A Syslog egy rendkívül hasznos jelentési formátum, amelyet számos hálózati eszköz és alkalmazás használ. A Syslog által generált állapot- és eseményüzenetek együttesen olyan gazdag információforrást képeznek, amely lehetővé teszi az eszköz meghibásodásának megelőzését, miközben segít a behatoló tevékenység észlelésében.
A Syslog által biztosított információkkal számos feladatot jobban teljesíthet. Ha azonban nem működik Syslog-kiszolgáló a hálózaton, akkor észrevétlenül hagyja, hogy ezek a hasznos információforrások a hálózaton keringjenek.
Ma bemutatjuk a Windows és Linux alapú rendszerek piacának legjobb Syslog szervereit. Olvass tovább!
Tartalomjegyzék
A Syslog fájlkezelés megértése
A Syslog szerverek fő feladata a Syslog adatok csapdázása és fájlba írása. Nem szeretné, hogy ezek a fájlok végtelenek legyenek, ezért tanácsos az üzeneteket kategorizálni, és értelmes nevű indexelhető fájlokban tárolni.
Például bevett gyakorlat, hogy minden nap új naplófájlt indítanak, és az üzenetek dátumát a fájl nevében helyezik el. Egyes rendszergazdák úgy döntenek, hogy az üzeneteket forrásuk szerint rögzítik. Ezekben az esetekben létre kell hoznia egy könyvtárstruktúrát, amely minden szabványos forráshoz tartozik egy mappával, amelyek alapján az üzeneteket kategorizálja, majd a dátumot használja fájlnévként, így az egyes kategóriákhoz tartozó fájlok kronológiai könyvtárát gyűjti össze.
A Syslog-kiszolgáló kiválasztásakor a Syslog-üzeneteket tartalmazó fájlok kezelésének lehetősége óriási előnyt jelent. Egy lépéssel továbblépve akár egy olyan Syslog szervert is kereshet, amely adatelemzési funkciókat is tartalmaz.
Egyes kiszolgálók riasztásokat is adhatnak, ha bizonyos típusú Syslog üzenetek gyakorisága hirtelen megnő. Például a sikertelen bejelentkezésekről szóló jelentések, amelyek hirtelen megnövekednek, azt jelezhetik, hogy egy hacker brute force támadást hajt végre egy felhasználói fiók ellen, és megpróbál hozzáférni a hálózathoz. Ez az esemény különösen fontos lenne, és szeretné, ha mielőbb értesülne róla.
A legjobb Syslog szerverek Windowshoz
A Syslog egy szabvány, amely független az operációs rendszertől. Még akkor is, ha a Syslog-kiszolgáló Windows-eszközön van, képes lesz felvenni egy teljesen más operációs rendszert futtató szerverről vagy hálózati eszközről származó Syslog-adatokat. Itt található a Windows és Windows Server környezetben futó Syslog-kiszolgálók listája.
1. SolarWinds Kiwi Syslog Server
A Kiwi Syslog Server Windowsra és Windows Serverre települ, és ingyenesen használható akár öt eszköz megfigyelésére. Ez a csomag a Simple Network Management Protocol (SNMP) szerint gyűjti az üzeneteket, valamint a Syslog adatokat. A szerver üzeneteket ír a fájlokba, és megjeleníti azokat a segédprogram felületének megjelenítőjében. Ezenkívül a kiszolgálóprogram figyelmezteti Önt, ha bizonyos típusú vagy üzenetforrásokból származó forgalom egy küszöbérték fölé emelkedik.
Lehetősége van kiválasztani azokat a feltételeket, amelyek miatt a szerver új fájlt nyit meg. Ezek közé tartozik a forráseszköz típusa és az üzenet dátuma. A Kiwi Syslog Server kezelni fogja a fájlok értelmes nevű könyvtárakban való tárolását, ami megkönnyíti az üzenetek archívumában való keresést. Fájlokat tölthet be a kiszolgáló megjelenítőjébe, hogy megvizsgálja a múltbeli adatokat.
