Syslog ist ein äußerst praktisches Meldeformat, das von zahlreichen Netzwerkgeräten und Applikationen verwendet wird. Die durch Syslog generierten Status- und Ereignismeldungen bilden eine umfassende Informationsquelle, die es Ihnen ermöglicht, Geräteausfälle zu verhindern und gleichzeitig unerlaubte Zugriffe zu identifizieren.
Es gibt viele Aufgaben, die mithilfe der von Syslog bereitgestellten Informationen effizienter erledigt werden können. Wenn Sie jedoch keinen Syslog-Server in Ihrem Netzwerk einsetzen, bleiben diese wertvollen Datenquellen ungenutzt.
Im Folgenden werden die empfehlenswertesten Syslog-Server für Windows- und Linux-basierte Systeme vorgestellt. Lesen Sie weiter, um mehr zu erfahren!
Grundlagen der Syslog-Dateiverwaltung
Die Hauptfunktion von Syslog-Servern besteht darin, Syslog-Daten aufzufangen und in Dateien zu speichern. Um ein unkontrolliertes Anwachsen dieser Dateien zu verhindern, ist es ratsam, Nachrichten zu kategorisieren und in indexierbaren Dateien mit aussagekräftigen Namen abzulegen.
Es ist beispielsweise üblich, täglich eine neue Protokolldatei zu erstellen und das Datum der Meldungen in den Dateinamen aufzunehmen. Einige Systemadministratoren entscheiden sich dafür, Nachrichten nach ihrer Quelle zu archivieren. In solchen Fällen wird eine Verzeichnisstruktur mit einem Ordner für jede der Standardquellen erstellt, nach denen die Nachrichten kategorisiert werden, und das Datum wird als Dateiname verwendet. Dadurch entsteht eine chronologische Sammlung von Dateien für jede Kategorie.
Bei der Auswahl eines Syslog-Servers ist die Fähigkeit, die Dateien, in denen Syslog-Nachrichten gespeichert werden, zu verwalten, von großem Vorteil. Idealerweise sollte man einen Syslog-Server in Erwägung ziehen, der auch Funktionen zur Datenanalyse bietet.
Manche Server können auch Warnmeldungen ausgeben, wenn die Häufigkeit bestimmter Syslog-Meldungstypen plötzlich zunimmt. Wenn beispielsweise die Berichte über fehlgeschlagene Anmeldeversuche plötzlich ansteigen, könnte dies darauf hindeuten, dass ein Hacker einen Brute-Force-Angriff auf ein Benutzerkonto durchführt, um sich Zugriff auf das Netzwerk zu verschaffen. Ein solches Ereignis wäre von höchster Bedeutung, und Sie sollten so schnell wie möglich darüber informiert werden.
Top Syslog-Server für Windows
Syslog ist ein betriebssystemunabhängiger Standard. Auch wenn sich Ihr Syslog-Server auf einem Windows-Gerät befindet, können Sie Syslog-Daten empfangen, die von einem Server oder Netzwerkgerät mit einem völlig anderen Betriebssystem stammen. Hier ist eine Liste von Syslog-Servern, die unter Windows und Windows Server-Umgebungen eingesetzt werden können.
1. SolarWinds Kiwi Syslog Server
Der Kiwi Syslog Server wird auf Windows und Windows Server installiert und ist für die Überwachung von bis zu fünf Geräten kostenlos nutzbar. Dieses Paket erfasst Meldungen über das Simple Network Management Protocol (SNMP) sowie Syslog-Daten. Der Server schreibt Nachrichten in Dateien und zeigt sie zudem im Viewer der Benutzeroberfläche an. Darüber hinaus warnt Sie das Serverprogramm, wenn der Datenverkehr bestimmter Arten oder Nachrichtenquellen einen definierten Schwellenwert überschreitet.
Sie haben die Möglichkeit, die Kriterien festzulegen, die dazu führen, dass der Server eine neue Datei öffnet. Zu diesen Kriterien gehören der Quellgerätetyp und das Datum der Meldung. Der Kiwi Syslog Server organisiert die Speicherung von Dateien in Verzeichnissen mit aussagekräftigen Namen, was das Durchsuchen des Archivs nach bestimmten Nachrichten erleichtert. Sie können Dateien in den Viewer des Servers laden, um historische Daten zu untersuchen.
