Как нас могут логировать общедоступными методами
DISCLAIMER: Данная статья написана в ознакомительных целях и не является руководством к неправомерным действиям или обучающим материалом для сокрытия правонарушений.
Логирование действий пользователей в ОРД
Логирование действий пользователей издревле используется при идентификации в глобальной паутине. Оперативники запрашивают пользовательские логи у ИТ-компаний, являющихся владельцами того или иного онлайн-сервиса (платежного сервиса, социальной сети, электронной почты, блога, форума или мессенджера).
Однако, решать задачу по идентификации пользователей сети приходится не только сотрудникам органов, но и службам безопасности, детективам, да и OSINT-исследователям. В связи с этим, предлагаю разобраться с понятиями, а также основными методами и приемами логирования пользователей.
Итак, логирование пользователя интернета предполагает осуществление с ним такого взаимодействия, в ходе которого изучаемый пользователь посетит (в той или иной форме) внешний веб-ресурс, доступ к логу которого имеется у исследователя. Это может быть, специально созданные, гиперссылка или файл, запускающий при своем открытии специальные алгоритмы сбора пользовательских данных. Большое число сервисов, предлагающих подобный функционал, находится в общем доступе.
Общедоступное ПО для логирования действий пользователей
Мы разделили логеры на две основные категории по принципу их работы.
Первая группа логеров предлагает возможность создания файлов, собирающих данных пользователей при их открытии.
Наибольшим функционалом, среди представленных, обладает сервис http://canarytokens.org/generate, позволяющих создавать внушительный список логируемых файлов (как системных, так и документов Microsoft Office). Прочие сервисы этой категории позволяют генерировать только файлы формата PDF.
Для примера сгенерируем в сервисе http://canarytokens.org/generate файл формата DOC (Microsoft Office Word).
Указанный файл мы, разумеется, переименовываем во что-то более осмысленное наподобие «Договор №563 от 10.11.2021», а также вставим в сам файл соответствующий текст. На функционал трекера это никак не повлияет.
Созданный документ направляем пользователю по любым каналам связи. В случае, если пользователь открыл и просмотрел отправленный ему документ, исследователь получит уведомление на адрес электронной почты, а лог пользователя станет ему доступным по ссылке на управление логером.
Вторая категория логеров оперирует возможность создания гиперссылки на внешний веб-ресурс, которую предлагается направить изучаемому пользователю.
Иными словами, перед переходом на тот или иной веб-ресурс, пользователь должен будет пройти еще через один, что позволит сохранить на нем лог посещения. Переход по такой ссылке, как правило, происходит незаметно для пользователя. Однако, просто так по ссылке с непонятного сервиса вряд ли кто-то просто так пройдет. Значит будем маскировать.
Маскируем логер ссылку
Маскировка логируемой ссылки, чаще всего, происходит посредством использования сервисов, предоставляющих услуги «сокращения гиперссылки». При введении в него адрес логируемой ссылки, сервис сформирует «короткую» уникальную гиперссылку, которая вызывает меньше подозрений у получившего её пользователя.
К числу таких сервисов можно отнести следующие:
Существуют и иные приемы маскировки логируемой ссылки.
Один из них предполагает осуществление редиректа на логируемую ссылку через какой-либо из популярных онлайн-сервисов. Для примера возьмём ссылку на группу участников конкурса Zero-Day ВКонтакте https://vk.com/zeroday_spb и создадим, при помощи сервиса https://iplogger.ru/, для неё логируемую ссылку.
Созданную гиперссылку https://vk.com/away.php?to= https://ссылка_из_логера мы направляем объекту исследования и вуаля. У нас есть полноценная ссылка с редиректом на нужную нам страницу после перехода. Лог доступен на сайте, как и в прошлый раз.
Схожий функционал предлагает сервис https://webresolver.nl/tools/iplogger. Он позволяет сгенерировать логируемую ссылку якобы на ролик с Youtube.
Анализ данных, собранных в результате логирования
Анализ данных об IP-адресе, выявленном в результате логирования, предполагает его проверку в различных сервисах, позволяющих установить его точную геолокацию и интернет-провайдера, а также различные электронно-цифровые следы, сопоставление которых может привести к успешной идентификации пользователя.
Сервис https://www.maxmind.com/en/geoip2-precision-demo обладает наиболее точной базой данных о принадлежности IP-адресов тем или иным интернет-провайдерам, а также регионам.