2. Paessler PRTG Syslog
A PRTG egy átfogó infrastruktúra-felügyeleti rendszer. A csomag adatgyűjtő elemét érzékelők alkotják. Nem kell az összes érzékelőt bekapcsolnia; ehelyett egyszerűen testre szabhatja a monitort úgy, hogy csak az egyik szakterületére összpontosítson. A PRTG rendszer tartalmaz egy Syslog érzékelőt, amelyet előre megírt jelentések, kijelzők és adatfeldolgozási eljárás egészít ki.
A Paessler ingyenes PRTG-t kínál azoknak, akik akár 100 érzékelőt használnak, így hatékonyan telepítheti a PRTG-t és használhatja ingyenes Syslog szerverként. Miután a Syslog-szerver fut, lehetősége lesz néhány további érzékelő elindítására és az informatikai rendszer más részeire vonatkozó adatok lekérésére.
3. WhatsUp Gold Syslog Server
A WhatsUp Gold egy hálózatfigyelő rendszer, és gyártója, az Ipswitch ingyenes Syslog szervert is kínál. A szerver megjeleníti a Syslog üzeneteket a felületén, és a rekordokat is fájlba írja. A WhatsUp ezeket a fájlokat könyvtárstruktúrába is rendezi, hogy megkönnyítse az adatkészletek megtalálását.
Megadhatja az adatok fájlok közötti felosztását a figyelmeztetési szint, a forrás és az adatok szerint. Lehetőség van adatok szűrésére és rendezésére a megjelenítőben, ezek lehetnek élő adatok vagy fájlból beolvasott rekordok. A WhatsUp Gold Syslog Server óránként akár 6 millió Syslog-üzenetet is képes feldolgozni, így nagy hálózatokat is képes ellátni, bár ingyenes. Ez az eszköz Windowsra és Windows Serverre telepíthető.
4. Syslog Watcher
A Syslog Watcher egy másik ingyenes Syslog-kiszolgáló, amely Windows rendszeren fut. Ez a szolgáltatás többszálú architektúrát működtet, amely lehetővé teszi több Syslog rekord egyidejű feldolgozását. Ez egy hasznos funkció, ha nagy hálózattal rendelkezik, ahol nagy arányban keringenek a rendszernapló-üzenetek.
Ezek az üzenetek valós időben jelennek meg a megjelenítőben, és fájlokban is tárolódnak, amelyek beilleszthetők egy adatbázisba. Az összes rekord adatbázisban való mentésének lehetősége nagy előnyt jelent, elsősorban azért, mert így a naplófájlok napi üzenetlistájánál hosszabb perspektívát biztosít a hálózat forgalmáról.
A rekordokat az adatbázisból vagy egy fájlból olvashatja a megjelenítőbe. A néző még az üzeneteket is képes rendezni, szűrni és csoportosítani, hogy segítsen elemezni az általuk jelentett eseményeket. A Syslog Watcher telepíthető Windows környezetre.
5. Fastvue Syslog
Az ingyenes Fastvue Syslog a Windows Server környezetben fut. Ez a segédprogram nem csak Syslog fájlokat hoz létre, hanem őrzi is őket. Minden Fastvue megfigyelt naplófájlhoz tartozik egy kapcsolódó hash fájl (256 bites SHA algoritmussal számítva), amely az adott fájl tartalmának ellenőrző összege. A szerver figyeli az egyes naplófájlok méretét, és még azt is jelenti, ha ezek a méretek megváltoznak. Ez a két intézkedés fontos biztonsági funkció, mivel a fejlett, tartós fenyegetés-behatolást használó hackerek módosítják a naplófájlokat, hogy elfedjék a nyomaikat.
A szerver a Syslog-üzeneteket dátum szerint rendezett fájlokban tárolja, az adatok eszköztípus szerinti particionálásával. A fájlok a forráseszközhöz elnevezett könyvtárakban tárolódnak, és minden fájlnév tartalmazza a benne lévő üzenetek dátumát. Végül a Fastvue felületén belül megtekintheti, rendezheti, sőt szűrheti az ezekből a fájlokból betöltött összes archivált üzenetet az egyszerű elemzés érdekében.
6. Visual Syslog Server
A Visual Syslog Server egy ingyenes, nyílt forráskódú segédprogram, amely Windowson és Windows Serveren fut. Ez egy egyszerű segédprogram, amely összegyűjti az összes rendszernapló-üzenetet a hálózaton, és megjeleníti azokat egy megjelenítőben. A megtekintő színkódolja az üzeneteket a súlyosság típusa szerint – a hibaüzenetek pirosak, a figyelmeztetések pedig sárgák. Még a színséma is módosítható, és lehetőség van a rekordok szűrésére, rendezésére és összesítésére is a megjelenítőben. Végül a szerver ezeket a Syslog üzeneteket is fájlokban tárolja.
