5 Alat Manajemen Log Sumber Terbuka Terbaik untuk Linux

Saat sistem operasi seperti Linux berjalan, ada banyak kejadian dan proses yang berjalan di latar belakang untuk memungkinkan penggunaan sumber daya sistem secara efisien dan andal. Peristiwa ini mungkin terjadi pada perangkat lunak sistem misalnya proses init atau systemd atau aplikasi pengguna seperti Apache, MySQL , FTP, dan banyak lagi.

Untuk memahami keadaan sistem dan aplikasi yang berbeda serta cara kerjanya, Administrator Sistem harus terus meninjau file log setiap hari di lingkungan produksi.

Anda dapat membayangkan harus meninjau file log dari beberapa area sistem dan aplikasi, di situlah sistem logging berguna. Mereka membantu memantau, meninjau, menganalisis, dan bahkan menghasilkan laporan dari berbagai file log seperti yang dikonfigurasi oleh Administrator Sistem.

Pada artikel ini, kita akan melihat empat sistem manajemen logging sumber terbuka yang paling banyak digunakan di Linux saat ini, protokol logging standar di sebagian besar, jika tidak semua distribusi saat ini, adalah Syslog.

1. Penganalisis EventLog ManageEngine

ManageEngine EventLog Analyzer adalah solusi manajemen log di lokasi yang dirancang untuk bisnis dari semua ukuran di berbagai industri seperti teknologi informasi, kesehatan, ritel, keuangan, pendidikan, dan banyak lagi. Solusi ini memberi pengguna pengumpulan log berbasis agen dan tanpa agen, kemampuan penguraian log, mesin pencari log yang canggih, dan opsi pengarsipan log.

Dengan fungsionalitas audit perangkat jaringan, ini memungkinkan pengguna untuk memantau perangkat pengguna akhir, firewall, router, switch, dan lainnya secara real-time. Solusinya menampilkan data yang dianalisis dalam bentuk grafik dan laporan intuitif.

Mekanisme deteksi insiden EventLog Analyzer seperti korelasi log peristiwa, intelijen ancaman, implementasi kerangka kerja MITRE ATT&CK, analisis ancaman tingkat lanjut, dan banyak lagi, membantu mengenali ancaman keamanan segera setelah terjadi.

Sistem peringatan real-time memperingatkan pengguna tentang aktivitas mencurigakan, sehingga mereka dapat memprioritaskan ancaman keamanan berisiko tinggi. Dan dengan sistem respons insiden otomatis, SOC dapat memitigasi potensi ancaman.

Solusi ini juga membantu pengguna untuk mematuhi berbagai standar kepatuhan TI seperti PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR, dan banyak lagi. Layanan berbasis langganan ditawarkan tergantung pada jumlah sumber log untuk pemantauan. Dukungan tersedia bagi pengguna melalui telepon, video produk, dan basis pengetahuan online.

2. Graylog 2

Graylog adalah alat manajemen logging terpusat bersumber terbuka dan kuat yang banyak digunakan untuk mengumpulkan dan meninjau log di berbagai lingkungan termasuk lingkungan pengujian dan produksi. Mudah diatur dan sangat direkomendasikan untuk usaha kecil.

Graylog membantu Anda mengumpulkan data dengan mudah dari beberapa perangkat termasuk sakelar jaringan, router, dan titik akses nirkabel. Ini terintegrasi dengan mesin analisis Elasticsearch dan memanfaatkan MongoDB untuk menyimpan data dan log yang dikumpulkan menawarkan wawasan mendalam dan membantu dalam memecahkan masalah kesalahan dan kesalahan sistem.

Dengan Graylog, Anda mendapatkan WebUI yang rapi dan tenang dengan dasbor keren yang membantu Anda melacak data dengan lancar. Selain itu, Anda mendapatkan seperangkat alat dan fungsi bagus yang membantu dalam audit kepatuhan, pencarian ancaman, dan banyak lagi. Anda dapat mengaktifkan notifikasi sedemikian rupa sehingga peringatan dipicu ketika kondisi tertentu terpenuhi atau terjadi masalah.

Secara keseluruhan, Graylog melakukan tugasnya dengan cukup baik dalam mengumpulkan data dalam jumlah besar dan menyederhanakan pencarian dan analisis data. Versi terbarunya adalah Graylog 4.0 dan menawarkan fitur-fitur baru seperti mode Gelap, integrasi dengan slack dan ElasticSearch 7 dan masih banyak lagi.