Сервисы https://pulsedive.com/, https://spyse.com/ и https://www.spiderfoot.net/ позволяют исследовать IP-адрес на предмет наличия связанных доменов, средств анонимизации, TOR и иной информации, способствующей идентификации пользователя.
Сервис https://www.shodan.io/ позволяет обнаруживать элементы интернета вещей (IoT), связанные с изучаемым IP-адресом.
Сервисы https://sypexgeo.net/ru/demo/ и https://ipinfo.io/map позволяют создать визуальное представление выявленных IP-адресов, основанное на данных их местоположения, на географической карте.
Сервис https://webresolver.nl/tools/ip2skype дает возможность проверить IP-адрес на факт использования с него профиля Skype. При этом, сервис оперирует данными утечки информации, которую можно скачать по ссылке https://github.com/cyberhubarchive/archive/tree/master/Skype%20resolver%20logs.
Сервисы https://intelx.io/ и https://leakix.net/# позволяют обнаружить иные возможные публичные утечки информации, связанные с упоминанием исследуемого IP-адреса.
Ну и наконец, сервис https://iknowwhatyoudownload.com/ru/peer/ позволяет получить информацию о файлах, скачиваемых через торренты из сети интернет с того или иного IP-адреса.
Вычисление аккаунтов соцсетей пользователей при помощи средств логирования
Социальные сети пользователя выявляются в процессе логирования при помощи использования следующих методов:
Во-первых, использования технологии соцфишинга. Суть его заключается в том, что, когда пользователь заходит на сайт, загружается невидимый слой (фрейм), на котором расположена кнопка Like (нравится) от социальной сети Вконтакте. Когда пользователь кликает в любое место на сайте, он нажимает кнопку Like, автоматически авторизуясь от своего социального профиля если на этот момент он авторизован на данном браузере в социальной сети.
Во-вторых, это анализ данных файлов cookie, хранящихся в браузере пользователя. Cookie имеет возможность видеть любой сайт, что прекрасно иллюстрирует сервис https://browserleaks.com/social. Однако наличие одних лишь данных файла cookie и факта их авторизации в социальной сети еще не означает установление конкретного пользовательского профиля.
Для этого, имеющиеся у исследователя данные cookie, необходимо сверить с базами данных. Базы данных cookie-файлов собираются и продаются большим числом компаний на рынке оказания рекламных и маркетинговых услуг. Они берутся, например, через любую форму авторизации пользователя с использованием профиля в социальной сети.
В качестве примера использования указанных выше технологий, следует привести следующие сервисы:
На что обратить внимание при выборе системы логирования, и почему мы остановились на ELK
На рынке представлено огромное количество систем логирования — как открытых, так и проприетарных. У каждой из них своя функциональность, свои достоинства и недостатки.
Сегодня мы решили поделиться опытом выбора системы логирования и рассказать, почему мы в 1cloud остановились на ELK.
Минутка теории
При переходе в продакшн, приложения превращаются в своеобразные «черные ящики». Их работу нужно постоянно мониторить, чтобы предотвращать и реагировать на потенциальные ЧП, отлавливать «узкие места».
Системы логирования — обязательный инструмент, без которого не обойтись в этом процессе. Проводя подробный анализ собираемых данных, можно идентифицировать «вторжения» в сеть, выявить неправильно настроенное оборудование и оперативно принять меры. Также логирование является обязательным требованием при прохождении разного рода сертификаций, например PCI DSS.
Для автоматизации процессов логирования есть специальные фреймворки: log4j, log4net, Retrace, Logback, Logstash и другие — их множество. Свои инструменты для логирования имеют отдельные средства разработки, например JDK — там есть java.util.logging. Разумеется, функциональность различных инструментов логирования отличается, и необходимый набор функций нужно выбирать исходя из требований бизнеса. Однако есть ряд общих моментов, которые стоит отметить при выборе системы анализа логов.
Простота использования и размеры сообщества
Простота — один из ключевых компонентов при выборе системы логирования. С лог-фреймворками работают все разработчики в команде, потому опыт использования этого инструмента должен быть положительным и не превращать анализ логов в кошмар. API фреймворка должен быть интуитивно понятным, чтобы все, кто раньше не работал с системой, могли быстро разобраться, как она устроена и настроена.