Beállíthatja, hogy a segédprogram zajt adjon, ha hibaüzenetet észlel, és beállíthatja, hogy minden figyelmeztetésről és hibáról értesítést küldjön. Ezeket az értesítéseket akár e-mailben is el lehet küldeni, amely titkosítható, ha az e-mail rendszer képes kezelni a titkosítást.
7. TFTPD32
A TFTPD32 egy nagyon egyszerű, lelkesek által létrehozott Syslog-kiszolgáló, amely 32 bites Windows rendszereken fut. Létezik egy TFTPD64 nevű kiegészítő szolgáltatás, amely 64 bites rendszerekhez készült. Ez a segédprogram nem rendelkezik túl kifinomult felülettel, de széles körben használják. Ez annak a ténynek köszönhető, hogy a harangok és sípok hiánya miatt nagyon könnyű.
Az eszköz valójában egy TFTP-szerver. A TFTP a Trivial File Transfer Protocol, amely egy nagyon nem biztonságos protokoll, amelyet nem szabad az interneten keresztül használni. Ez azonban egy szabványos módszer kis rendszerfájlok magánhálózaton keresztüli átvitelére. Az interfész átkapcsolható DHCP-kiszolgálóvá az IP-címek elosztásának kezelésére, és beállítható Syslog szerverként is. Végül a TFTPD32 fájlban tárolja a Syslog üzeneteket.
Bár a létesítmény lehet egy TFTP-kiszolgáló, egy TFTP-ügyfél, egy DHCP-kiszolgáló és egy Syslog-kiszolgáló, ugyanaz a példány nem tudja egyszerre végrehajtani az összes feladatot.
8. SureLog
A SureLog a kisvállalkozásoknak szól, de nem ingyenes. A szoftvert Windows rendszerre telepítheti. A rendszerbiztonsági piacot célozza, és kiszűri a rendszeres eseményüzeneteket, hogy kiemelje a biztonsági fenyegetéseket. A Syslog-üzenetek csapdába ejtése és fájlokban való tárolása mellett a SureLog szolgáltatás figyeli ezeket a naplófájlokat, hogy megbizonyosodjon arról, hogy a nyomaikat elfedni próbáló hackerek nem manipulálják őket. Végül a segédprogram azokat a fontos üzeneteket is megjeleníti a naplónézegetőjében.
A legjobb Syslog szerverek Linux/Unix rendszerhez
A Linuxot „Unix-szerű” operációs rendszerként ismerik. Általánosságban elmondható, hogy egy Linuxon futó szoftver valószínűleg Unixon is futni fog. Itt található a Linux és/vagy Unix rendszerre telepített Syslog szerverek listája.
9. Icinga 2
Az Icinga a világ egyik vezető nyílt forráskódú rendszerfigyelő eszköze. Ingyenesen használható, legújabb verziója az Icinga 2. Az eszköz Linuxra települ, és egyik funkciója a naplóüzenet-figyelési lehetőség. Megadhatja a csapdázandó üzenetek típusát, és az egyik lehetőség a Syslog. A szerver megjeleníti a Syslog üzeneteket, és fájlba is írja azokat. Végül a tárolt üzeneteket is betöltheti a megjelenítőbe.
Az Icinga rendszer két részből áll, amelyek egy feldolgozó rész, az Icinga Core és egy előtér, amelyet Web 2.0-nak hívnak. Még csak nem is kell a Web 2.0-t használnia az adatfeldolgozó interfészeként, mert vannak más alkalmazások is, amelyek kompatibilisek. Mivel a kód nyílt forráskódú, a Web 2.0 programot is adaptálhatja saját vállalati előtér létrehozásához.
