Monitorare l’attività di rete può essere un lavoro noioso, ma ci sono buone ragioni per farlo. Per prima cosa, vi permette di trovare e indagare su accessi sospetti su stazioni di lavoro, dispositivi connessi alle reti e server, identificando le fonti di abuso dell’amministratore. È anche possibile tracciare le installazioni di software e i trasferimenti di dati per identificare potenziali problemi in tempo reale piuttosto che dopo che il danno è stato fatto.
Questi registri aiutano anche a mantenere la vostra azienda in conformità con il regolamento generale sulla protezione dei dati (GDPR) che si applica a qualsiasi entità che opera all’interno dell’Unione europea. Se avete un sito web visualizzabile nell’UE, siete qualificati.
Il log – sia il monitoraggio che l’analisi – dovrebbe essere un processo fondamentale in qualsiasi infrastruttura di monitoraggio. Un file di log delle transazioni è necessario per recuperare un database di server SQL da un disastro. Inoltre, tracciando i file di log, i team DevOps e gli amministratori di database (DBA) possono mantenere le prestazioni ottimali del database o trovare prove di attività non autorizzate nel caso di un attacco informatico. Per questo motivo, è importante monitorare e analizzare regolarmente i log di sistema. È un modo affidabile per ricreare la catena di eventi che hanno portato a qualsiasi problema sia sorto.
Ci sono parecchi log tracker e strumenti di analisi open source disponibili oggi, rendendo la scelta delle risorse giuste per i log delle attività più facile di quanto si pensi. La comunità del software libero e open source offre progetti di log che funzionano con tutti i tipi di siti e quasi tutti i sistemi operativi. Ecco cinque dei migliori che ho usato, in nessun ordine particolare.
Graylog
Graylog è nato in Germania nel 2011 ed è ora offerto sia come strumento open source che come soluzione commerciale. È progettato per essere un sistema centralizzato di gestione dei log che riceve flussi di dati da vari server o endpoint e permette di sfogliare o analizzare tali informazioni rapidamente.
Graylog ha costruito una reputazione positiva tra gli amministratori di sistema a causa della sua facilità di scalabilità. La maggior parte dei progetti web inizia in piccolo ma può crescere esponenzialmente. Graylog può bilanciare i carichi su una rete di server backend e gestire diversi terabyte di dati di log ogni giorno.
Graylog è facile da usare e robusto nelle sue funzionalità. Graylog è costruito intorno al concetto di dashboard, che consente di scegliere quali metriche o fonti di dati si trovano più importanti e vedere rapidamente le tendenze nel tempo.
Quando si verifica un incidente di sicurezza o di prestazioni, gli amministratori IT vogliono essere in grado di rintracciare i sintomi alla causa principale il più velocemente possibile. La funzionalità di ricerca in Graylog rende questo facile. Ha una tolleranza di errore integrata che può eseguire ricerche multi-thread in modo da poter analizzare diverse potenziali minacce insieme.
Nagios
Nagios ha iniziato con un singolo sviluppatore nel 1999 e da allora si è evoluto in uno dei più affidabili strumenti open source per la gestione dei dati di log. La versione attuale di Nagios può integrarsi con server che eseguono Microsoft Windows, Linux o Unix.
Il suo prodotto principale è un server di log, che mira a semplificare la raccolta dei dati e rendere le informazioni più accessibili agli amministratori di sistema. Il motore del server di log di Nagios cattura i dati in tempo reale e li alimenta in un potente strumento di ricerca. L’integrazione con un nuovo endpoint o applicazione è facile grazie alla procedura guidata di configurazione integrata.
Nagios è più spesso utilizzato nelle organizzazioni che hanno bisogno di monitorare la sicurezza della loro rete locale. Può controllare una serie di eventi legati alla rete e aiutare ad automatizzare la distribuzione degli avvisi. Nagios può anche essere configurato per eseguire script predefiniti se una certa condizione è soddisfatta, consentendo di risolvere i problemi prima che un uomo debba essere coinvolto.
Come parte dell’auditing di rete, Nagios filtrerà i dati di log in base alla posizione geografica in cui ha origine. Questo significa che è possibile costruire dashboard completi con la tecnologia di mappatura per capire come scorre il traffico web.
Elastic Stack (lo “Stack ELK”)
Elastic Stack, spesso chiamato Stack ELK, è uno degli strumenti open source più popolari tra le organizzazioni che hanno bisogno di setacciare grandi quantità di dati e dare un senso ai loro log di sistema (ed è anche il preferito).