Если рассматривать опенсорсную систему логирования, то имеет смысл оценить сообщество, которое сформировалось вокруг неё. Для этого можно изучить, насколько часто её упоминают на профильных площадках (Stack Overflow), а также в профильных тредах, например на Reddit. Как вариант — посмотреть популярность проекта на GitHub (количество звезд) и посмотреть, как часто его вписывают в различные подборки инструментов в сети (наподобие таких). Очевидно, чем больше сообщество, тем выше вероятность, что вам помогут в случае возникновения непредвиденных трудностей.
Что касается выбора проприетарных систем логирования, то здесь в первую очередь стоит смотреть на скорость ответов и адекватность службы поддержки выбираемого решения, а также его цену.
Возможность сбора «разнокалиберных» логов
Не все платформы для логирования способны обрабатывать большое количество данных и предоставлять полную информацию об используемых системах.
Перед выбором решения стоит определиться, какие именно логи вы планируете собирать: HTTP-логи (помогут понять поведение пользователей на сайте), API-логи (дадут возможность оценить, какие сервисы чаще всего запрашиваются по API), логи об ошибках и просто записи изменений в системе (укажут на «узкие места», если таковые есть).
Масштабируемость
Инструмент логирования должен собирать логи с каждого системного компонента и предоставлять к ним доступ в одном месте. Если система не приспособлена для масштабирования, качество лог-анализа упадет.
Мы в 1cloud изначально использовали для логирования MS SQL. Однако с ростом числа клиентов и сервисов (например, совсем недавно мы разместили оборудование в минском ЦОД и добавили поддержку IPv6), у нас появились территориально разнесенные компоненты инфраструктуры, у которых не было доступа к БД. А одной из главных наших задач было сохранение возможности анализа логов из единого места.
Система логирования 1cloud
Как мы уже отметили, для хранения логов в 1cloud раньше использовался MS SQL, а для их записи — log4net. И это начало создавать для нас определенные трудности. Из-за территориально разнесенных компонентов, стало невозможно держать сетевую связанность с БД и обеспечивать единую точку для анализа.
При этом большой объем логов и невозможность построить индексы по всем необходимым нам для поиска полям привели к излишнему упрощению лог-анализа — нам приходилось отказываться от функциональности в угоду производительности.
Чтобы решить эту проблему и обеспечить масштабируемость, мы внедрили новую систему логирования. Всего мы изучили больше пятидесяти различных решений и выделили четыре, которые полностью удовлетворяли нашим требованиям:
Logstash
Решение имеет 9,2 тыс. звезд на GitHub. Logstash распространяется по лицензии Apache 2.0 и является частью стека ELK. Имеет большое количество плагинов (на GitHub их насчитывается порядка 250 штук). Работает под Windows и Linux и имеет высокую производительность, практически не зависящую от объемов данных.
Система дает быстро проводить обзор и анализ событий с рабочих станций, файрволов, маршрутизаторов и коммутаторов. Это связано с тем, что нет необходимости в «нормализации» событий.
Однако стоит понимать, что это «голый» движок, потому он не предоставляет готовых визуализаций. Из других недостатков отметим необходимость ставить Java на все серверы, так как Logstash написан на Ruby (JRuby).
У решения довольно обширное сообщество: имеется IRC-канал и отдельный форум. В сети есть примеры по конфигурации всей системы и API. Используют Logstash следующие организации: CERN Control Center, GitHub, SoundCloud.
Fluentd
6,6 тыс. звезд на GitHub. Распространяется по лицензии Apache 2.0 фондом CNCF (Cloud Native Computing Foundation) — он основан компанией Google и The Linux Foundation для продвижения технологий контейнеров.
Fluentd работает под Linux, Windows и Mac и написан на Ruby (CRuby). Fluentd имеет гибкую систему плагинов, которая расширяет его функциональные возможности.
Решение имеет унифицированный формат логирования: полученные данные Fluentd старается привести к формату JSON. Для обеспечения надежности работы не требуются сторонние решения, однако для этого приходится проводить дополнительную настройку. Также не рекомендуется устанавливать его на серверы, генерирующие логи.
Сообщество большое: имеется канал в Slack, а также тред в Google Groups. На официальном сайте проекта есть примеры конфигураций и API. Fluentd используют такие компании, как Microsoft, Amazon, change.org и Nintendo.
Graylog
4,3 тысячи звезд на GitHub. Распространяется по лицензии GNU GPL v3. Работает только под Linux. Централизованная экосистема плагинов и настраиваемая система буферизации. Для удобства позволяет по ключевому слову объединять поступающие сообщения в потоки и группировать эти потоки с разных хостов.