2. Paessler PRTG Syslog
PRTG ist ein umfassendes System zur Überwachung der IT-Infrastruktur. Das Datenerfassungselement des Pakets besteht aus Sensoren. Es ist nicht erforderlich, alle Sensoren zu aktivieren; Sie können den Monitor so konfigurieren, dass er sich nur auf ein bestimmtes Fachgebiet konzentriert. Das PRTG-System beinhaltet einen Syslog-Sensor, der durch vordefinierte Berichte, Ansichten und Datenverarbeitungsmethoden ergänzt wird.
Paessler bietet PRTG kostenlos für Anwender mit bis zu 100 Sensoren an, sodass Sie PRTG effektiv installieren und als kostenlosen Syslog-Server nutzen können. Sobald der Syslog-Server in Betrieb ist, haben Sie auch die Möglichkeit, einige der anderen Sensoren zu aktivieren und Daten aus anderen Bereichen Ihres IT-Systems abzurufen.
3. WhatsUp Gold Syslog Server
WhatsUp Gold ist ein Netzwerküberwachungssystem, und der Hersteller Ipswitch bietet auch einen kostenlosen Syslog-Server an. Der Server zeigt Syslog-Meldungen in seiner Oberfläche an und schreibt zudem Datensätze in Dateien. WhatsUp organisiert diese Dateien auch in einer Verzeichnisstruktur, um das Auffinden von Datensätzen zu erleichtern.
Sie können die Aufteilung der Daten zwischen den Dateien nach Warnstufe, Quelle und Datum konfigurieren. Es ist möglich, Daten im Viewer zu filtern und zu sortieren, sowohl Live-Daten als auch Aufzeichnungen, die aus einer Datei geladen wurden. Der WhatsUp Gold Syslog Server kann bis zu 6 Millionen Syslog-Meldungen pro Stunde verarbeiten, was ihn trotz seiner kostenlosen Verfügbarkeit für große Netzwerke geeignet macht. Dieses Tool wird unter Windows und Windows Server installiert.
4. Syslog Watcher
Syslog Watcher ist ein weiterer kostenloser Syslog-Server, der unter Windows läuft. Dieser Dienst verwendet eine Multithread-Architektur, die es ihm ermöglicht, viele Syslog-Datensätze gleichzeitig zu verarbeiten. Dies ist eine nützliche Funktion, wenn Sie ein großes Netzwerk mit einer hohen Rate an Syslog-Nachrichten haben, die im Netzwerk zirkulieren.
Diese Nachrichten werden in Echtzeit in einem Viewer angezeigt und auch in Dateien gespeichert, die in eine Datenbank eingefügt werden können. Die Möglichkeit, alle Aufzeichnungen in einer Datenbank zu speichern, ist ein großer Vorteil, insbesondere, da Sie damit eine langfristige Perspektive auf den Datenverkehr Ihres Netzwerks über einen längeren Zeitraum hinweg erhalten, im Gegensatz zur täglichen Nachrichtenliste von Protokolldateien.
Sie können Datensätze aus der Datenbank oder aus einer Datei in den Viewer laden. Der Viewer ist sogar in der Lage, Nachrichten zu sortieren, zu filtern und zu gruppieren, um Sie bei der Analyse der Ereignisse zu unterstützen, über die er berichtet. Syslog Watcher kann in der Windows-Umgebung installiert werden.
5. Fastvue Syslog
Das kostenlose Fastvue Syslog läuft in der Windows Server-Umgebung. Dieses Dienstprogramm erstellt nicht nur Syslog-Dateien, sondern sichert sie auch. Jede von Fastvue überwachte Protokolldatei hat eine zugehörige Hash-Datei (berechnet mit einem 256-Bit-SHA-Algorithmus), die eine Prüfsumme für den Inhalt der Datei darstellt. Der Server überwacht die Größe jeder Protokolldatei und meldet sogar, wenn sich die Größen ändern. Diese beiden Maßnahmen sind wichtige Sicherheitsmerkmale, da Hacker, die Advanced Persistent Threat Intrusion nutzen, Protokolldateien verändern, um ihre Spuren zu verwischen.
Der Server speichert Syslog-Meldungen in Dateien, die nach Datum sortiert sind, mit der Möglichkeit, Daten nach Gerätetyp aufzuteilen. Dateien werden in Verzeichnissen gespeichert, die nach dem Quellgerät benannt sind, wobei jeder Dateiname das Datum der darin enthaltenen Nachrichten trägt. Schließlich können Sie innerhalb der Fastvue-Oberfläche alle archivierten Nachrichten anzeigen, sortieren und filtern, um eine einfache Analyse zu ermöglichen.
