+48 22 439 03 20 biuro@greeneris.com
Zaznacz stronę

SYSLOG-NG – Oprogramowanie do zarządzania logami (ang. Log Management Solutions)


Niezależnie od tego, czy chodzi o aktywność użytkownika, metryki wydajności, logi zdarzeń systemu Windows, Linux etc., ruch sieciowy czy jakiekolwiek inne dane – syslog-ng może zbierać i centralizować dane logowania. System nie tworzy silosów gromadzenia danych dzięki czemu jest możliwość uzyskania pełnej informacji o środowisku IT. W zależności od konfiguracji jeden serwer syslog-ng może zebrać ponad pół miliona komunikatów log’a na sekundę z tysięcy źródeł logowania.

Kluczowe cechy

Bezpieczny transfer i przechowywanie logów

Daje zaufanie do danych leżących u podstaw działań analitycznych, śledczych i zgodności.
Korzystając z lokalnego bufora dysku, przełączenia awaryjnego po stronie klienta i potwierdzania w warstwie aplikacji, syslog-ng może przesyłać logi z zerową utratą wiadomości. Szyfrowane przesyłanie i przechowywanie zapewniają, że logów nie można modyfikować, zachowując cyfrowy łańcuch kontroli.

Niezawodny transfer logów

Syslog-ng Premium Edition może wysyłać i odbierać komunikaty logów w niezawodny sposób za pośrednictwem warstwy transportowej TCP przy użyciu protokołu Advanced Log Transfer Protocol ™ (ALTP ™). ALTP ™ to nowy protokół transportowy, który zapobiega utracie wiadomości podczas przerw w połączeniu.

Bezpieczny transfer za pomocą TLS

Komunikaty logów mogą zawierać poufne informacje, do których osoby trzecie nie powinny mieć dostępu. Dlatego syslog-ng Premium Edition używa protokołu Transport Layer Security (TLS) do szyfrowania komunikacji.TLS umożliwia również wzajemne uwierzytelnianie hosta i serwera przy użyciu certyfikatów X.509.

Bezpieczne, szyfrowane przechowywanie logów

syslog-ng Premium Edition może bezpiecznie przechowywać komunikaty logów w zaszyfrowanych, skompresowanych, zindeksowanych i znaczonych czasowo plikach binarnych, więc wszelkie wrażliwe dane są dostępne tylko dla upoważnionego personelu, który ma odpowiedni klucz szyfrowania.
Znaczniki czasu można zażądać od zewnętrznych organów znaczników czasu.

Skalowalna architektura

Skaluj zarządzanie logami

W zależności od konfiguracji jeden serwer syslog-ng może zebrać ponad pół miliona komunikatów logów (zdarzeń) na sekundę z tysięcy źródeł logowania. Pojedynczy serwer centralny może zbierać komunikaty logów z ponad 5000 hostów źródeł logów. Po wdrożeniu w konfiguracji przekazywania klienta pojedynczy serwer syslog-ng może zbierać logi z dziesiątek tysięcy źródeł.

Olbrzymie ilości gromadzonych wiadomości

Aplikacja syslog-ng jest zoptymalizowana pod kątem wydajności i może obsługiwać ogromną liczbę wiadomości. W zależności od dokładnej konfiguracji może przetwarzać ponad pół miliona wiadomości na sekundę w czasie rzeczywistym i ponad 24 GB surowych logów na godzinę na standardowym sprzęcie serwerowym.

Kolekcja z tysięcy źródeł

Dzięki architekturze client-relay syslog-ng działy IT mogą zbierać komunikaty logów z ponad 10 000 źródeł w rozproszonym geograficznie środowisku na jednym centralnym serwerze sysloga.

Łatwe monitorowanie

syslog-ng pozwala na precyzyjne wybranie statystyk syslog-ng, które chcesz monitorować. Statystyki są dostępne jako ustrukturyzowane pary nazwa-wartość, dzięki czemu można sformatować dane wyjściowe podobnie do innych komunikatów log’a. W ten sposób można łatwo konwertować statystyki i metryki i wysyłać wyniki do rozwiązania monitorowania przedsiębiorstwa (na przykład IBM Tivoli Netcool, Riemann, Redis lub Graphite).

Elastyczne trasowanie dziennika

Mniejszy koszty utrzymania i wdrażania

syslog-ng można wdrożyć jako agenta na wielu różnych hostach i elastycznie kierować dzienniki do wielu narzędzi analitycznych lub baz danych, eliminując potrzebę wdrażania wielu agentów na serwerach. Przetestowane pliki binarne dla syslog-ng Premium Edition są dostępne dla ponad 50 platform serwerowych, co skraca czas instalacji i utrzymania.

Zbieranie logów z wielu różnych źródeł, w tym z Windows

syslog-ng Premium Edition może natywnie zbierać i przetwarzać komunikaty log’ów z baz danych SQL, umożliwiając użytkownikom łatwe zarządzanie wiadomościami logów z szerokiej gamy oprogramowania korporacyjnego i niestandardowych aplikacji. Agent syslog-ng dla Windows jest kolekcjonerem logów zdarzeń i aplikacją do przesyłania ich dalej dla platform Microsoft Windows.