Система использует функции Elasticsearch, но несмотря на частые обновления Graylog и развитое сообщество (есть форум, IRC-канал, на официальном сайте проекта есть примеры конфигураций и API.), интеграция актуальных версий Elasticsearch в проект занимает длительное время. Например, в прошлом году возникла ситуация, когда Graylog 2.2.1 (на то время последний) работал только с Elasticsearch версии 2.4.4, которая считалась устаревшей.
В своей работе Graylog использует Европейское агентство по окружающей среде, компании Dial Once, Stockopedia и др.
LOGalyze
Работает под Linux и Windows. Cистема обладает высокой производительностью и умеет составлять подробные отчеты по ключевым словам. Есть серьезный недостаток — LOGalyze собирает логи в свою файловую БД, где затем их индексирует, занимая значительный объем дискового пространства.
Разработчики LOGalyze ведут свой блог, также обсуждение решения проходит в группах Google. Есть руководство по настройке системы и миграции данных, а также CLI.
Оценив эти четыре варианта, мы остановили свой выбор на Logstash и решили организовать стек ELK (ElasticSearch, Logstash, Kibana). Из них Elasticsearch — это поисковый движок, Logstash представляет собой механизм сбора и анализа логов, а Kibana «занимается» аналитикой и визуализацией данных.
Мы выбрали ELK, так как все три компонента разрабатывает один «производитель», потому они хорошо интегрируются друг с другом. При необходимости мы сможем использовать каждый из этих инструментов в отдельности для решения других задач.
Такой подход делает продукт гибким и универсальным. Все это позволит эффективнее обрабатывать уже существующие объемы данных и быстрее внедрять новые сервисы — их будет легче подключать.
Сейчас готова тестовая среда. Она «покрывает» все сервисы, логи которых мы будем анализировать. Мы заканчиваем последние отладочные процессы и планируем полноценный запуск решения уже в ближайшее время.
Кстати, несмотря на то, что мы подробно анализировали различные варианты и выбрали наилучший для наших нужд, в итоге не обошлось и без ложки дегтя. При тестировании решения мы столкнулись с ситуацией, когда Kibana запросом уронила Elasticsearch — что считается крайне редким и вырожденным случаем. Также при «сборке» системы возник ряд вопросов, связанных в основном с безопасностью. В базовом варианте Elasticsearch ничем не защищен — пришлось приспосабливать для этих целей стороннее ПО.
После запуска мы займемся настройкой систем мониторинга, чтобы максимально оперативно реагировать на сбои в работе лог-сервиса. Мы рассчитываем, что новый стек технологий позволит улучшить пользовательский опыт наших клиентов и в дальнейшем быстрее развивать наши сервисы.
Что такое лог (log) программы.
Решая различные компьютерные задачи, можно не раз столкнуться с таким понятием как лог (с англ. log). Лог какой-то программы. Давайте попробуем разобраться что это такое и для чего это нужно.
Log (с англ. журнал). У большинства программ, которые установлены на вашем компьютере, есть этот самый журнал.
Т.е. это такой же обычный файл, который мы с вами можем создать на компьютере. Таким же образом программа работая на компьютере, может создать этот файл и вносить туда программным образом какие-то текстовые пометки.
Зачем же программе вести какие-то записи, какой-то журнал?
Дело в том, что если мы с вами будем следить за человеком, который работает на компьютере, мы можем сказать, что этот человек делал в конкретный момент времени, какие программы он запускал, какие ошибки он совершал при работе на компьютере и.т.д.
Но, если мы говорим о компьютерной программе, здесь все не так ясно. Все действия, которые производит программа, они скрыты от взгляда обычного пользователя. Они обычно происходят с такой большой скоростью событий, что человеческий глаз просто не успеет за все этим уследить.
Для того, чтобы отслеживать состояние какой-то программы. Что делала программа в какой-то конкретный момент времени, какие при этом возникали ошибки, кто с этой программой взаимодействовал и др. вопросы. Все события, которые происходили с этой программой, эта программа может записывать в специальный журнал, так называемый лог-файл.
В каждой записи содержится информация о том, что происходило с программой и когда это происходило.
Давайте подведем итог, что такое лог и зачем он нужен. Это текстовый файл, в который программа записывает какие-то события, которые с ней происходят. Благодаря этим событиям мы можем получить какую-то дополнительную информацию, что происходило с этой программой в какой-то определенный момент времени, получить отладочную информацию, чтобы легче устранить какую-то ошибку.
