Monitorizar a actividade da rede pode ser um trabalho aborrecido, mas há boas razões para o fazer. Por um lado, permite encontrar e investigar logins suspeitos em estações de trabalho, dispositivos ligados a redes, e servidores enquanto identifica fontes de abuso de administrador. Também pode rastrear instalações de software e transferências de dados para identificar potenciais problemas em tempo real e não depois de os danos terem sido causados.
Os registos também vão muito no sentido de manter a sua empresa em conformidade com o Regulamento Geral de Protecção de Dados (GDPR) que se aplica a qualquer entidade que opere na União Europeia. Se tiver um website que possa ser visualizado na UE, qualifica-se.
Logging-ambos o rastreio e a análise – devem ser um processo fundamental em qualquer infra-estrutura de monitorização. É necessário um ficheiro de registo de transacções para recuperar uma base de dados do servidor SQL de uma catástrofe. Além disso, ao rastrear ficheiros de registo, as equipas DevOps e administradores de bases de dados (DBAs) podem manter um óptimo desempenho da base de dados ou encontrar provas de actividade não autorizada no caso de um ataque cibernético. Por esta razão, é importante monitorizar e analisar regularmente os registos do sistema. É uma forma fiável de recriar a cadeia de eventos que levaram a qualquer problema que tenha surgido.
Existem hoje bastantes rastreadores de registos e ferramentas de análise de código aberto disponíveis, tornando a escolha dos recursos certos para os registos de actividade mais fácil do que se pensa. A comunidade de software livre e de código aberto oferece desenhos de registo que funcionam com todo o tipo de sítios e praticamente com qualquer sistema operativo. Aqui estão cinco dos melhores que já utilizei, sem nenhuma ordem em particular.
Graylog
Graylog começou na Alemanha em 2011 e é agora oferecido como uma ferramenta de código aberto ou uma solução comercial. Foi concebido para ser um sistema centralizado de gestão de logs que recebe fluxos de dados de vários servidores ou endpoints e permite navegar ou analisar rapidamente essa informação.
Graylog construiu uma reputação positiva entre os administradores de sistemas devido à sua facilidade em escalabilidade. A maioria dos projectos web começa pequeno mas pode crescer exponencialmente. O Graylog pode equilibrar cargas através de uma rede de servidores backend e lidar com vários terabytes de dados de registo todos os dias.
Os administradores do sistema Graylog vão achar que a interface frontend do Graylog é fácil de usar e robusta na sua funcionalidade. O Graylog é construído em torno do conceito de painéis de controlo, o que lhe permite escolher quais as métricas ou fontes de dados que considera mais valiosas e ver rapidamente tendências ao longo do tempo.
Quando ocorre um incidente de segurança ou de desempenho, os administradores de TI querem ser capazes de rastrear os sintomas até uma causa raiz o mais rapidamente possível. A funcionalidade de pesquisa no Graylog torna isto fácil. Tem incorporado tolerância a falhas que pode executar pesquisas multi-tarefas para que se possa analisar várias ameaças potenciais em conjunto.
Nagios
Nagios começou com um único programador em 1999 e desde então evoluiu para uma das ferramentas de código aberto mais fiáveis para a gestão de dados de registo. A versão actual do Nagios pode integrar-se com servidores que executam Microsoft Windows, Linux, ou Unix.
Its produto primário é um servidor de registo, que visa simplificar a recolha de dados e tornar a informação mais acessível aos administradores do sistema. O motor do servidor de registo Nagios irá capturar dados em tempo real e alimentá-los com uma poderosa ferramenta de pesquisa. A integração com um novo ponto final ou aplicação é fácil graças ao assistente de configuração incorporado.
Nagios é mais frequentemente utilizado em organizações que precisam de monitorizar a segurança da sua rede local. Pode auditar uma série de eventos relacionados com a rede e ajudar a automatizar a distribuição de alertas. O Nagios pode mesmo ser configurado para executar scripts predefinidos se uma determinada condição for cumprida, permitindo-lhe resolver problemas antes que um humano tenha de se envolver.
Como parte da auditoria de rede, o Nagios filtrará os dados de registo com base na localização geográfica de onde provém. Isto significa que pode construir painéis de controlo abrangentes com tecnologia de mapeamento para compreender como está a fluir o seu tráfego web.
Elastic Stack (o “ELK Stack”)
Elastic Stack, muitas vezes chamado de ELK Stack, é uma das ferramentas de código aberto mais populares entre as organizações que precisam de peneirar grandes conjuntos de dados e dar sentido aos logs do seu sistema (e é também um favorito pessoal).
