4 labi Linux atvērtā pirmkoda žurnālu uzraudzības un pārvaldības rīki

Kad darbojas tāda operētājsistēma kā Linux, notiek daudzi notikumi un procesi, kas darbojas fonā, lai nodrošinātu efektīvu un uzticamu sistēmas resursu izmantošanu. Šie notikumi var notikt sistēmas programmatūrā, piemēram, init vai systemd procesā vai lietotāja lietojumprogrammās, piemēram, Apache, MySQL, FTP un daudzās citās.

Lai saprastu sistēmas stāvokli un dažādas lietojumprogrammas, kā arī to darbību, sistēmas administratoriem katru dienu ir jāpārskata žurnālfaili ražošanas vidēs.

Jūs varat iedomāties, ka jums būs jāpārskata žurnālfaili no vairākām sistēmas jomām un lietojumprogrammām, tieši tur noder reģistrēšanas sistēmas. Tie palīdz uzraudzīt, pārskatīt, analizēt un pat ģenerēt atskaites no dažādiem žurnāla failiem, kā to ir konfigurējis sistēmas administrators.

  • Kā pārraudzīt sistēmas lietojumu, pārtraukumus un novērst Linux sistēmas
  • Kā pārvaldīt servera žurnālus (konfigurēt un pagriezt) operētājsistēmā Linux
  • Kā reāllaikā uzraudzīt Linux servera žurnālus, izmantojot rīku Log.io

Šajā rakstā mēs aplūkosim četras visvairāk izmantotās atvērtā pirmkoda mežizstrādes pārvaldības sistēmas Linux šodien, standarta reģistrēšanas protokols lielākajā daļā, ja ne visos izplatījumos, šodien ir Syslog.

1. Graylog 2

centralizēts mežizstrādes pārvaldības rīks, kas tiek plaši izmantots žurnālu apkopošanai un pārskatīšanai dažādās vidēs, tostarp testēšanas un ražošanas vidēs. To ir viegli izveidot, un tas ir ļoti ieteicams mazajiem uzņēmumiem.

Graylog palīdz jums viegli apkopot datus no vairākām ierīcēm, ieskaitot tīkla slēdžus, maršrutētājus un bezvadu piekļuves punktus. Tas integrējas ar Elasticsearch analītikas dzinēju un izmanto MongoDB datu glabāšanai, un savāktie žurnāli piedāvā dziļu ieskatu un ir noderīgi sistēmas kļūdu un kļūdu novēršanā.

Izmantojot Graylog, jūs saņemat kārtīgu un miega WebUI ar foršiem informācijas paneļiem, kas palīdz nemanāmi izsekot datiem. Jūs saņemat arī izveicīgu rīku un funkciju kopumu, kas palīdz atbilstības auditā, draudu meklēšanā un daudz ko citu. Paziņojumus varat iespējot tādā veidā, ka brīdinājums tiek aktivizēts, kad ir izpildīts noteikts nosacījums vai rodas problēma.

Kopumā Graylog veic diezgan labu darbu, apkopojot lielu datu apjomu, un vienkāršo datu meklēšanu un analizēšanu. Jaunākā versija ir Graylog 4.0 un piedāvā jaunas funkcijas, piemēram, Dark režīmu, integrāciju ar slack un ElasticSearch 7 un vēl daudz ko citu.

2. Logcheck

Logcheck ir vēl viens atvērtā koda žurnālu uzraudzības rīks, kas tiek palaists kā Cron darbs. Tas izsijā tūkstošiem žurnālfailu, lai atklātu aktivizētos pārkāpumus vai sistēmas notikumus. Pēc tam Logcheck uz konfigurētu e-pasta adresi nosūta detalizētu brīdinājumu kopsavilkumu, lai brīdinātu operāciju komandas par tādu problēmu kā neatļauts pārkāpums vai sistēmas kļūda.

Šajā reģistrēšanas sistēmā ir izstrādāti trīs dažādi žurnālfailu filtrēšanas līmeņi, kas ietver:

  • Paranoīds: paredzēts augstas drošības sistēmām, kurās darbojas pēc iespējas mazāk pakalpojumu.
  • Serveris: tas ir noklusējuma filtrēšanas līmenis žurnāla pārbaudei, un tā kārtulas ir noteiktas daudziem dažādiem sistēmas dēmoniem. Šajā līmenī iekļauti arī paranojas līmenī noteiktie noteikumi.
  • Darbstacija: tā ir paredzēta aizsargātām sistēmām un palīdz filtrēt lielāko daļu ziņojumu. Tas ietver arī noteikumus, kas noteikti paranojas un servera līmenī.

