Die 5 besten Open-Source-Protokollverwaltungstools für Linux

1. ManageEngine EventLog-Analysator

ManageEngine EventLog Analyzer ist eine On-Premise-Protokollverwaltungslösung, die für Unternehmen jeder Größe in verschiedenen Branchen wie Informationstechnologie, Gesundheitswesen, Einzelhandel, Finanzen, Bildung und mehr entwickelt wurde. Die Lösung bietet Benutzern sowohl agentenbasierte als auch agentenlose Protokollsammlung, Protokollanalysefunktionen, eine leistungsstarke Protokollsuchmaschine und Protokollarchivierungsoptionen.

Mit der Funktion zur Überprüfung von Netzwerkgeräten können Benutzer ihre Endbenutzergeräte, Firewalls, Router, Switches und mehr in Echtzeit überwachen. Die Lösung zeigt analysierte Daten in Form von Grafiken und intuitiven Berichten an.

Die Vorfallerkennungsmechanismen von EventLog Analyzer wie Ereignisprotokollkorrelation, Bedrohungsinformationen, MITRE ATT&CK-Framework-Implementierung, erweiterte Bedrohungsanalysen und mehr helfen dabei, Sicherheitsbedrohungen zu erkennen, sobald sie auftreten.

Das Echtzeit-Warnsystem warnt Benutzer vor verdächtigen Aktivitäten, sodass sie hochriskante Sicherheitsbedrohungen priorisieren können. Und mit einem automatisierten System zur Reaktion auf Vorfälle können SOCs potenzielle Bedrohungen abmildern.

Die Lösung unterstützt Benutzer außerdem bei der Einhaltung verschiedener IT-Compliance-Standards wie PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, DSGVO und mehr. Abhängig von der Anzahl der zu überwachenden Protokollquellen werden abonnementbasierte Dienste angeboten. Der Support wird den Benutzern per Telefon, Produktvideos und einer Online-Wissensdatenbank zur Verfügung gestellt.

2. Graylog 2

Graylog ist ein führendes Open-Source- und robustes zentralisiertes Protokollverwaltungstool, das häufig zum Sammeln und Überprüfen von Protokollen in verschiedenen Umgebungen, einschließlich Test- und Produktionsumgebungen, verwendet wird. Die Einrichtung ist einfach und für kleine Unternehmen sehr zu empfehlen.

Mit Graylog können Sie ganz einfach Daten von mehreren Geräten erfassen, darunter Netzwerk-Switches, Router und drahtlose Zugangspunkte. Es lässt sich in die Elasticsearch-Analyse-Engine integrieren und nutzt MongoDB zum Speichern von Daten. Die gesammelten Protokolle bieten tiefe Einblicke und sind hilfreich bei der Behebung von Systemfehlern und Fehlern.

Mit Graylog erhalten Sie eine übersichtliche und verschlafene WebUI mit coolen Dashboards, die Ihnen dabei helfen, Daten nahtlos zu verfolgen. Darüber hinaus erhalten Sie eine Reihe nützlicher Tools und Funktionen, die Sie bei der Compliance-Prüfung, der Suche nach Bedrohungen und vielem mehr unterstützen. Sie können Benachrichtigungen so aktivieren, dass eine Warnung ausgelöst wird, wenn eine bestimmte Bedingung erfüllt ist oder ein Problem auftritt.

Insgesamt gelingt es Graylog recht gut, große Datenmengen zu sammeln und die Suche und Analyse von Daten zu vereinfachen. Die neueste Version ist Graylog 4.0 und bietet neue Funktionen wie den Dunkelmodus, die Integration mit Slack und ElasticSearch 7 und vieles mehr.

3. Logcheck

Logcheck ist ein weiteres Open-Source-Protokollüberwachungstool, das als Cron-Job ausgeführt wird. Es durchsucht Tausende von Protokolldateien, um Verstöße oder ausgelöste Systemereignisse zu erkennen. Logcheck sendet dann eine detaillierte Zusammenfassung der Warnungen an eine konfigurierte E-Mail-Adresse, um die Betriebsteams auf ein Problem wie einen unbefugten Verstoß oder einen Systemfehler aufmerksam zu machen.

In diesem Protokollierungssystem werden drei verschiedene Ebenen der Protokolldateifilterung entwickelt, darunter:

• Paranoid: ist für Hochsicherheitssysteme gedacht, auf denen möglichst wenige Dienste ausgeführt werden.
• Server: Dies ist die Standardfilterebene für Logcheck und ihre Regeln sind für viele verschiedene Systemdämonen definiert. Die unter der paranoiden Ebene definierten Regeln sind auch in dieser Ebene enthalten.
• Workstation: Es ist für geschützte Systeme gedacht und hilft beim Filtern der meisten Nachrichten. Es enthält auch Regeln, die auf den Ebenen „Paranoid“ und „Server“ definiert sind.

