4 head avatud lähtekoodiga logide jälgimise ja haldamise tööriistad Linuxile

Kui töötab selline operatsioonisüsteem nagu Linux, toimub taustal palju sündmusi ja protsesse, mis võimaldavad süsteemiressursside tõhusat ja usaldusväärset kasutamist. Need sündmused võivad juhtuda süsteemitarkvaras, näiteks init- või systemd-protsessis või kasutajarakendustes nagu Apache, MySQL, FTP ja palju muud.

Süsteemi seisundi ja erinevate rakenduste ning nende töö mõistmiseks peavad süsteemiadministraatorid tootmiskeskkondades logifaile igapäevaselt üle vaatama.

Võite ette kujutada, et peate üle vaatama mitme süsteemipiirkonna ja rakenduse logifailid, seal on logimissüsteemid kasuks. Need aitavad jälgida, vaadata, analüüsida ja isegi luua aruandeid erinevatest logifailidest vastavalt süsteemiadministraatori seadistustele.

  • Kuidas jälgida süsteemikasutusi, katkestusi ja tõrkeotsingut Linuxi süsteemides
  • Kuidas serverilogisid hallata (konfigureerida ja pöörata) Linuxis
  • Kuidas jälgida Linuxi serveri logisid reaalajas Log.io tööriista abil

Selles artiklis vaatleme Linuxi tänapäeval nelja kõige enam kasutatavat avatud lähtekoodiga logimise haldussüsteemi. Tavaline logimisprotokoll on enamikus, kui mitte kõigis tänapäevastes jaotustes, Syslog.

1. Graylog 2

tsentraliseeritud logimise haldamise tööriist, mida kasutatakse laialdaselt logide kogumiseks ja ülevaatamiseks erinevates keskkondades, sealhulgas testimis- ja tootmiskeskkondades. Seda on lihtne üles seada ja see on väga soovitatav väikeettevõtetele.

Graylog aitab teil hõlpsalt koguda andmeid mitmest seadmest, sealhulgas võrgulülititest, ruuteritest ja traadita pääsupunktidest. See integreerub Elasticsearchi analüüsimootoriga ja kasutab MongoDB-d andmete salvestamiseks ning kogutud logid pakuvad põhjalikke teadmisi ning on abiks süsteemi tõrgete ja vigade tõrkeotsingus.

Graylogiga saate korraliku ja unikaalse WebUI koos lahedate armatuurlaudadega, mis aitavad teil andmeid sujuvalt jälgida. Samuti saate komplekti suurepäraseid tööriistu ja funktsioone, mis aitavad vastavuse auditit, ohuotsingut ja palju muud. Märguandeid saate lubada nii, et hoiatus käivitatakse, kui teatud tingimus on täidetud või ilmneb probleem.

Üldiselt teeb Graylog suure hulga andmete kogumisel päris head tööd ning lihtsustab andmete otsimist ja analüüsimist. Uusim versioon on Graylog 4.0 ja pakub uusi funktsioone, nagu Dark mode, integreerimine lõtvusega ja ElasticSearch 7 ning palju muud.

2. Logcheck

Logcheck on veel üks avatud lähtekoodiga logide jälgimise tööriist, mida käitatakse croni tööna. See sõelub tuhandeid logifaile, et avastada käivitatud rikkumisi või süsteemi sündmusi. Seejärel saadab Logcheck üksikasjaliku kokkuvõtte hoiatustest konfigureeritud e-posti aadressile, et teavitada operatiivmeeskondi sellisest probleemist nagu volitamata rikkumine või süsteemi rike.

Selles logimissüsteemis on välja töötatud kolm logifailide filtreerimise erinevat taset, mis hõlmab järgmist:

  • Paranoid: on mõeldud kõrge turvalisusega süsteemidele, mis töötavad võimalikult vähe teenuseid.
  • Server: see on logchecki vaikefiltreerimise tase ja selle reeglid on määratletud paljude erinevate süsteemi deemonite jaoks. Selle taseme alla kuuluvad ka paranoilise taseme all määratletud reeglid.
  • Tööjaam: see on mõeldud varjatud süsteemide jaoks ja aitab filtreerida enamikku sõnumeid. See sisaldab ka reegleid, mis on määratletud paranoilise ja serveri taseme all.