Logcheck spēj arī kārtot ziņojamos ziņojumus trīs iespējamos slāņos, kas ietver drošības notikumus, sistēmas notikumus un sistēmas uzbrukuma brīdinājumus. Sistēmas administrators var izvēlēties detalizētas informācijas līmeni, par kuru tiek ziņots par sistēmas notikumiem atkarībā no filtrēšanas līmeņa, lai gan tas neietekmē drošības notikumus un sistēmas uzbrukuma brīdinājumus.

Logcheck nodrošina šādas funkcijas:

  • Iepriekš definētas pārskatu veidnes.
  • Žurnālu filtrēšanas mehānisms, izmantojot regulāras izteiksmes.
  • tūlītēji e-pasta paziņojumi.
  • tūlītēji drošības brīdinājumi.

3. Logwatch

Logwatch ir atvērtā koda un ļoti pielāgojama žurnālu kolekcijas un analīzes lietojumprogramma. Tas parsē gan sistēmas, gan lietojumprogrammu žurnālus un ģenerē pārskatu par lietojumprogrammu darbību. Pārskats tiek piegādāts vai nu komandrindā, vai arī izmantojot īpašu e-pasta adresi.

Logwatch varat viegli pielāgot savām vēlmēm, modificējot parametrus/etc/logwatch/conf ceļā. Tas arī sniedz kaut ko papildus iepriekš uzrakstītu PERL skriptu veidā, lai atvieglotu žurnālu parsēšanu.

Logwatch nāk ar daudzpakāpju pieeju, un ir 3 galvenās vietas, kur tiek definēta konfigurācijas informācija:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

Visi noklusējuma iestatījumi ir definēti failā /usr/share/logwatch/default.conf/logwatch.conf. Ieteicamā prakse ir atstāt šo failu neskartu un tā vietā izveidot savu konfigurācijas failu mapē/etc/logwatch/conf/path, nokopējot sākotnējo konfigurācijas failu un pēc tam definējot pielāgotos iestatījumus.

Jaunākā Logwatch versija ir 7.5.5 versija, un tā nodrošina sistēmu systemd žurnāla vaicāšanu tieši, izmantojot journalctl. Ja nevarat atļauties patentētu žurnālu pārvaldības rīku, Logwatch sniegs jums mieru, zinot, ka visi notikumi tiks reģistrēti un paziņojumi tiks piegādāti, ja kaut kas notiks nepareizi.

4. Logstash

Logstash ir atvērtā koda servera puses datu apstrādes cauruļvads, kas pieņem datus no daudziem avotiem, tostarp vietējiem failiem, vai izplatītām sistēmām, piemēram, S3. Pēc tam tas apstrādā žurnālus un novirza tos uz tādām platformām kā Elasticsearch, kur vēlāk tos analizē un arhivē. Tas ir diezgan spēcīgs rīks, jo tas var uzņemt žurnālu apjomus no vairākām lietojumprogrammām un vēlāk tos vienlaikus izvadīt uz dažādām datu bāzēm vai dzinējiem.

Logstash strukturē nestrukturētus datus un veic ģeogrāfiskās atrašanās vietas meklēšanu, anonimizē personas datus un mērogo arī vairākus mezglus. Ir plašs datu avotu saraksts, ar kuru palīdzību Logstash var klausīties caurules, tostarp SNMP, sirdsdarbību, Syslog, Kafka, leļļu, Windows notikumu žurnālu utt.

Logstash paļaujas uz “ritmiem”, kas ir vieglie datu nosūtītāji, kuri datus ievada Logstash, lai tos analizētu un strukturētu. Pēc tam dati tiek nosūtīti uz citiem galamērķiem, piemēram, Google Cloud, MongoDB un Elasticsearch indeksēšanai. Logstash ir Elastic Stack galvenā sastāvdaļa, kas lietotājiem ļauj apkopot datus jebkurā formā, parsēt tos un vizualizēt tos interaktīvajos informācijas paneļos.

Turklāt Logstash bauda plašu kopienas atbalstu un regulārus atjauninājumus.

Kopsavilkums

Tas pašlaik ir un atcerieties, ka šīs nav visas pieejamās žurnālu pārvaldības sistēmas, kuras varat izmantot Linux. Mēs turpināsim pārskatīt un atjaunināt sarakstu nākamajos rakstos. Es ceru, ka šis raksts jums būs noderīgs, un jūs varat mums paziņot par citiem svarīgiem mežizstrādes rīkiem vai sistēmām, atstājot komentāru.