La sua offerta principale è composta da tre prodotti separati: Elasticsearch, Kibana e Logstash:
-
Come suggerisce il nome, Elasticsearch è progettato per aiutare gli utenti a trovare le corrispondenze all’interno dei set di dati utilizzando una vasta gamma di linguaggi e tipi di query. La velocità è il vantaggio numero uno di questo strumento. Può essere espanso in cluster di centinaia di nodi server per gestire petabyte di dati con facilità.
-
Kibana è uno strumento di visualizzazione che funziona insieme a Elasticsearch per consentire agli utenti di analizzare i loro dati e costruire potenti report. Quando si installa per la prima volta il motore Kibana sul proprio cluster di server, si accede a un’interfaccia che mostra statistiche, grafici e persino animazioni dei dati.
-
Il pezzo finale di ELK Stack è Logstash, che agisce come una pipeline puramente lato server nel database Elasticsearch. È possibile integrare Logstash con una varietà di linguaggi di codifica e API in modo che le informazioni dai vostri siti web e applicazioni mobili siano alimentate direttamente nel potente motore di ricerca Elastic Stalk.
Una caratteristica unica di ELK Stack è che consente di monitorare le applicazioni costruite su installazioni open source di WordPress. In contrasto con la maggior parte degli strumenti di controllo di sicurezza out-of-the-box che tengono traccia dei log di admin e PHP ma poco altro, ELK Stack può passare al setaccio i log del server web e del database.
Una cattiva tracciabilità dei log e la gestione del database sono una delle cause più comuni di scarse prestazioni del sito web. L’incapacità di controllare, ottimizzare e svuotare regolarmente i log del database non solo può rallentare un sito, ma potrebbe anche portare a un crash completo. Pertanto, l’ELK Stack è uno strumento eccellente per il toolkit di ogni sviluppatore di WordPress.
LOGalyze
LOGalyze è un’organizzazione con sede in Ungheria che costruisce strumenti open source per amministratori di sistema ed esperti di sicurezza per aiutarli a gestire i log del server e trasformarli in punti di dati utili. Il suo prodotto principale è disponibile come download gratuito per uso personale o commerciale.
LOGalyze è progettato per funzionare come una pipeline di massa in cui più server, applicazioni e dispositivi di rete possono fornire informazioni utilizzando il metodo Simple Object Access Protocol (SOAP). Fornisce un’interfaccia frontend dove gli amministratori possono accedere per monitorare la raccolta dei dati e iniziare ad analizzarli.
Dall’interno dell’interfaccia web di LOGalyze, è possibile eseguire report dinamici ed esportarli in file Excel, PDF o altri formati. Questi rapporti possono essere basati su statistiche multidimensionali gestite dal backend di LOGalyze. Può anche combinare campi di dati tra server o applicazioni per aiutarvi a individuare le tendenze nelle prestazioni.
LOGalyze è progettato per essere installato e configurato in meno di un’ora. Ha funzionalità precostituite che gli permettono di raccogliere dati di audit nei formati richiesti dagli atti normativi. Per esempio, LOGalyze può facilmente eseguire diversi rapporti HIPAA per garantire che la vostra organizzazione aderisca ai regolamenti sanitari e rimanga conforme.
Fluentd
Se la vostra organizzazione ha fonti di dati che vivono in molti luoghi e ambienti diversi, il vostro obiettivo dovrebbe essere quello di centralizzarli il più possibile. Altrimenti, farete fatica a monitorare le prestazioni e a proteggervi dalle minacce alla sicurezza.
Fluentd è una soluzione robusta per la raccolta dei dati ed è interamente open source. Non offre un’interfaccia frontend completa, ma agisce invece come un livello di raccolta per aiutare a organizzare diverse pipeline. Fluentd è usato da alcune delle più grandi aziende in tutto il mondo, ma può essere implementato anche in organizzazioni più piccole.
Il più grande vantaggio di Fluentd è la sua compatibilità con gli strumenti tecnologici più comuni oggi disponibili. Per esempio, è possibile utilizzare Fluentd per raccogliere dati da server web come Apache, sensori da dispositivi intelligenti e record dinamici da MongoDB. Quello che fai con quei dati dipende interamente da te.
Fluentd è basato sul formato di dati JSON e può essere utilizzato in combinazione con più di 500 plugin creati da sviluppatori affidabili. Questo ti permette di estendere i tuoi dati di registrazione in altre applicazioni e di ottenere una migliore analisi con il minimo sforzo manuale.
La linea di fondo
Se non stai già usando i log delle attività per ragioni di sicurezza, conformità governativa e misurazione della produttività, impegnati a cambiare. Ci sono un sacco di plugin sul mercato che sono progettati per lavorare con più ambienti e piattaforme, anche sulla vostra rete interna. Non aspettate un incidente grave per giustificare l’adozione di un approccio proattivo alla manutenzione e alla supervisione dei log.