A oferta primária de ELK Stack é composta por três produtos separados: Elasticsearch, Kibana, e Logstash:
-
Como o seu nome sugere, Elasticsearch foi concebido para ajudar os utilizadores a encontrar correspondências dentro de conjuntos de dados, utilizando uma vasta gama de linguagens e tipos de consulta. A velocidade é a vantagem número um desta ferramenta. Pode ser expandida em clusters de centenas de nós de servidor para manusear petabytes de dados com facilidade.
-
Kibana é uma ferramenta de visualização que corre ao lado do Elasticsearch para permitir aos utilizadores analisar os seus dados e construir relatórios poderosos. Quando instalar pela primeira vez o motor Kibana no cluster do seu servidor, terá acesso a uma interface que mostra estatísticas, gráficos, e mesmo animações dos seus dados.
-
A peça final do ELK Stack é o Logstash, que actua como uma conduta puramente do lado do servidor para a base de dados do Elasticsearch. Pode integrar Logstash com uma variedade de linguagens de codificação e APIs para que a informação dos seus websites e aplicações móveis seja introduzida directamente no seu poderoso motor de busca Elastic Stalk.
Uma característica única de ELK Stack é que permite monitorizar aplicações construídas sobre instalações de código aberto do WordPress. Em contraste com a maioria das ferramentas de registo de auditoria de segurança out-of-the-box que rastreiam os registos administrativos e PHP mas pouco mais, ELK Stack pode rastrear através dos registos do servidor web e das bases de dados.
Rastreamento de registo e gestão de bases de dados são uma das causas mais comuns de mau desempenho do website. A incapacidade de verificar regularmente, optimizar e esvaziar os registos da base de dados pode não só atrasar um sítio como também levar a um colapso completo. Assim, o ELK Stack é uma excelente ferramenta para cada conjunto de ferramentas de desenvolvimento do WordPress.
LOGalyze
LOGalyze é uma organização baseada na Hungria que constrói ferramentas de código aberto para administradores de sistemas e peritos em segurança para os ajudar a gerir os registos do servidor e transformá-los em pontos de dados úteis. O seu produto principal está disponível como download gratuito para uso pessoal ou comercial.
LOGalyze foi concebido para funcionar como um pipeline massivo no qual múltiplos servidores, aplicações, e dispositivos de rede podem alimentar informação usando o método Simple Object Access Protocol (SOAP). Fornece uma interface frontend onde os administradores podem entrar para monitorizar a recolha de dados e começar a analisá-los.
De dentro da interface web LOGalyze, pode executar relatórios dinâmicos e exportá-los para ficheiros Excel, PDFs, ou outros formatos. Estes relatórios podem ser baseados em estatísticas multidimensionais geridas pelo backend LOGalyze. Pode até combinar campos de dados entre servidores ou aplicações para o ajudar a detectar tendências no desempenho.
LOGalyze foi concebido para ser instalado e configurado em menos de uma hora. Tem uma funcionalidade pré-construída que lhe permite recolher dados de auditoria em formatos exigidos por actos regulamentares. Por exemplo, o LOGalyze pode facilmente executar diferentes relatórios HIPAA para assegurar que a sua organização está a aderir aos regulamentos de saúde e a permanecer em conformidade.
Fluentd
Se a sua organização tem fontes de dados que vivem em muitos locais e ambientes diferentes, o seu objectivo deve ser centralizá-los tanto quanto possível. Caso contrário, terá dificuldade em monitorizar o desempenho e proteger-se contra ameaças à segurança.
Fluentd é uma solução robusta para a recolha de dados e é inteiramente de fonte aberta. Não oferece uma interface frontend completa, mas actua antes como uma camada de recolha para ajudar a organizar diferentes condutas. O Fluentd é utilizado por algumas das maiores empresas mundiais, mas também pode ser implementado em organizações mais pequenas.
O maior benefício do Fluentd é a sua compatibilidade com as ferramentas tecnológicas mais comuns actualmente disponíveis. Por exemplo, pode utilizar a Fluentd para recolher dados de servidores web como Apache, sensores de dispositivos inteligentes, e registos dinâmicos de MongoDB. O que faz com esses dados depende inteiramente de si.
Fluentd é baseado no formato de dados JSON e pode ser usado em conjunto com mais de 500 plugins criados por programadores reputados. Isto permite-lhe alargar os seus dados de registo a outras aplicações e conduzir uma melhor análise dos mesmos com um esforço manual mínimo.
O resultado final
Se ainda não estiver a utilizar os registos de actividade por razões de segurança, conformidade governamental e medição da produtividade, comprometa-se a alterar isso. Existem muitos plugins no mercado que são concebidos para funcionar com múltiplos ambientes e plataformas, mesmo na sua rede interna. Não espere por um incidente grave para justificar uma abordagem proactiva à manutenção e supervisão dos registos.