzó en Alemania en 2011 y ahora se ofrece como una herramienta de código abierto o una solución comercial. Está diseñado para ser un sistema de gestión de registros centralizado que recibe flujos de datos de varios servidores o puntos finales y permite navegar o analizar esa información rápidamente.
Graylog se ha ganado una reputación positiva entre los administradores de sistemas por su facilidad de escalabilidad. La mayoría de los proyectos web comienzan siendo pequeños pero pueden crecer exponencialmente. Graylog puede equilibrar las cargas a través de una red de servidores backend y manejar varios terabytes de datos de registro cada día.
Los administradores de TI encontrarán que la interfaz frontend de Graylog es fácil de usar y robusta en su funcionalidad. Graylog está construido en torno al concepto de cuadros de mando, lo que le permite elegir qué métricas o fuentes de datos le resultan más valiosas y ver rápidamente las tendencias a lo largo del tiempo.
Cuando se produce un incidente de seguridad o de rendimiento, los administradores de TI quieren ser capaces de rastrear los síntomas hasta la causa raíz lo más rápidamente posible. La funcionalidad de búsqueda de Graylog facilita esta tarea. Tiene tolerancia a fallos incorporada que puede ejecutar búsquedas multihilo para que pueda analizar varias amenazas potenciales a la vez.
Nagios
Nagios comenzó con un solo desarrollador allá por 1999 y desde entonces ha evolucionado hasta convertirse en una de las herramientas de código abierto más fiables para la gestión de datos de registro. La versión actual de Nagios puede integrarse con servidores que ejecutan Microsoft Windows, Linux o Unix.
Su producto principal es un servidor de registros, cuyo objetivo es simplificar la recopilación de datos y hacer que la información sea más accesible para los administradores de sistemas. El motor del servidor de registros de Nagios capturará los datos en tiempo real y los introducirá en una potente herramienta de búsqueda. La integración con un nuevo punto final o aplicación es fácil gracias al asistente de configuración incorporado.
Nagios se utiliza con mayor frecuencia en organizaciones que necesitan supervisar la seguridad de su red local. Puede auditar una serie de eventos relacionados con la red y ayudar a automatizar la distribución de alertas. Nagios puede incluso ser configurado para ejecutar scripts predefinidos si se cumple una determinada condición, lo que le permite resolver los problemas antes de que un humano tenga que involucrarse.
Como parte de la auditoría de la red, Nagios filtrará los datos de registro en función de la ubicación geográfica en la que se origina. Eso significa que puede construir cuadros de mando completos con tecnología de mapeo para entender cómo está fluyendo su tráfico web.
Elastic Stack (el «ELK Stack»)
Elastic Stack, a menudo llamado ELK Stack, es una de las herramientas de código abierto más populares entre las organizaciones que necesitan tamizar a través de grandes conjuntos de datos y dar sentido a sus registros del sistema (y es un favorito personal, también).
Su oferta principal se compone de tres productos separados: Elasticsearch, Kibana y Logstash:
-
Como su nombre indica, Elasticsearch está diseñado para ayudar a los usuarios a encontrar coincidencias dentro de los conjuntos de datos utilizando una amplia gama de lenguajes y tipos de consulta. La velocidad es la principal ventaja de esta herramienta. Se puede ampliar en clústeres de cientos de nodos de servidor para manejar petabytes de datos con facilidad.
-
Kibana es una herramienta de visualización que se ejecuta junto a Elasticsearch para permitir a los usuarios analizar sus datos y construir informes potentes. Cuando instale por primera vez el motor Kibana en su clúster de servidores, obtendrá acceso a una interfaz que muestra estadísticas, gráficos e incluso animaciones de sus datos.
-
La última pieza de ELK Stack es Logstash, que actúa como una canalización puramente del lado del servidor en la base de datos de Elasticsearch. Puede integrar Logstash con una variedad de lenguajes de codificación y API para que la información de sus sitios web y aplicaciones móviles se alimente directamente en su potente motor de búsqueda Elastic Stalk.