Надеюсь, что стало понятнее что такое лог-файл и зачем он нужен и вы теперь будете использовать этот журнал в своей работе.
11 лучших инструментов анализа логов
Чтобы справиться с производительностью сети в большой сети, требуется постоянная бдительность. Плохая производительность может возникнуть неожиданно в любое время. Платформы сетевого мониторинга, такие как инструменты анализа журналов, позволяют выявлять проблемы с производительностью до их появления. В этой статье мы рассмотрим лучшие инструменты анализа журналов для мониторинга вашей сети..
Мы углубимся в каждый из приведенных ниже инструментов, но если у вас есть время взглянуть, наш список лучших инструментов анализа логов:
Зачем мне нужен инструмент для анализа логов?
Каждое устройство или приложение, подключенное к вашей сети, создает файлы журнала. Сетевые администраторы используют эти файлы журналов для просмотра данных о производительности. Эти инструменты полезны, потому что они предоставляют доступ к данным, которые в противном случае пользователь не имел бы. Анализатор журнала собирает данные из файлов журнала устройства и переводит их в формат, который легко читается.
Лучшие инструменты для анализа логов
В инструменте анализа журналов это может варьироваться от графического отображения данных о производительности до меньших циферблатов. Чтение данных о производительности в централизованном формате, подобном этому, намного проще, чем попытка чтения файлов журнала непосредственно в виде текстовых файлов..
1. Менеджер событий SolarWinds Security (бесплатная пробная версия)
Менеджер событий SolarWinds Security инструмент анализа журналов для Windows, обеспечивающий централизованный мониторинг журналов. Платформа предлагает обнаружение времени события, чтобы помочь пользователю быстро обнаруживать угрозы. Данные, обрабатываемые SolarWinds Security Event Manager, шифруются в состоянии покоя и в пути, поэтому не могут быть прочитаны неуполномоченными лицами.
Отзывчивость, предлагаемая Менеджер событий SolarWinds Security это его самый большой актив. Как только угрозы обнаружены, инструмент может автоматически отвечать на блокировку IP-адресов, закрыть приложения, изменить права доступа, отключить учетные записи, блокировка USB-устройств, и Больше. Возможность реагировать на подобные угрозы помогает минимизировать риск повреждения или простоев..
Для дальнейшего анализа результаты журналов (нормализованные журналы или определенные файлы журналов) можно пересылать другим членам вашей команды или превращать в отчеты. Отчетность, предлагаемая Менеджер событий SolarWinds Security соответствует HIPAA, PCI DSS, SOX, DISA, и STIG. Диапазон возможностей отчетов делает эту программу идеальной для крупных организаций, которым нужна программа с высоким уровнем соответствия.
SolarWinds Security Event ManagerЗагрузить 30-дневную бесплатную пробную версию
2. Paessler PRTG Сетевой монитор (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
Paessler PRTG Сетевой монитор это платформа мониторинга сети, которая включает в себя Датчик журнала событий Windows и Syslog Receiver Sensor. Датчик журнала событий Windows контролирует файлы журнала системы и приложений Windows и отображает частоту сообщений журнала. Syslog Receiver Sensor записывает количество файлов системного журнала в секунду, отправляемых устройствами в сети, и фильтрует их. Фильтры можно настраивать, чтобы вы могли определить, какое действие вызовет тревогу.
Система уведомлений, предлагаемая PRTG Сетевой монитор очень настраиваемый. Вы можете определить, хотите ли вы получать уведомления через Эл. адрес, смс, или всплывающее уведомление. Диапазон параметров оповещений означает, что вы можете получать обновления производительности сети от PRTG Сетевой монитор практически на любом устройстве.
PRTG Сетевой монитор доступен как бесплатный или платный продукт. Бесплатная версия поддерживает до 100 датчиков, после чего вам придется перейти на платный тариф. Платные версии начинаются с 1600 долларов (1231 фунт) для 500 датчиков и до 60 000 долларов (4687 фунтов) для неограниченного количества датчиков с пятью установками сервера. Также есть 30-дневная бесплатная пробная версия доступна здесь.
Paessler PRTG Network MonitorСкачать 30-дневная БЕСПЛАТНАЯ пробная версия
3. Papertrail (БЕСПЛАТНЫЙ ПЛАН)
Один фокус Papertrail это разрешение события. Чтобы помочь вам быстрее найти причину событий безопасности, вы можете фильтровать события журнала по времени, происхождения, или настраиваемое поле на ваш выбор. Такая фильтрация журналов позволяет исключить ненужные данные и сосредоточиться на наиболее значимых данных..