10. Syslog-NG
A Syslog-NG telepítése Linux rendszerű számítógépekre. Ez az eszköz ingyenes, és egy nyílt forráskódú projekt. A segédprogram összegyűjti a Syslog üzeneteket és a Windows eseményeket. Ezeket az üzeneteket fájlokban tárolja. Dönthet úgy is, hogy az eszköz segítségével rekordokat szúrhat be egy SQL-adatbázisba, vagy továbbíthatja azokat más alkalmazásoknak. A Syslog-NG nem tartalmaz elemző eszközöket, de a szerver által létrehozott fájlok más létesítményekben is megnyithatók.
11. Logstash
A Logstash egy nyílt forráskódú rendszer, amely Linuxra telepíthető. Ez egy ingyenes segédprogram, amely az „Elastic Stack” nevű alkalmazáscsoport részét képezi. Az Elastic Stack kulcsprogramja az Elasticsearch. Egy másik modul a veremben a Kibana, amely egy nagyon jól ismert ingyenes előlap, amely számos különböző feldolgozómotorral tud kapcsolódni. Logstash a gyűjtő a veremben. Figyeli a Syslog üzeneteket és fájlokat küld. Ha több funkciót szeretne, telepítse az Elasticsearch programot, amely rendezi és szűri a Syslog-adatokat elemzés céljából. Végül hozzáadja a Kibanát, hogy egy megjelenítőn keresztül hozzáférjen a rekordokhoz.
A Logstash naplóüzenetészlelési folyamatai univerzálisak, és nem egy adott típusú hibanaplózási formátumra vonatkoznak. Egy ingyenes beépülő modul telepítésével testre kell szabnia a rendszert, hogy a Syslog adatokra összpontosítson. A Logstash üzenetfeldolgozó funkciói feltételesen rögzíthetnek rekordokat, kihagyva a kevésbé fontos üzeneteket, és a felhasználói felületen meghatározott szabályrendszer szerint különböző fájlba írhatók. A Logstash akár Nagios, Icinga, Loggly, Graylog, AWS és Graphite kompatibilis formátumú fájlokat is képes kiadni.
12. Graylog
A Graylog egy naplófájl-kezelő, amely Linuxon fut. A segédprogramot ingyenesen beszerezheti – de ez a verzió legfeljebb napi 5 GB adatgyűjtésre korlátozódik. A Graylog felülete böngésző alapú, ami az operációs rendszertől függetlenné és a szemnek kíméli. Használhatja a Graylog kezelőfelületét és más eszköz, például a Logstash adatgyűjtő modulját. Alternatív megoldásként használhatja a Graylog adatgyűjtési modulját a Kibanával előtérként. Amint látja, ez az eszköz sok lehetőséget kínál.
13. Fluentd
A Fluend egy ingyenes, nyílt forráskódú Syslog-kiszolgáló, amely Linuxon és Mac OS-en fut. A segédprogram számos naplóüzenettípust, valamint Syslog-ot tud gyűjteni. Az eszköz képességeinek bővítéséhez hozzá kell adnia egy beépülő modult. Tudnia kell azonban, hogy ez csak egy adatgyűjtő rendszer. Hozzá kell adnia egy másik kezelőfelületet, például a Nagios-t, hogy elemzési és megtekintési felületet kapjon a Fluentd feldolgozási képességei előtt.
14. Humio
A Humio Linuxon fut, de online szolgáltatásként is beszerezhető. A rendszer használata nem ingyenes, de a leendő vásárlók ingyenes próbaverzióval futtathatják végig. Az eszközt egy felhasználói közösség támogatja, és akár bővítményekkel is bővíthető. Ez azonban csak gyűjtő, és más eszközökre lesz szüksége a Humio által gyűjtött Syslog rekordok megtekintéséhez és elemzéséhez.
A legjobb Syslog szerverek Windows vagy Linux/Unix rendszerhez
Bár a Windows a világon a legtöbbet telepített számítógépes operációs rendszer, sok hálózati segédprogram működéséhez Linux szükséges. Annak érdekében, hogy mindkét piacot elérje, sok szoftvergyártó úgy hozza létre szoftverét, hogy Windows és Linux verzióval is rendelkezzen. Itt található a Windows és Linux/Unix rendszerhez készült Syslog-kiszolgálók listája.
