4 Bones eines de control i gestió de registres de codi obert per a Linux

Quan s'executa un sistema operatiu com Linux, hi ha molts esdeveniments i processos que s'executen en segon pla per permetre un ús eficient i fiable dels recursos del sistema. Aquests esdeveniments poden passar al programari del sistema, com ara el procés init o systemd o aplicacions d'usuari com Apache, MySQL, FTP i molts més.

Per entendre l'estat del sistema i les diferents aplicacions i com funcionen, els administradors del sistema han de seguir revisant els fitxers de registre diàriament en entorns de producció.

Us podeu imaginar haver de revisar fitxers de registre de diverses àrees i aplicacions del sistema, és aquí on els sistemes de registre són útils. Ajuden a supervisar, revisar, analitzar i fins i tot generar informes de diferents fitxers de registre configurats per un administrador del sistema.

  • Com supervisar els usos del sistema, les interrupcions i resoldre problemes dels sistemes Linux
  • Com gestionar els registres del servidor (configurar i girar) a Linux
  • Com supervisar els registres del servidor Linux en temps real amb l'eina Log.io

En aquest article, analitzarem els quatre sistemes de gestió de registre de codi obert més utilitzats a Linux avui en dia, el protocol de registre estàndard en la majoria, si no en totes les distribucions actuals, és Syslog.

1. Graylog 2

Eina de gestió de registres centralitzada que s'utilitza àmpliament per recopilar i revisar registres en diversos entorns, inclosos els entorns de prova i producció. És fàcil de configurar i és molt recomanable per a petites empreses.

Graylog us ajuda a recopilar fàcilment dades de diversos dispositius, inclosos commutadors de xarxa, encaminadors i punts d'accés sense fil. S'integra amb el motor d'anàlisi Elasticsearch i aprofita MongoDB per emmagatzemar dades i els registres recollits ofereixen coneixements profunds i són útils per resoldre errors i errors del sistema.

Amb Graylog, obteniu una interfície web ordenada i adormida amb taulers de control fantàstics que us ajuden a fer un seguiment de les dades sense problemes. A més, obteniu un conjunt d'eines i funcionalitats enginyoses que ajuden a l'auditoria de compliment, la cerca d'amenaces i molt més. Podeu habilitar les notificacions de manera que s'activi una alerta quan es compleix una determinada condició o es produeix un problema.

En general, Graylog fa una bona feina a l'hora de recopilar grans quantitats de dades i simplifica la cerca i l'anàlisi de dades. L'última versió és Graylog 4.0 i ofereix noves funcions com ara el mode fosc, la integració amb slack i ElasticSearch 7 i molt més.

2. Comprovació de registre

Logcheck és una altra eina de control de registres de codi obert que s'executa com a treball cron. Tamisa milers de fitxers de registre per detectar infraccions o esdeveniments del sistema que es desencadenen. A continuació, Logcheck envia un resum detallat de les alertes a una adreça de correu electrònic configurada per alertar els equips operatius d'un problema com ara una incompliment no autoritzat o una fallada del sistema.

En aquest sistema de registre es desenvolupen tres nivells diferents de filtratge de fitxers de registre que inclou:

  • Paranoid: està pensat per a sistemes d'alta seguretat que executen molt pocs serveis com sigui possible.
  • Servidor: aquest és el nivell de filtratge per defecte per al logcheck i les seves regles es defineixen per a molts dimonis del sistema diferents. Les regles definides al nivell paranoic també s'inclouen sota aquest nivell.
  • Estació de treball: és per a sistemes protegits i ajuda a filtrar la majoria dels missatges. També inclou regles definides als nivells paranoic i de servidor.

Logcheck també és capaç d'ordenar els missatges per notificar-los en tres possibles capes que inclouen esdeveniments de seguretat, esdeveniments del sistema i alertes d'atac al sistema. Un administrador del sistema pot triar el nivell de detalls a quins esdeveniments del sistema es reporten en funció del nivell de filtratge, tot i que això no afecta els esdeveniments de seguretat i les alertes d'atac del sistema.

Logcheck ofereix les funcions següents:

  • Plantilles d'informes predefinides.
  • Un mecanisme per filtrar els registres mitjançant expressions regulars.
  • Notificacions instantànies per correu electrònic.
  • Alertes de seguretat instantànies.

3. Rellotge de registre

Logwatch és una aplicació d'anàlisi i recopilació de registres de codi obert i altament personalitzable. Analitza tant els registres del sistema com de les aplicacions i genera un informe sobre com s'executen les aplicacions. L'informe es lliura a la línia d'ordres o a través d'una adreça de correu electrònic dedicada.

Podeu personalitzar fàcilment Logwatch segons les vostres preferències modificant els paràmetres del camí /etc/logwatch/conf. També proporciona alguna cosa addicional en la forma dels scripts PERL escrits prèviament per facilitar l'anàlisi de registres.

Logwatch inclou un enfocament escalonat i hi ha 3 ubicacions principals on es defineixen els detalls de configuració:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

Tota la configuració predeterminada es defineix al fitxer /usr/share/logwatch/default.conf/logwatch.conf. La pràctica recomanada és deixar aquest fitxer intacte i crear el vostre propi fitxer de configuració al camí /etc/logwatch/conf/ copiant el fitxer de configuració original i després definint la vostra configuració personalitzada.

L'última versió de Logwatch és la versió 7.5.5 i ofereix suport per consultar el diari systemd directament mitjançant journalctl. Si no us podeu permetre una eina de gestió de registres propietària, Logwatch us donarà la tranquil·litat de saber que tots els esdeveniments es registraran i es lliuraran notificacions en cas que alguna cosa surti malament.

4. Logstash

Logstash és una canalització de processament de dades del costat del servidor de codi obert que accepta dades de multitud de fonts, inclosos fitxers locals o sistemes distribuïts com S3. A continuació, processa els registres i els canalitza a plataformes com Elasticsearch on s'analitzen i s'arxiven més endavant. És una eina força potent, ja que pot ingerir volums de registres de diverses aplicacions i després enviar-los a diferents bases de dades o motors alhora.

Logstash estructura dades no estructurades i realitza cerques de geolocalització, anonimitza les dades personals i també escala en diversos nodes. Hi ha una llista extensa de fonts de dades que podeu fer que Logstash escolti canalització, incloent SNMP, batecs del cor, Syslog, Kafka, titella, registre d'esdeveniments de Windows, etc.

Logstash es basa en beats, que són enviadors de dades lleugers que alimenten dades a Logstash per analitzar i estructurar, etc. Les dades s'envien a altres destinacions com Google Cloud, MongoDB i Elasticsearch per a la indexació. Logstash és un component clau d'Elastic Stack que permet als usuaris recopilar dades de qualsevol forma, analitzar-les i visualitzar-les en taulers interactius.

A més, és que Logstash gaudeix d'un suport generalitzat de la comunitat i actualitzacions periòdiques.

Resum

Això és tot de moment i recordeu que aquests no són tots els sistemes de gestió de registres disponibles que podeu utilitzar a Linux. Seguirem revisant i actualitzant la llista en propers articles, espero que aquest article us sigui útil i que ens pugueu fer saber d'altres eines o sistemes de registre importants que hi ha deixant un comentari.