6. Visual Syslog Server
Visual Syslog Server ist ein kostenloses Open-Source-Dienstprogramm, das unter Windows und Windows Server ausgeführt wird. Es handelt sich um ein einfaches Tool, das alle Syslog-Meldungen in Ihrem Netzwerk erfasst und in einem Viewer anzeigt. Der Viewer codiert Nachrichten farblich nach Schweregrad – Fehlermeldungen sind rot und Warnungen sind gelb. Sie können das Farbschema ändern und auch Datensätze im Viewer filtern, sortieren und aggregieren. Schließlich speichert der Server die Syslog-Meldungen auch in Dateien.
Sie können das Dienstprogramm so einstellen, dass ein akustisches Signal ertönt, wenn eine Fehlermeldung empfangen wird, und es auch so konfigurieren, dass Sie bei jeder Warnung und jedem Fehler eine Benachrichtigung erhalten. Diese Benachrichtigungen können sogar per E-Mail gesendet werden, die verschlüsselt werden kann, wenn Ihr E-Mail-System Verschlüsselung unterstützt.
7. TFTPD32
TFTPD32 ist ein sehr einfacher, von Enthusiasten entwickelter Syslog-Server, der auf 32-Bit-Windows-Systemen läuft. Es gibt eine Begleitfunktion namens TFTPD64, die für 64-Bit-Systeme entwickelt wurde. Dieses Dienstprogramm hat keine sehr ausgefeilte Oberfläche, wird aber häufig verwendet, da es durch sein Fehlen von Schnickschnack sehr schlank ist.
Das Tool ist im Wesentlichen ein TFTP-Server. TFTP steht für Trivial File Transfer Protocol, ein sehr unsicheres Protokoll, das nicht über das Internet verwendet werden sollte. Es ist jedoch eine Standardmethode zum Übertragen kleiner Systemdateien über ein privates Netzwerk. Die Oberfläche kann zu einem DHCP-Server umgeschaltet werden, um die IP-Adresszuweisung zu verwalten, und kann auch so eingestellt werden, dass sie als Syslog-Server fungiert. Schließlich speichert TFTPD32 Ihre Syslog-Meldungen in einer Datei.
Obwohl die Einrichtung als TFTP-Server, TFTP-Client, DHCP-Server und Syslog-Server konfiguriert werden kann, kann dieselbe Instanz nicht alle diese Aufgaben gleichzeitig ausführen.
8. SureLog
SureLog richtet sich an kleine Unternehmen, ist aber nicht kostenlos. Sie können die Software unter Windows installieren. Sie konzentriert sich auf den Bereich der Systemsicherheit und filtert routinemäßige Ereignismeldungen heraus, um Sicherheitsbedrohungen hervorzuheben. Der SureLog-Dienst fängt nicht nur Syslog-Nachrichten ab und speichert sie in Dateien, sondern überwacht die Protokolldateien auch, um sicherzustellen, dass sie nicht von Hackern manipuliert werden, die ihre Spuren zu verwischen versuchen. Schließlich zeigt das Tool diese wichtigen Nachrichten auch in seiner Protokollanzeige an.
Top Syslog-Server für Linux/Unix
Linux ist als „Unix-ähnliches“ Betriebssystem bekannt. Im Allgemeinen läuft eine Software, die unter Linux funktioniert, wahrscheinlich auch unter Unix. Hier ist eine Liste von Syslog-Servern, die unter Linux und/oder Unix installiert werden können.
9. Icinga 2
Icinga ist eines der weltweit führenden Open-Source-Systemüberwachungstools. Es ist kostenlos nutzbar und die neueste Version heißt Icinga 2. Das Tool wird unter Linux installiert, und eine seiner Funktionen ist die Überwachung von Protokollmeldungen. Sie können den zu erfassenden Nachrichtentyp festlegen, und eine der Optionen ist Syslog. Der Server zeigt Syslog-Meldungen an und schreibt sie zudem in eine Datei. Schließlich können Sie auch gespeicherte Nachrichten in den Viewer laden.
Das Icinga-System besteht aus zwei Teilen: einem Verarbeitungsabschnitt namens Icinga Core und einem Frontend namens Web 2.0. Sie müssen Web 2.0 nicht als Schnittstelle zum Datenverarbeiter verwenden, da auch andere Anwendungen kompatibel sind. Da der Code Open Source ist, können Sie das Web 2.0-Programm anpassen, um ein eigenes Unternehmens-Frontend zu erstellen.