15. ManageEngine Event Log Analyzer
A ManageEngine a világ egyik vezető infrastruktúra-felügyeleti eszközgyártója. Az Event Log Analyzer Windows és Linux rendszerre telepíthető, és ingyenesen használható öt vagy kevesebb forrás figyelésére. A ManageEngine eszköz nemcsak a Syslog-üzeneteket gyűjti, hanem a fejlécinformációkat is felhasználja az üzenetek továbbításában a hálózat leképezéséhez. Végül a segédprogram SNMP-üzeneteket is gyűjthet.
Megtekintheti az új üzeneteket az eszköz irányítópultján, és fájlba is írhatja őket. Az irányítópulton rendezheti és szűrheti az üzeneteket elemzés céljából. A naplófájlok tömörítettek és titkosítottak, a hozzáférést csak az arra jogosult személyzet korlátozza. A fájlok az archívumból beolvashatók a műszerfalba, így akár a történeti adatokhoz is hozzáférhet elemzés céljából. Ez az eszköz jól integrálható a ManageEngine hálózatfigyelő csomaggal, amelyet OpManagernek hívnak.
16. A haver
A Dude a hálózati berendezéseket gyártó MikroTik terméke. Azonban képes felvenni a bármely gyártó által gyártott berendezés által generált Syslog üzeneteket. Ez egy ingyenes segédprogram, amely Windows, Linux vagy Mac OS rendszerre telepíthető. Az eszköz nagyon rugalmas, és képes SNMP-üzeneteket, valamint Syslog-adatokat gyűjteni.
Az eszköz a felület beállítási oldalain megadott követelményeknek megfelelően különböző fájlokba elemzi az üzeneteket. Az üzenetek a műszerfalon is megjelennek, és akár hangjelzéssel vagy felugró üzenettel is figyelmeztethet, ha üzenet érkezik. Végül az üzenetnézegető lehetővé teszi a rekordok rendezését és szűrését elemzés céljából.
17. Nagios naplószerver
A Nagios Core egy ingyenes, nyílt forráskódú hálózatfigyelő rendszer. A fentebb részletezett Icinga 2-t a Nagios Core kód másolatából fejlesztették ki. Ez egy nagyon elismert eszköz, amelyet mások szó szerint utánoznak. A Nagiosnak van fizetős változata is, Nagios XI néven, és ennek a terméknek a fejlesztői egy naplókiszolgáló eszközt is készítettek. A naplószerver nem ingyenes, de nem kell fizetnie, ha napi 500 MB adatot figyelhet meg vele.
A Nagios Log Server Windows és Linux rendszeren fut. Összegyűjti a Windows eseményeket, valamint a Syslog adatokat. A rekordok fájlba kerülnek, és a naplószerver irányítópultján is megjelennek. A naplók egy központi helyen tárolhatók, vagy több szerver között is eloszthatók. Lehetőség van biztonsági másolatok készítésére is a naplófájlokról. Még a Syslog üzeneteket is szűrheti, hogy ne kerüljön mindegyik tárolásra, vagy opcionálisan átirányíthatja a fontos üzeneteket egy külön fájlba. Végül az irányítópult lehetővé teszi az élő adatok rendezését és szűrését, valamint a Syslog-fájlokból beolvasott előzményadatok elemzését.
18. Splunk
A Splunk fájlelemző csomag ingyenes és fizetős változatban is elérhető. Az ingyenes verzió a fájladatok elemzésére korlátozódik. Azonban ráveheti, hogy megtekintse az élő Syslog-üzeneteket, ha fájlon keresztül irányítja őket. Sajnos először egy másik eszközt kell használnia az üzenetek összegyűjtéséhez. A Splunk Linuxon, Windowson és Mac OS rendszeren fog futni. Az ingyenes verzió napi 500 MB adatátviteli sebességre korlátozódik.
Válasszon egy Syslog-kiszolgálót
Kipróbálhat több, a listán szereplő Syslog-kiszolgálót, mert a legtöbb ingyenes, és azok, amelyek nem kínálnak ingyenes próbaverziót. A Syslog üzenetek kezelése lehetővé teszi, hogy fontos visszajelzéseket kapjon a hálózatáról, és ezt a visszajelzési csatornát sem szabad figyelmen kívül hagyni!
Használ már olyan Syslog szervert, amelyet ajánlana másoknak? Használja a listánkban javasolt rendszerek valamelyikét? Hagyjon üzenetet az alábbi Megjegyzések részben, és ossza meg tapasztalatait.