SYSLOG-NG – Oprogramowanie do zarządzania logami (ang. Log Management Solutions)
Kluczowe cechy
Bezpieczny transfer i przechowywanie logów
Daje zaufanie do danych leżących u podstaw działań analitycznych, śledczych i zgodności.
Korzystając z lokalnego bufora dysku, przełączenia awaryjnego po stronie klienta i potwierdzania w warstwie aplikacji, syslog-ng może przesyłać logi z zerową utratą wiadomości. Szyfrowane przesyłanie i przechowywanie zapewniają, że logów nie można modyfikować, zachowując cyfrowy łańcuch kontroli.
Niezawodny transfer logów
Syslog-ng Premium Edition może wysyłać i odbierać komunikaty logów w niezawodny sposób za pośrednictwem warstwy transportowej TCP przy użyciu protokołu Advanced Log Transfer Protocol ™ (ALTP ™). ALTP ™ to nowy protokół transportowy, który zapobiega utracie wiadomości podczas przerw w połączeniu.
Bezpieczny transfer za pomocą TLS
Komunikaty logów mogą zawierać poufne informacje, do których osoby trzecie nie powinny mieć dostępu. Dlatego syslog-ng Premium Edition używa protokołu Transport Layer Security (TLS) do szyfrowania komunikacji.TLS umożliwia również wzajemne uwierzytelnianie hosta i serwera przy użyciu certyfikatów X.509.
Bezpieczne, szyfrowane przechowywanie logów
syslog-ng Premium Edition może bezpiecznie przechowywać komunikaty logów w zaszyfrowanych, skompresowanych, zindeksowanych i znaczonych czasowo plikach binarnych, więc wszelkie wrażliwe dane są dostępne tylko dla upoważnionego personelu, który ma odpowiedni klucz szyfrowania.
Znaczniki czasu można zażądać od zewnętrznych organów znaczników czasu.
Skalowalna architektura
Skaluj zarządzanie logami
W zależności od konfiguracji jeden serwer syslog-ng może zebrać ponad pół miliona komunikatów logów (zdarzeń) na sekundę z tysięcy źródeł logowania. Pojedynczy serwer centralny może zbierać komunikaty logów z ponad 5000 hostów źródeł logów. Po wdrożeniu w konfiguracji przekazywania klienta pojedynczy serwer syslog-ng może zbierać logi z dziesiątek tysięcy źródeł.
Olbrzymie ilości gromadzonych wiadomości
Aplikacja syslog-ng jest zoptymalizowana pod kątem wydajności i może obsługiwać ogromną liczbę wiadomości. W zależności od dokładnej konfiguracji może przetwarzać ponad pół miliona wiadomości na sekundę w czasie rzeczywistym i ponad 24 GB surowych logów na godzinę na standardowym sprzęcie serwerowym.
Kolekcja z tysięcy źródeł
Dzięki architekturze client-relay syslog-ng działy IT mogą zbierać komunikaty logów z ponad 10 000 źródeł w rozproszonym geograficznie środowisku na jednym centralnym serwerze sysloga.
Łatwe monitorowanie
syslog-ng pozwala na precyzyjne wybranie statystyk syslog-ng, które chcesz monitorować. Statystyki są dostępne jako ustrukturyzowane pary nazwa-wartość, dzięki czemu można sformatować dane wyjściowe podobnie do innych komunikatów log’a. W ten sposób można łatwo konwertować statystyki i metryki i wysyłać wyniki do rozwiązania monitorowania przedsiębiorstwa (na przykład IBM Tivoli Netcool, Riemann, Redis lub Graphite).
Elastyczne trasowanie dziennika
Mniejszy koszty utrzymania i wdrażania
syslog-ng można wdrożyć jako agenta na wielu różnych hostach i elastycznie kierować dzienniki do wielu narzędzi analitycznych lub baz danych, eliminując potrzebę wdrażania wielu agentów na serwerach. Przetestowane pliki binarne dla syslog-ng Premium Edition są dostępne dla ponad 50 platform serwerowych, co skraca czas instalacji i utrzymania.
Zbieranie logów z wielu różnych źródeł, w tym z Windows
syslog-ng Premium Edition może natywnie zbierać i przetwarzać komunikaty log’ów z baz danych SQL, umożliwiając użytkownikom łatwe zarządzanie wiadomościami logów z szerokiej gamy oprogramowania korporacyjnego i niestandardowych aplikacji. Agent syslog-ng dla Windows jest kolekcjonerem logów zdarzeń i aplikacją do przesyłania ich dalej dla platform Microsoft Windows.
Komunikaty „log” z dowolnego pliku tekstowego
Niektóre aplikacje używają wielu różnych formatów logów, a czasami te pliki znajdują się nawet w tym różnych folderach. Automatycznie generowane nazwy plików i folderów są również często problemem. Aby rozwiązać te problemy, nazwy plików i ścieżki określające pliki dziennika czytane przez syslog-ng mogą zawierać symbole wieloznaczne, a syslog-ng może automatycznie skanować całe drzewa podfolderów dla określonych plików. Aplikacja syslog-ng Premium Edition jest również w stanie przetwarzać wielowierszowe komunikaty dziennika, na przykład wiadomości Apache Tomcat.