Еще одна похожая опция фильтрации, предлагаемая Papertrail позволяет обнаруживать тенденции в данных журнала. Вы можете фильтровать события по источник, данные, Уровень опасности, объект, или содержание сообщения. По завершении отфильтрованного поиска вы сможете просмотреть график результатов в нижней части экрана..
Papertrail Это хороший выбор для организаций, которым нужен анализатор логов, который легко развернуть. Существует бесплатный план, который позволяет отслеживать до 100 МБ данных в месяц. Если вам нужно больше, вы можете приобрести другой план. Планы варьируются от одного ГБ в месяц за 7 ГБ (5,39 фунтов стерлингов) до 230 долларов (177 фунтов) за 25 ГБ в месяц. Вы можете подписаться на бесплатный план здесь.
Papertrail Log AnalyzerЗарегистрируйся для бесплатного плана
4. Loggly (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
Loggly это облачный объединитель журнала это доступно как услуга подписки. Вы можете платить за услугу Loggly ежемесячно или ежегодно, и даже есть план, который можно использовать бесплатно.
Онлайн-формат службы означает, что вам не нужно устанавливать или обслуживать программное обеспечение на своей территории. Однако вам необходимо настроить периодическую загрузку файла журнала. Эта задача управляется мастером Loggly.
Главной достопримечательностью этого сервиса является его анализ утилит. Чтобы объединить все записи файла журнала из разнородных источников, система Loggly стандартизирует информацию в загруженных записях и сохраняет их в стандартизированном формате. Loggly может обрабатывать записи из разных источников, а не только из стандартных журналов событий операционной системы с ваших серверов. Он также может принимать журналы от Amazon Web Services и приложений, таких как Docker..
Стандартный пакет Loggly, вероятно, является лучшим вариантом для начинающих, поскольку он доступен в течение 14-дневной бесплатной пробной версии. Вы не попадете в ловушку продолжения платной услуги в конце пробного периода. Вместо этого он автоматически переключается на сервис Loggly Lite, и вы получаете возможность обновить до платной версии.
Loggly позволяет анализировать все события, происходящие в вашей системе, включая удаленные сайты и облачные сервисы. Это отличный пакет, который включает в себя пространство хранения и функции агрегации журналов..
logglyСкачать 14-дневную бесплатную пробную версию
5. ManageEngine EventLog Analyzer (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
ManageEngine EventLog Analyzer это инструмент анализа журналов с оптимизированным пользовательским интерфейсом. ManageEngine EventLog Analyzer собирает журналы с платформ баз данных, веб-серверов, маршрутизаторов, коммутаторов, гипервизоров, сканеров уязвимостей, систем Linux, систем Unix, брандмауэров и решений Endpoint Security.
Чтобы помочь вам перемещаться по данным журнала, ManageEngine EventLog Analyzer использует систему оповещений. Оповещения настраиваются и оповещают вас в режиме реального времени через Эл. адрес или смс если программа обнаружит что-то, что требует вашего внимания. Оповещения относятся к категории высоко, средний, или низкий приоритет, чтобы помочь вам адекватно реагировать на уведомления.
Программное обеспечение соответствует нормативным требованиям для ряда политик, включая HIPAA, PCI DSS, ISO 27001, GLBA, SOX, FISMA, и Больше. Отчеты о соответствии помогают гарантировать, что у вас есть вся документация, необходимая для того, чтобы в вашей организации не было бюрократизма. Например, HIPAA сообщает о соответствии обработка объектов, успешные пользовательские входы / выходы, и системные журналы обеспечить четкую запись активности пользователя.
ManageEngine EventLog Analyzer доступно для Windows и Linux в 32-битной и 64-битной версиях. Вы можете скачать две версии программы: Свободно и премия издания. Бесплатная версия поддерживает до пяти источников журналов, тогда как Премиум-версия поддерживает до 1000 источников журналов. Если вам нужны другие, и вы хотите посмотреть варианты цен, которые вы можете запрос цитаты напрямую от отдела продаж. А также есть бесплатная пробная версия который дает вам 30-дневный период для оценки.