10. Syslog-NG
Syslog-NG wird auf Linux-Rechnern installiert. Es handelt sich um ein kostenloses Open-Source-Projekt. Das Tool sammelt Syslog-Meldungen und Windows-Ereignisse. Diese Nachrichten werden in Dateien gespeichert. Sie können das Tool auch wählen, um Datensätze in eine SQL-Datenbank einzufügen oder sie an andere Anwendungen weiterzuleiten. Syslog-NG enthält keine Analysetools, aber die vom Server erstellten Dateien können in anderen Programmen geöffnet werden.
11. Logstash
Logstash ist ein Open-Source-System, das unter Linux installiert wird. Es ist ein kostenloses Tool, das Teil einer Gruppe von Anwendungen namens „Elastic Stack“ ist. Das Kernprogramm im Elastic Stack ist Elasticsearch. Ein weiteres Modul im Stack ist Kibana, ein sehr beliebtes kostenloses Frontend, das mit vielen verschiedenen Verarbeitungs-Engines verbunden werden kann. Logstash ist der Kollektor im Stack. Es lauscht auf Syslog-Meldungen und speichert sie. Wenn Sie mehr Funktionalität wünschen, installieren Sie Elasticsearch, das die Syslog-Daten für die Analyse sortiert und filtert. Fügen Sie schließlich Kibana hinzu, um über einen Viewer auf die Datensätze zuzugreifen.
Die Prozesse zur Erkennung von Protokollmeldungen von Logstash sind universell und nicht spezifisch für ein bestimmtes Fehlerprotokollformat. Sie müssten das System anpassen, um es auf Syslog-Daten zu konzentrieren, indem Sie ein kostenloses Plug-in installieren. Die Nachrichtenverarbeitungsfunktionen von Logstash können Datensätze bedingt archivieren, weniger wichtige Nachrichten weglassen und sie gemäß einer Reihe von Regeln, die Sie in der Benutzeroberfläche definieren, in andere Dateien schreiben. Logstash kann Dateien sogar in Formaten ausgeben, die mit Nagios, Icinga, Loggly, Graylog, AWS und Graphite kompatibel sind.
12. Graylog
Graylog ist ein Protokolldatei-Manager, der unter Linux ausgeführt wird. Sie können das Tool kostenlos erhalten, aber diese Version ist auf die Erfassung von bis zu 5 GB Daten pro Tag beschränkt. Die Benutzeroberfläche für Graylog ist browserbasiert, was sie betriebssystemunabhängig und optisch ansprechend macht. Sie können das Frontend von Graylog und das Datenerfassungsmodul eines anderen Tools, wie z. B. Logstash, verwenden. Alternativ können Sie das Datenerfassungsmodul von Graylog mit Kibana als Frontend verwenden. Wie Sie sehen können, bietet Ihnen dieses Tool viele Optionen.
13. Fluentd
Fluentd ist ein kostenloser Open-Source-Syslog-Server, der unter Linux und Mac OS läuft. Das Tool kann eine Vielzahl von Protokollmeldungen sowie Syslog erfassen. Sie müssen ein Plug-in hinzufügen, um die Funktionen des Tools zu erweitern. Sie sollten jedoch beachten, dass es sich nur um ein Datenerfassungssystem handelt. Sie müssen ein weiteres Frontend, wie z. B. Nagios, hinzufügen, um eine Analyse- und Anzeigeschnittstelle vor den Verarbeitungsfunktionen von Fluentd zu erhalten.
14. Humio
Humio läuft unter Linux, ist aber auch als Onlinedienst erhältlich. Das System ist nicht kostenlos nutzbar, steht aber potenziellen Käufern zur Verfügung, um es mit einer kostenlosen Testversion ausgiebig zu testen. Das Tool wird von einer Nutzer-Community unterstützt und kann sogar durch Plug-ins erweitert werden. Es ist jedoch nur ein Kollektor, und Sie benötigen andere Tools, um die von Humio erfassten Syslog-Datensätze anzuzeigen und zu analysieren.
Top Syslog-Server für Windows oder Linux/Unix
Obwohl Windows das weltweit am häufigsten installierte Computerbetriebssystem ist, benötigen viele Netzwerk-Tools Linux, um zu funktionieren. Um beide Märkte anzusprechen, entwickeln viele Softwarehersteller ihre Software so, dass sie sowohl eine Windows- als auch eine Linux-Version haben. Hier ist eine Liste von Syslog-Servern, die in Versionen für Windows und Linux/Unix angeboten werden.