Komunikaty „log” z dowolnego pliku tekstowego

Niektóre aplikacje używają wielu różnych formatów logów, a czasami te pliki znajdują się nawet w tym różnych folderach. Automatycznie generowane nazwy plików i folderów są również często problemem. Aby rozwiązać te problemy, nazwy plików i ścieżki określające pliki dziennika czytane przez syslog-ng mogą zawierać symbole wieloznaczne, a syslog-ng może automatycznie skanować całe drzewa podfolderów dla określonych plików. Aplikacja syslog-ng Premium Edition jest również w stanie przetwarzać wielowierszowe komunikaty dziennika, na przykład wiadomości Apache Tomcat.

Przekierowanie do wielu różnych systemów docelowych

Wiele dużych organizacji musi wysyłać swoje logi do wielu narzędzi do analizy logów. Różne grupy, w tym działy IT, bezpieczeństwa IT i ryzyka korporacyjnego oraz zarządzania, potrzebują dostępu do tych samych danych, ale mają różne cele analizy i narzędzia.
Aplikacja syslog-ng może wysyłać dzienniki bezpośrednio do baz danych SQL, węzłów MongoDB i Hadoop Distributed File System (HDFS) lub używać standardowego protokołu zarządzania siecią (SNMP) i protokołu Simple Mail Transfer Protocol (SMTP) w celu przekazywania sysloga.

Transformacja w czasie rzeczywistym

Zoptymalizuj swoje narzędzia za pomocą przetwarzania rozproszonego

Dzięki potężnym opcjom filtrowania, analizowania, ponownego pisania i klasyfikacji syslog-ng może przekształcać dzienniki na zdalnych hostach, zmniejszając ilość i złożoność danych dziennika przesyłanych do narzędzi analitycznych, takich jak np. SIEM, zmniejszając ich całkowity koszt posiadania. Elastyczny język konfiguracji pozwala użytkownikom tworzyć potężne, złożone systemy przetwarzania logów na zdalnych hostach z prostymi regułami.

Filtruj, parsuj, przepisuj

syslog-ng może sortować przychodzące komunikaty logów na podstawie ich zawartości i różnych parametrów, takich jak host źródłowy, aplikacja i priorytet. Katalogi, pliki i tabele bazy danych mogą być tworzone dynamicznie przy użyciu makr. Złożone filtrowanie przy użyciu wyrażeń regularnych i operatorów boolowskich oferuje prawie nieograniczoną elastyczność przekazywania tylko ważnych komunikatów dziennika do wybranych miejsc docelowych.

Klasyfikacja w czasie rzeczywistym

Porównując komunikaty dziennika ze znanymi wzorcami, syslog-ng jest w stanie zidentyfikować dokładny typ komunikatów i posortować je w klasy wiadomości. Klasy komunikatów mogą być następnie użyte do klasyfikacji typu zdarzenia opisanego w komunikacie dziennika. Klasy wiadomości można dostosowywać i na przykład mogą oznaczać wiadomości jako logowanie użytkownika, awaria aplikacji, transfer plików itp. Zdarzenia.

Ulepszanie i wzbogacanie

syslog-ng może używać zewnętrznego pliku bazy danych do dołączania niestandardowych par nazwa-wartość do przychodzących logów, rozszerzając, wzbogacając i uzupełniając dane znalezione w komunikacie dziennika. Można również korelować i agregować informacje z komunikatów logów za pomocą kilku prostych filtrów podobnych do instrukcji SQL GROUPBY.

Porównanie rozwiązań syslog-ng

 

syslog-ng product family

Syslog NG OSE – wersja darmowa, rozwijana przez opiekunów dystrybucji – brak wersji dla Windows.
1. Parsowanie i filtrowanie
2. Przyjmuje logi w każdej postaci
3. Korelacja logów/zdarzeń przed wysłaniem do serwera docelowego, np. SIEM
4. Wysyłka logów do SQL

Syslog NG Premium – wersja płatna
W porównaniu do wersji OSE posiada to samo co wersja Syslog NG OSE) oraz:
1. Zaszyfrowany content logów, który może być oznaczony znacznikiem czasu
2. Własnościowy protokół RLTP, który zabezpiecza log przed niepoprawnym zapisaniem
3. Większe możliwości obróbki logów, np. po sparsowaniu logów ich wysłanie do SIEM własnościowym formatem tej aplikacji
4. Szyfrowanie transmisji przesyłania logów
5. Syslog NG Premium może być agentem, serwerem lub forwarderem logów
6. Klasyfikacja logów w czasie rzeczywistym
7. Różne wersje, dla: Unix, Linux, Windows

SSB (Syslog Store Box) – appliance (posiada to samo co wersja Syslog NG Premium) oraz:
1. Łatwo konfigurowalny poprzez przeglądarkę
2. Bardzo szybkie wyszukiwanie oraz przyjmowanie/zapisanie logów, do 100 000 logów na sekundę
3. Alerty, wysyłka poprzez SNMP/email
4. Posiada quasi SIEM raportowanie lejków w postaci graficznej, np: ile logów, jakiego typu przyszło w zadanym czasie z adresu IP
5. Wersje: wirtualna oraz sprzętowa
6. Wersję sprzętową można klastrować: HA DR
7. Przyjmuje logi z Windows poprzez agenta lub WMI. Inne logi z Windows (nie systemowe), również potrafi przyjąć, ale tylko poprzez agenta.

Skontaktuj się z nami: biuro@greeneris.com | tel. +48 22 439 03 20
lub napisz poprzez formularz kontaktowy