5 melhores ferramentas de gerenciamento de log de código aberto para Linux

Quando um sistema operacional como o Linux está em execução, muitos eventos acontecem e processos são executados em segundo plano para permitir o uso eficiente e confiável dos recursos do sistema. Esses eventos podem acontecer no software do sistema, por exemplo, no processo init ou systemd ou em aplicativos de usuário como Apache, MySQL , FTP e muito mais.

Para compreender o estado do sistema e dos diferentes aplicativos e como eles funcionam, os administradores do sistema precisam revisar os arquivos de log diariamente em ambientes de produção.

Você pode imaginar ter que revisar arquivos de log de diversas áreas do sistema e aplicativos, é aí que os sistemas de log são úteis. Eles ajudam a monitorar, revisar, analisar e até mesmo gerar relatórios de diferentes arquivos de log configurados por um Administrador do Sistema.

Neste artigo, veremos os quatro principais sistemas de gerenciamento de log de código aberto mais usados no Linux atualmente. O protocolo de log padrão na maioria, se não em todas as distribuições hoje, é o Syslog.

1. Analisador de log de eventos ManageEngine

ManageEngine EventLog Analyzer é uma solução de gerenciamento de log local projetada para empresas de todos os tamanhos em vários setores, como tecnologia da informação, saúde, varejo, finanças, educação e muito mais. A solução fornece aos usuários coleta de logs baseada e sem agente, recursos de análise de logs, um poderoso mecanismo de pesquisa de logs e opções de arquivamento de logs.

Com funcionalidade de auditoria de dispositivos de rede, ele permite que os usuários monitorem seus dispositivos de usuário final, firewalls, roteadores, switches e muito mais em tempo real. A solução exibe os dados analisados na forma de gráficos e relatórios intuitivos.

Os mecanismos de detecção de incidentes do EventLog Analyzer, como correlação de log de eventos, inteligência de ameaças, implementação da estrutura MITRE ATT&CK, análise avançada de ameaças e muito mais, ajudam a detectar ameaças à segurança assim que ocorrem.

O sistema de alerta em tempo real alerta os usuários sobre atividades suspeitas, para que possam priorizar ameaças de segurança de alto risco. E com um sistema automatizado de resposta a incidentes, os SOCs podem mitigar ameaças potenciais.

A solução também ajuda os usuários a cumprir vários padrões de conformidade de TI, como PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR e muito mais. Os serviços baseados em assinatura são oferecidos dependendo do número de fontes de log para monitoramento. O suporte é disponibilizado aos usuários por telefone, vídeos de produtos e uma base de conhecimento online.

2. Graylog 2

Graylog é uma ferramenta líder de gerenciamento de log centralizado, de código aberto e robusta, amplamente usada para coletar e revisar logs em vários ambientes, incluindo ambientes de teste e produção. É fácil de configurar e altamente recomendado para pequenas empresas.

Graylog ajuda você a coletar facilmente dados de vários dispositivos, incluindo switches de rede, roteadores e pontos de acesso sem fio. Ele se integra ao mecanismo de análise Elasticsearch e aproveita o MongoDB para armazenar dados e os logs coletados oferecem insights profundos e são úteis na solução de falhas e erros do sistema.

Com o Graylog, você obtém uma WebUI organizada e tranquila com painéis interessantes que ajudam a rastrear dados de maneira integrada. Além disso, você obtém um conjunto de ferramentas e funcionalidades interessantes que ajudam na auditoria de conformidade, pesquisa de ameaças e muito mais. Você pode ativar notificações de forma que um alerta seja acionado quando uma determinada condição for atendida ou ocorrer um problema.

No geral, o Graylog faz um ótimo trabalho ao reunir grandes quantidades de dados e simplifica a pesquisa e a análise de dados. A versão mais recente é o Graylog 4.0 e oferece novos recursos como modo escuro, integração com Slack e ElasticSearch 7 e muito mais.