15. ManageEngine EventLog Analyzer
ManageEngine ist einer der weltweit führenden Anbieter von Tools zur Überwachung der IT-Infrastruktur. Der EventLog Analyzer wird unter Windows und Linux installiert und kann kostenlos zur Überwachung von fünf oder weniger Quellen verwendet werden. Das ManageEngine-Tool erfasst nicht nur Syslog-Nachrichten, sondern nutzt auch die Header-Informationen beim Übertragen von Nachrichten, um Ihr Netzwerk abzubilden. Darüber hinaus kann das Tool auch SNMP-Meldungen sammeln.
Sie können neue Nachrichten im Dashboard des Tools anzeigen und sie auch in Dateien schreiben lassen. Im Dashboard können Sie Nachrichten zur Analyse sortieren und filtern. Protokolldateien werden komprimiert und verschlüsselt, und der Zugriff ist auf autorisiertes Personal beschränkt. Die Dateien können aus dem Archiv in das Dashboard geladen werden, sodass Sie auch auf historische Daten zur Analyse zugreifen können. Dieses Tool lässt sich gut in das ManageEngine-Netzwerküberwachungspaket namens OpManager integrieren.
16. The Dude
The Dude ist ein Produkt des Netzwerkausrüsters MikroTik. Es kann jedoch Syslog-Meldungen empfangen, die von Geräten eines beliebigen Herstellers generiert werden. Es ist ein kostenloses Tool, das unter Windows, Linux oder Mac OS installiert werden kann. Das Tool ist sehr flexibel und kann sowohl SNMP-Nachrichten als auch Syslog-Daten sammeln.
Das Tool analysiert Nachrichten gemäß den Einstellungen, die Sie auf den Einstellungsseiten der Benutzeroberfläche eingeben, in verschiedenen Dateien. Nachrichten werden auch im Dashboard angezeigt, und Sie können sogar durch ein akustisches Signal oder eine Popup-Meldung benachrichtigt werden, wenn Nachrichten eintreffen. Schließlich können Sie mit der Nachrichtenanzeige Datensätze für die Analyse sortieren und filtern.
17. Nagios Log Server
Nagios Core ist ein kostenloses Open-Source-Netzwerküberwachungssystem. Das oben beschriebene Icinga 2 wurde aus einer Kopie des Nagios-Core-Codes entwickelt. Es handelt sich um ein sehr angesehenes Tool, das von anderen buchstäblich nachgeahmt wird. Es gibt auch eine kostenpflichtige Version von Nagios namens Nagios XI, und die Entwickler dieses Produkts haben auch ein Protokollserver-Tool entwickelt. Der Protokollserver ist nicht kostenlos, aber Sie müssen nicht bezahlen, um ihn zur Überwachung von 500 MB Daten pro Tag oder weniger zu verwenden.
Der Nagios Log Server läuft unter Windows und Linux. Er erfasst sowohl Windows-Ereignisse als auch Syslog-Daten. Datensätze werden in eine Datei geschrieben und auch im Dashboard des Protokollservers aufgelistet. Die Protokolle können an einem zentralen Ort gespeichert oder auf mehrere Server verteilt werden. Es gibt auch die Möglichkeit, Backups von Protokolldateien zu erstellen. Sie können Syslog-Nachrichten sogar filtern, damit nicht alle gespeichert werden, oder wichtige Nachrichten optional in eine separate Datei umleiten. Schließlich können Sie mit dem Dashboard Live-Daten sortieren und filtern sowie historische Daten analysieren, die aus Syslog-Dateien geladen wurden.
18. Splunk
Das Splunk-Paket zur Dateianalyse ist sowohl in kostenlosen als auch in kostenpflichtigen Versionen erhältlich. Die kostenlose Version ist auf die Analyse von Dateidaten beschränkt. Sie können es jedoch dazu bringen, sich Ihre Live-Syslog-Nachrichten anzusehen, wenn Sie sie über eine Datei leiten. Leider müssen Sie ein anderes Tool verwenden, um diese Nachrichten überhaupt zu erfassen. Splunk läuft unter Linux, Windows und Mac OS. Die kostenlose Version ist auf einen Datendurchsatz von 500 MB pro Tag begrenzt.
Auswahl eines Syslog-Servers
Sie können mehrere Syslog-Server von dieser Liste ausprobieren, da die meisten von ihnen kostenlos sind und einige kostenlose Testversionen anbieten. Durch die Verwaltung von Syslog-Meldungen können Sie wertvolles Feedback über Ihr Netzwerk erhalten, und dieser Feedback-Kanal sollte nicht vernachlässigt werden!
Nutzen Sie bereits einen Syslog-Server, den Sie weiterempfehlen würden? Verwenden Sie eines der in unserer Liste empfohlenen Systeme? Teilen Sie Ihre Erfahrungen im Kommentarbereich unten mit.