Logcheck on võimeline sorteerima ka teateid, mis tuleb teatada kolme võimalikku kihti, sealhulgas turvasündmused, süsteemi sündmused ja süsteemirünnakute märguanded. Sõltuvalt filtreerimise tasemest saab süsteemiadministraator valida üksikasjade taseme, millele süsteemi sündmustest teatatakse, kuigi see ei mõjuta turvasündmusi ega süsteemirünnakute märguandeid.

Logcheck pakub järgmisi funktsioone:

  • Eelmääratud aruandemallid.
  • mehhanism logide filtreerimiseks regulaaravaldiste abil.
  • Kiired meilimärguanded.
  • Kiired turvateated.

3. Logwatch

Logwatch on avatud lähtekoodiga ja väga kohandatav logide kogumise ja analüüsimise rakendus. See sõelub nii süsteemi kui ka rakenduste logisid ja loob aruande rakenduste töötamise kohta. Aruanne edastatakse kas käsureal või spetsiaalse e-posti aadressi kaudu.

Logwatchi saate hõlpsalt oma eelistuste järgi kohandada, muutes parameetreid/etc/logwatch/conf teekonnal. Samuti pakub see midagi eelkirjutatud PERL-i skriptide viisi logide parsimise hõlbustamiseks.

Logwatch on varustatud astmelise lähenemisviisiga ja konfiguratsiooni üksikasjad on määratletud 3 põhikohas:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

Kõik vaikesätted on määratletud failis /usr/share/logwatch/default.conf/logwatch.conf. Soovitatav on jätta see fail puutumatuks ja selle asemel luua oma konfiguratsioonifail aadressil/etc/logwatch/conf/path, kopeerides algse konfiguratsioonifaili ja määratleda seejärel oma kohandatud sätted.

Logwatchi uusim versioon on versioon 7.5.5 ja see pakub tuge süsteemipäeviku päringute otsimiseks otse journalctl abil. Kui te ei saa endale lubada patenteeritud logihalduse tööriista, annab Logwatch teile meelerahu teades, et kõik sündmused logitakse ja teated edastatakse juhuks, kui midagi viltu läheb.

4. Logstash

Logstash on avatud lähtekoodiga serveripoolne andmetöötlustorustik, mis võtab vastu andmeid paljudest allikatest, sealhulgas kohalikud failid, või hajutatud süsteemidest, näiteks S3. Seejärel töötleb see logisid ja suunab need platvormidele nagu Elasticsearch, kus neid hiljem analüüsitakse ja arhiveeritakse. See on üsna võimas tööriist, kuna see võib sisestada mitme rakenduse logimahte ja hiljem neid korraga erinevatesse andmebaasidesse või mootoritesse edastada.

Logstash struktureerib struktureerimata andmed ja teostab geograafilise asukoha otsinguid, anonüümseks isikuandmeid ja skaleerib ka mitme sõlme vahel. Seal on ulatuslik loend andmeallikatest, mille abil saate Logstashil toru kuulata, sealhulgas SNMP, südamelöögid, Syslog, Kafka, nukk, Windowsi sündmuste logi jne.

Logstash tugineb „biitidele“, mis on kerged andmeedastajad, kes sisestavad andmeid Logstashi sõelumiseks ja struktureerimiseks jne. Seejärel saadetakse andmed muudesse sihtkohtadesse, näiteks Google Cloudi, MongoDB-i ja Elasticsearchi indekseerimiseks. Logstash on Elastic Stacki põhikomponent, mis võimaldab kasutajatel andmeid koguda mis tahes kujul, neid sõeluda ja visualiseerida interaktiivsetel juhtpaneelidel.

Veelgi enam, Logstashil on üldsuse laialdane tugi ja regulaarsed värskendused.

Kokkuvõte

See on praegu ja pidage meeles, et need pole kõik saadaolevad logihaldussüsteemid, mida saate Linuxis kasutada. Vaatame ja ajakohastame loetelu tulevastes artiklites, loodan, et leiate sellest artiklist kasuliku ja saate kommenteerides meile teada anda muudest olulistest logimistööriistadest või -süsteemidest.