ManageEngine EventLog AnalyzerDownload 30-дневная бесплатная пробная версия
6. Splunk
Splunk является одной из наиболее широко используемых платформ управления журналами в этом списке. Splunk отслеживает данные журнала и машины в режиме реального времени. Splunk-х универсальность позволяет ему получать данные журнала практически с любого устройства или приложения в вашей сети. При использовании программы вы можете использовать панель поиска для просмотра в режиме реального времени и исторических данных. Существуют также поисковые подсказки, которые помогут вам легче найти нужную информацию.
Чтобы убедиться, что вы не пропустите ничего важного, Splunk имеет оповещения в реальном времени. Оповещения могут быть отправлены Эл. адрес или RSS. Оповещения имеют настраиваемые пороги и условия срабатывания так что вы можете определить, какое действие будет генерировать уведомление. Вспомогательная информация, включенная в оповещения, поможет вам сократить время разрешения события.
Splunk доступно на Windows, Mac OS, и Linux. Есть три версии Splunk доступный: Splunk Enterprise, Splunk Cloud, и Splunk Free. Splunk Enterprise поддерживает неограниченное количество пользователей и неограниченное количество данных в день на месте. Splunk Cloud это облачный сервис, который поддерживает неограниченное количество пользователей и неограниченное количество данных.
Чтобы узнать цену этих двух версий, вам нужно напрямую связаться с отделом продаж. Splunk Free доступна бесплатно и поддерживает одного пользователя с 500 МБ данных в день. Вы можете скачать бесплатную пробную версию Splunk
7. XpoLog
XpoLog является платформой мониторинга журналов, которая может собирать и анализировать журналы с устройств в сети. XpoLog отслеживает журналы в режиме реального времени обнаруживать проблемы с производительностью и создавать оповещения. Пользователи могут определять правила оповещения и реализовывать свои собственные правила фильтрации..
Одна из особенностей, которая делает XpoLog выделиться это его AI-обнаружение ошибок. ИИ может обнаруживать ошибки, риски безопасности, и различать логи которые указывают на низкую производительность. Обнаружение ошибок служит для автоматизации управления журналами и гарантирует, что вы не пропустите никаких проблемных действий. Однако, если вы хотите поближе взглянуть, вы можете использовать функцию автоматического поиска по журналу для просмотра машинного интеллекта при запуске ручного поиска..
Цена XpoLog зависит от количества пользователей, срока хранения и объема необходимых вам данных. Базовая версия бесплатно и поддерживает 1 ГБ в день с неограниченным объемом данных и пять дней хранения данных. Pro версия доступен по цене 39 (30,03), 334 (257) и 534 (411) в месяц за 1 ГБ, 5 ГБ и 8 ГБ в день с неограниченным числом пользователей и неограниченным сроком хранения. Вы можете скачать бесплатную пробную версию XpoLog.
8. LOGalyze
LOGalyze является анализатор логов с открытым исходным кодом и сетевой монитор для корпоративных пользователей. Продукт поддерживает приборы, хосты Windows, и Linux / Unix серверы с обнаружение событий в реальном времени. После сбора данных журнала вы можете использовать функцию поиска программы, чтобы найти нужную вам информацию.
Пользователи также могут определять свои собственные оповещения. После выдачи предупреждения можно создавать заявки для документирования проблемы до ее устранения. Существует также дополнительная документация в форме запланированные отчеты который вы можете использовать для просмотра регулярных обновлений о состоянии вашей сети. Отчеты соответствуют PCI-DSS, SOX, и Больше.
Как недорогая альтернатива, LOGalyze предлагает возможность мониторинга журналов, которая подходит для любых проприетарных инструментов из этого списка. Этот инструмент особенно подходит для небольших предприятий, которым требуется доступное решение для управления бревнами. Вы можете скачать LOGalyze бесплатно.
9. Датадог
Datadog это еще один доступный инструмент анализа журналов. С Datadog Вы можете записывать и искать в журнале данных с самых разных устройств и приложений. Datadog-х визуализация отображает данные журнала в виде графиков, чтобы вы могли видеть, как производительность сети менялась с течением времени.
Все дисплеи на высшем уровне и могут быть прочитаны с первого взгляда. Тем не менее, вы можете создать уникальные аналитические панели журнала по перетащить и падение если вам требуется дополнительная настройка. Данные журнала можно посмотреть в реальное время и исторически. однажды Datadog записал данные журнала вы можете используйте фильтры, чтобы определить, какая информация в списке.
Чтобы данные журнала не были скомпрометированы, Datadog использует централизованное хранилище, чтобы на сервере не оставалось данных. Основным преимуществом централизованного хранения является то, что ваши данные защищены в случае сбоя.