3. Pemeriksaan log

Logcheck adalah alat pemantauan log sumber terbuka lainnya yang dijalankan sebagai tugas cron. Ini menyaring ribuan file log untuk mendeteksi pelanggaran atau kejadian sistem yang dipicu. Logcheck kemudian mengirimkan ringkasan detail peringatan ke alamat email yang dikonfigurasi untuk memperingatkan tim operasi tentang masalah seperti pelanggaran tidak sah atau kesalahan sistem.

Tiga tingkat pemfilteran file log yang berbeda dikembangkan dalam sistem logging ini yang meliputi:

Logcheck juga mampu mengurutkan pesan yang akan dilaporkan ke dalam tiga kemungkinan lapisan yang meliputi, peristiwa keamanan, peristiwa sistem, dan peringatan serangan sistem. Administrator Sistem dapat memilih tingkat rincian kejadian sistem yang dilaporkan tergantung pada tingkat pemfilteran meskipun hal ini tidak mempengaruhi peristiwa keamanan dan peringatan serangan sistem.

4. Jam catatan

Logwatch adalah aplikasi pengumpulan dan analisis log bersumber terbuka dan sangat dapat disesuaikan. Ini mem-parsing log sistem dan aplikasi dan menghasilkan laporan tentang bagaimana aplikasi berjalan. Laporan dikirimkan melalui baris perintah atau melalui alamat email khusus.

Anda dapat dengan mudah menyesuaikan Logwatch sesuai preferensi Anda dengan memodifikasi parameter di jalur /etc/logwatch/conf. Ini juga memberikan sesuatu yang ekstra dalam skrip PERL yang telah ditulis sebelumnya untuk mempermudah penguraian log.

Logwatch hadir dengan pendekatan berjenjang dan terdapat 3 lokasi utama tempat detail konfigurasi ditentukan:

Semua pengaturan default ditentukan dalam file /usr/share/logwatch/default.conf/logwatch.conf. Praktik yang disarankan adalah membiarkan file ini tetap utuh dan membuat file konfigurasi Anda sendiri di jalur /etc/logwatch/conf/ dengan menyalin file konfigurasi asli dan kemudian menentukan pengaturan khusus Anda.

Versi terbaru Logwatch adalah versi 7.5.5 dan menyediakan dukungan untuk menanyakan jurnal systemd secara langsung menggunakan journalctl. Jika Anda tidak mampu membeli alat pengelolaan log berpemilik, Logwatch akan memberi Anda ketenangan pikiran karena mengetahui bahwa semua peristiwa akan dicatat dan pemberitahuan dikirimkan jika terjadi sesuatu yang tidak beres.

5. Penyimpanan log

Logstash adalah saluran pemrosesan data sisi server sumber terbuka yang menerima data dari banyak sumber termasuk file lokal, atau sistem terdistribusi seperti S3. Log tersebut kemudian diproses dan disalurkan ke platform seperti Elasticsearch untuk kemudian dianalisis dan diarsipkan. Ini adalah alat yang cukup ampuh karena dapat menyerap sejumlah besar log dari beberapa aplikasi dan kemudian mengeluarkannya ke database atau mesin berbeda secara bersamaan.

Logstash menyusun data tidak terstruktur dan melakukan pencarian geolokasi, menganonimkan data pribadi, dan juga melakukan penskalaan di beberapa node. Ada daftar lengkap sumber data yang dapat Anda gunakan untuk mendengarkan pipa Logstash termasuk SNMP, detak jantung, Syslog, Kafka, boneka, log peristiwa windows, dll.

Logstash mengandalkan 'beats' yang merupakan pengirim data ringan yang memasukkan data ke Logstash untuk penguraian dan penataan, dll. Data kemudian dikirim ke tujuan lain seperti Google Cloud, MongoDB, dan Elasticsearch untuk pengindeksan. Logstash adalah komponen kunci dari Elastic Stack yang memungkinkan pengguna menyusun data dalam bentuk apa pun, menguraikannya, dan memvisualisasikannya di dasbor interaktif.

Terlebih lagi, Logstash mendapat dukungan komunitas luas dan pembaruan rutin.

Ringkasan

Itu saja untuk saat ini dan ingatlah bahwa tidak semua sistem manajemen log tersedia yang dapat Anda gunakan di Linux. Kami akan terus meninjau dan memperbarui daftarnya di artikel mendatang, saya harap artikel ini bermanfaat bagi Anda dan Anda dapat memberi tahu kami tentang alat atau sistem logging penting lainnya di luar sana dengan meninggalkan komentar.