Una característica única de ELK Stack es que le permite supervisar las aplicaciones construidas en instalaciones de código abierto de WordPress. En contraste con la mayoría de las herramientas de registro de auditoría de seguridad fuera de la caja que rastrean los registros de administración y PHP, pero poco más, ELK Stack puede tamizar a través de los registros del servidor web y de la base de datos.
El mal seguimiento de los registros y la gestión de la base de datos son una de las causas más comunes del mal rendimiento del sitio web. No comprobar, optimizar y vaciar regularmente los registros de las bases de datos no sólo puede ralentizar un sitio, sino que también podría llevar a una caída completa. Por lo tanto, ELK Stack es una excelente herramienta para todo desarrollador de WordPress.
LOGalyze
LOGalyze es una organización con sede en Hungría que construye herramientas de código abierto para administradores de sistemas y expertos en seguridad para ayudarles a gestionar los registros del servidor y convertirlos en puntos de datos útiles. Su principal producto está disponible como descarga gratuita para uso personal o comercial.
LOGalyze está diseñado para funcionar como una tubería masiva en la que múltiples servidores, aplicaciones y dispositivos de red pueden alimentar la información utilizando el método del Protocolo Simple de Acceso a Objetos (SOAP). Proporciona una interfaz frontend en la que los administradores pueden iniciar sesión para supervisar la recopilación de datos y comenzar a analizarlos.
Desde la interfaz web de LOGalyze, puede ejecutar informes dinámicos y exportarlos a archivos Excel, PDF u otros formatos. Estos informes pueden basarse en estadísticas multidimensionales gestionadas por el backend de LOGalyze. Incluso puede combinar campos de datos entre servidores o aplicaciones para ayudarle a detectar tendencias en el rendimiento.
LOGalyze está diseñado para ser instalado y configurado en menos de una hora. Cuenta con una funcionalidad preconstruida que le permite recopilar datos de auditoría en los formatos requeridos por las leyes reguladoras. Por ejemplo, LOGalyze puede ejecutar fácilmente diferentes informes de la HIPAA para garantizar que su organización se adhiere a las normativas sanitarias y sigue cumpliendo con ellas.
Fluentd
Si su organización tiene fuentes de datos que viven en muchas ubicaciones y entornos diferentes, su objetivo debe ser centralizarlas en la medida de lo posible. De lo contrario, tendrá dificultades para supervisar el rendimiento y protegerse contra las amenazas de seguridad.
Fluentd es una solución robusta para la recopilación de datos y es totalmente de código abierto. No ofrece una interfaz completa de frontend, sino que actúa como una capa de recolección para ayudar a organizar diferentes pipelines. Fluentd es utilizado por algunas de las empresas más grandes del mundo, pero también puede implementarse en organizaciones más pequeñas.
La mayor ventaja de Fluentd es su compatibilidad con las herramientas tecnológicas más comunes disponibles en la actualidad. Por ejemplo, puede utilizar Fluentd para recopilar datos de servidores web como Apache, sensores de dispositivos inteligentes y registros dinámicos de MongoDB. Lo que haga con esos datos depende enteramente de usted.
Fluentd se basa en el formato de datos JSON y puede utilizarse junto con más de 500 plugins creados por desarrolladores de renombre. Esto le permite extender sus datos de registro a otras aplicaciones y realizar mejores análisis con un mínimo esfuerzo manual.
La conclusión
Si aún no está utilizando los registros de actividad por razones de seguridad, cumplimiento gubernamental y medición de la productividad, comprométase a cambiar eso. Hay un montón de plugins en el mercado que están diseñados para trabajar con múltiples entornos y plataformas, incluso en su red interna. No espere a que se produzca un incidente grave para justificar la adopción de un enfoque proactivo para el mantenimiento y la supervisión de los registros.