Logcheck ist außerdem in der Lage, zu meldende Nachrichten in drei mögliche Ebenen zu sortieren, darunter Sicherheitsereignisse, Systemereignisse und Systemangriffswarnungen. Ein Systemadministrator kann abhängig von der Filterstufe die Detailebene auswählen, bis zu der Systemereignisse gemeldet werden. Dies hat jedoch keine Auswirkungen auf Sicherheitsereignisse und Systemangriffswarnungen.

Logcheck bietet die folgenden Funktionen:

• Vordefinierte Berichtsvorlagen.
• Ein Mechanismus zum Filtern von Protokollen mithilfe regulärer Ausdrücke.
• Sofortige E-Mail-Benachrichtigungen.
• Sofortige Sicherheitswarnungen.

4. Logwatch

Logwatch ist eine Open-Source- und hochgradig anpassbare Protokollerfassungs- und -analyseanwendung. Es analysiert sowohl System- als auch Anwendungsprotokolle und erstellt einen Bericht darüber, wie Anwendungen ausgeführt werden. Der Bericht wird entweder über die Befehlszeile oder über eine dedizierte E-Mail-Adresse übermittelt.

Sie können Logwatch ganz einfach an Ihre Vorlieben anpassen, indem Sie die Parameter im Pfad /etc/logwatch/conf ändern. Es bietet außerdem ein Extra an vorgefertigten PERL-Skripten, die das Parsen von Protokollen erleichtern.

Logwatch verfolgt einen mehrstufigen Ansatz und es gibt drei Hauptorte, an denen Konfigurationsdetails definiert werden:

• /usr/share/logwatch/default.conf/*
• /etc/logwatch/conf/dist.conf/*
• /etc/logwatch/conf/*

Alle Standardeinstellungen sind in der Datei /usr/share/logwatch/default.conf/logwatch.conf definiert. Die empfohlene Vorgehensweise besteht darin, diese Datei intakt zu lassen und stattdessen Ihre eigene Konfigurationsdatei im Pfad /etc/logwatch/conf/ zu erstellen, indem Sie die ursprüngliche Konfigurationsdatei kopieren und dann Ihre benutzerdefinierten Einstellungen definieren.

Die neueste Version von Logwatch ist Version 7.5.5 und bietet Unterstützung für die direkte Abfrage des systemd-Journals mit journalctl. Wenn Sie sich kein proprietäres Protokollverwaltungstool leisten können, gibt Ihnen Logwatch die Gewissheit, dass alle Ereignisse protokolliert und Benachrichtigungen übermittelt werden, falls etwas schief geht.

5. Logstash

Logstash ist eine serverseitige Open-Source-Datenverarbeitungspipeline, die Daten aus einer Vielzahl von Quellen akzeptiert, einschließlich lokaler Dateien oder verteilter Systeme wie S3. Anschließend werden die Protokolle verarbeitet und an Plattformen wie Elasticsearch weitergeleitet, wo sie später analysiert und archiviert werden. Es ist ein recht leistungsfähiges Tool, da es große Mengen an Protokollen von mehreren Anwendungen aufnehmen und diese später gleichzeitig an verschiedene Datenbanken oder Engines ausgeben kann.

Logstash strukturiert unstrukturierte Daten, führt Geolokalisierungssuchen durch, anonymisiert persönliche Daten und skaliert auch über mehrere Knoten hinweg. Es gibt eine umfangreiche Liste von Datenquellen, die Logstash abhören kann, einschließlich SNMP, Heartbeats, Syslog, Kafka, Puppet, Windows-Ereignisprotokoll usw.

Logstash verlässt sich auf „Beats“, bei denen es sich um leichtgewichtige Datenversender handelt, die Daten zum Parsen, Strukturieren usw. an Logstash weiterleiten. Die Daten werden dann zur Indizierung an andere Ziele wie Google Cloud, MongoDB und Elasticsearch gesendet. Logstash ist eine Schlüsselkomponente von Elastic Stack, die es Benutzern ermöglicht, Daten in beliebiger Form zu sammeln, zu analysieren und auf interaktiven Dashboards zu visualisieren.

Darüber hinaus genießt Logstash breite Community-Unterstützung und regelmäßige Updates.

Zusammenfassung

Das ist es fürs Erste und denken Sie daran, dass dies nicht alle verfügbaren Protokollverwaltungssysteme sind, die Sie unter Linux verwenden können. Wir werden die Liste in zukünftigen Artikeln weiter überprüfen und aktualisieren. Ich hoffe, dass Sie diesen Artikel nützlich finden und uns über andere wichtige Protokollierungstools oder -systeme informieren können, indem Sie einen Kommentar hinterlassen.