Przekierowanie do wielu różnych systemów docelowych
Wiele dużych organizacji musi wysyłać swoje logi do wielu narzędzi do analizy logów. Różne grupy, w tym działy IT, bezpieczeństwa IT i ryzyka korporacyjnego oraz zarządzania, potrzebują dostępu do tych samych danych, ale mają różne cele analizy i narzędzia.
Aplikacja syslog-ng może wysyłać dzienniki bezpośrednio do baz danych SQL, węzłów MongoDB i Hadoop Distributed File System (HDFS) lub używać standardowego protokołu zarządzania siecią (SNMP) i protokołu Simple Mail Transfer Protocol (SMTP) w celu przekazywania sysloga.
Transformacja w czasie rzeczywistym
Zoptymalizuj swoje narzędzia za pomocą przetwarzania rozproszonego
Dzięki potężnym opcjom filtrowania, analizowania, ponownego pisania i klasyfikacji syslog-ng może przekształcać dzienniki na zdalnych hostach, zmniejszając ilość i złożoność danych dziennika przesyłanych do narzędzi analitycznych, takich jak np. SIEM, zmniejszając ich całkowity koszt posiadania. Elastyczny język konfiguracji pozwala użytkownikom tworzyć potężne, złożone systemy przetwarzania logów na zdalnych hostach z prostymi regułami.
Filtruj, parsuj, przepisuj
syslog-ng może sortować przychodzące komunikaty logów na podstawie ich zawartości i różnych parametrów, takich jak host źródłowy, aplikacja i priorytet. Katalogi, pliki i tabele bazy danych mogą być tworzone dynamicznie przy użyciu makr. Złożone filtrowanie przy użyciu wyrażeń regularnych i operatorów boolowskich oferuje prawie nieograniczoną elastyczność przekazywania tylko ważnych komunikatów dziennika do wybranych miejsc docelowych.
Klasyfikacja w czasie rzeczywistym
Porównując komunikaty dziennika ze znanymi wzorcami, syslog-ng jest w stanie zidentyfikować dokładny typ komunikatów i posortować je w klasy wiadomości. Klasy komunikatów mogą być następnie użyte do klasyfikacji typu zdarzenia opisanego w komunikacie dziennika. Klasy wiadomości można dostosowywać i na przykład mogą oznaczać wiadomości jako logowanie użytkownika, awaria aplikacji, transfer plików itp. Zdarzenia.
Ulepszanie i wzbogacanie
syslog-ng może używać zewnętrznego pliku bazy danych do dołączania niestandardowych par nazwa-wartość do przychodzących logów, rozszerzając, wzbogacając i uzupełniając dane znalezione w komunikacie dziennika. Można również korelować i agregować informacje z komunikatów logów za pomocą kilku prostych filtrów podobnych do instrukcji SQL GROUPBY.
Porównanie rozwiązań syslog-ng
syslog-ng product family
Syslog NG OSE – wersja darmowa, rozwijana przez opiekunów dystrybucji – brak wersji dla Windows.
1. Parsowanie i filtrowanie
2. Przyjmuje logi w każdej postaci
3. Korelacja logów/zdarzeń przed wysłaniem do serwera docelowego, np. SIEM
4. Wysyłka logów do SQL
Syslog NG Premium – wersja płatna
W porównaniu do wersji OSE posiada to samo co wersja Syslog NG OSE) oraz:
1. Zaszyfrowany content logów, który może być oznaczony znacznikiem czasu
2. Własnościowy protokół RLTP, który zabezpiecza log przed niepoprawnym zapisaniem
3. Większe możliwości obróbki logów, np. po sparsowaniu logów ich wysłanie do SIEM własnościowym formatem tej aplikacji
4. Szyfrowanie transmisji przesyłania logów
5. Syslog NG Premium może być agentem, serwerem lub forwarderem logów
6. Klasyfikacja logów w czasie rzeczywistym
7. Różne wersje, dla: Unix, Linux, Windows
SSB (Syslog Store Box) – appliance (posiada to samo co wersja Syslog NG Premium) oraz:
1. Łatwo konfigurowalny poprzez przeglądarkę
2. Bardzo szybkie wyszukiwanie oraz przyjmowanie/zapisanie logów, do 100 000 logów na sekundę
3. Alerty, wysyłka poprzez SNMP/email
4. Posiada quasi SIEM raportowanie lejków w postaci graficznej, np: ile logów, jakiego typu przyszło w zadanym czasie z adresu IP
5. Wersje: wirtualna oraz sprzętowa
6. Wersję sprzętową można klastrować: HA DR
7. Przyjmuje logi z Windows poprzez agenta lub WMI. Inne logi z Windows (nie systemowe), również potrafi przyjąć, ale tylko poprzez agenta.
Skontaktuj się z nami: biuro@greeneris.com | tel. +48 22 439 03 20
lub napisz poprzez formularz kontaktowy