3. Verificação de registro

Logcheck é outra ferramenta de monitoramento de log de código aberto que é executada como um cron job. Ele analisa milhares de arquivos de log para detectar violações ou eventos do sistema que são acionados. O Logcheck então envia um resumo detalhado dos alertas para um endereço de e-mail configurado para alertar as equipes de operação sobre um problema, como uma violação não autorizada ou uma falha do sistema.

Três níveis diferentes de filtragem de arquivos de log são desenvolvidos neste sistema de registro, que incluem:

O Logcheck também é capaz de classificar mensagens a serem relatadas em três camadas possíveis, que incluem eventos de segurança, eventos do sistema e alertas de ataque ao sistema. Um administrador do sistema pode escolher o nível de detalhes com que os eventos do sistema serão relatados, dependendo do nível de filtragem, embora isso não afete os eventos de segurança e os alertas de ataque ao sistema.

4. Logwatch

Logwatch é um aplicativo de coleta e análise de logs de código aberto e altamente personalizável. Ele analisa os logs do sistema e do aplicativo e gera um relatório sobre como os aplicativos estão sendo executados. O relatório é entregue na linha de comando ou por meio de um endereço de e-mail dedicado.

Você pode personalizar facilmente o Logwatch de acordo com sua preferência, modificando os parâmetros no caminho /etc/logwatch/conf. Ele também fornece algo extra na forma de scripts PERL pré-escritos para facilitar a análise de log.

O Logwatch vem com uma abordagem em camadas e há três locais principais onde os detalhes de configuração são definidos:

Todas as configurações padrão são definidas no arquivo /usr/share/logwatch/default.conf/logwatch.conf. A prática recomendada é deixar esse arquivo intacto e, em vez disso, criar seu próprio arquivo de configuração no caminho /etc/logwatch/conf/ copiando o arquivo de configuração original e, em seguida, definindo suas configurações personalizadas.

A versão mais recente do Logwatch é a versão 7.5.5 e fornece suporte para consultar o diário systemd diretamente usando o journalctl. Se você não puder pagar por uma ferramenta proprietária de gerenciamento de logs, o Logwatch lhe dará tranquilidade sabendo que todos os eventos serão registrados e notificações entregues caso algo dê errado.

5. Logstash

Logstash é um pipeline de processamento de dados do lado do servidor de código aberto que aceita dados de diversas fontes, incluindo arquivos locais ou sistemas distribuídos como o S3. Em seguida, ele processa os logs e os canaliza para plataformas como o Elasticsearch, onde são analisados e arquivados posteriormente. É uma ferramenta bastante poderosa, pois pode ingerir volumes de logs de vários aplicativos e posteriormente enviá-los para diferentes bancos de dados ou mecanismos, todos ao mesmo tempo.

O Logstash estrutura dados não estruturados e realiza pesquisas de geolocalização, anonimiza dados pessoais e também escala em vários nós. Há uma extensa lista de fontes de dados que você pode fazer com que o Logstash ouça o canal, incluindo SNMP, pulsações, Syslog, Kafka, fantoche, log de eventos do Windows, etc.

O Logstash depende de ‘beats’, que são transportadores de dados leves que alimentam dados ao Logstash para análise e estruturação, etc. Os dados são então enviados para outros destinos, como Google Cloud, MongoDB e Elasticsearch para indexação. Logstash é um componente chave do Elastic Stack que permite aos usuários agrupar dados em qualquer formato, analisá-los e visualizá-los em painéis interativos.

Além do mais, o Logstash conta com amplo suporte da comunidade e atualizações regulares.

Resumo

Por enquanto é isso e lembre-se de que esses não são todos os sistemas de gerenciamento de log disponíveis que você pode usar no Linux. Continuaremos revisando e atualizando a lista em artigos futuros. Espero que você ache este artigo útil e que possa nos informar sobre outras ferramentas ou sistemas de registro importantes, deixando um comentário.