Это также умные оповещения которые используют машинное обучение для обнаруживать аномальные закономерности и ошибки. Оповещения можно отправлять с помощью таких инструментов, как слабина и PagerDuty чтобы ваши сотрудники знали, когда возникла проблема. Вы также можете установить свои собственные предупреждения с Булева логика чтобы убедиться, что вы ничего не пропустите.
10. EventTracker
IpSwitch, команда разработчиков популярного инструмента сетевого мониторинга WhatsUp Gold, также имеет решение для управления журналами, которое называется EventTracker. EventTracker может собирать и анализировать данные журнала Windows Event, Syslog, и Файлы журнала W3C / IIS. Программа может обнаруживать события безопасности в режиме реального времени. Возможности анализа журналов в реальном времени EventTracker сделать его хорошим выбором для обнаружения событий и реагирования.
Оповещение о событиях в реальном времени обеспечивает дополнительный уровень видимости активности журнала. Существуют сотни различных предупреждений вне коробки с EventTracker (хотя вы можете создать и свой собственный). Оповещения включают в себя криминалистическую аналитику, поэтому у вас есть дополнительные данные, которые можно использовать при устранении неполадок для решения проблемы безопасности..
Чтобы ваша команда была в курсе событий журнала событий, EventTracker автоматически распределяет отчеты для ключевых сотрудников, менеджеров и заинтересованных сторон. Отчеты соответствуют HIPAA, Сарбейнса, OXLEY, PCI DSS, NISPOM, МИФИД, и FISMA. Есть более 1500 различных отчетов для вас на выбор. Использование информации из этих отчетов помогает определить наличие уязвимостей в вашей сети, которые необходимо устранить..
Если вы ищете простое в использовании решение для управления журналами для Windows, то EventTracker стоит посмотреть. Для просмотра вариантов цены на продукт вам необходимо напрямую связаться с отделом продаж. Вы также можете скачать бесплатную пробную версию.
11. LogDNA
LogDNA это программная платформа для управления журналом, которая может отслеживать данные журнала в режиме реального времени. Этот инструмент облачный и настроен менее чем за две минуты для сбора журналов с AWS, Heroku, Эластичный, докер, и другие поставщики. Инструмент мгновенно объединяет журналы приложений и серверов в вашей сети с пропускной способностью для обработки один миллион событий журнала в секунду.
Одна из интересных вещей о LogDNA это то, что Агент LogDNA и Интерфейс CLI с открытым исходным кодом. По сути, это позволяет настроить ваш опыт управления журналами. Однако, если вы не хотите этого делать, стандартный пользовательский интерфейс имеет более чем достаточно функций, которые помогут вам эффективно отслеживать системные журналы.
LogDNA необходимо для организаций, которым требуется облачное и масштабируемое решение для управления журналами. LogDNA доступен как облачное решение или на территории / резидентных пакет. Доступны четыре варианта цены: Свободно, березовый, кленовый, и дуб. Бесплатная версия поддерживает одного пользователя.
Лучшие инструменты анализа журналов: Менеджер событий SolarWinds Security, Splunk и Datadog
Хотя в этом списке много исключительных инструментов анализа логов, Менеджер событий SolarWinds Security, Splunk, и Datadog Выделяются как наиболее полные решения для управления журналами. Каждый инструмент прост в использовании и обладает достаточной глубиной функций, помогающих обнаруживать инциденты и реагировать на них в любой среде..
Менеджер событий SolarWinds Security Возможности обнаружения во время событий, автоматического реагирования на угрозы и соответствия нормативным требованиям делают его хорошим универсальным инструментом управления журналами для корпоративных пользователей. Кроме того, простота, с которой вы можете просматривать в режиме реального времени и исторические данные на Splunk делает его отличным для быстро меняющейся среды.
Datadog не только поддерживает мониторинг данных в реальном времени и исторических данных, но и добавляет ИИ в смесь для обнаружения аномальных шаблонов журнала. В сочетании с интеллектуальными оповещениями и децентрализованными оповещениями легко понять, почему этот инструмент настолько популярен.
Из трех лучших инструментов анализа логов, Менеджер событий SolarWinds Security лучше всего подходит для тех, кто хочет простой опыт управления журналами. Datadog больше ориентирован на тех, кто хочет дополнить ручной мониторинг обнаружением на основе ИИ. в заключение, Splunk лучше всего подходит для тех, кто хочет получить первоклассное, но экономичное решение для управления журналами.
