Khi một hệ điều hành như Linux đang chạy, có nhiều sự kiện xảy ra và các quy trình chạy trong nền để cho phép sử dụng tài nguyên hệ thống hiệu quả và đáng tin cậy. Những sự kiện này có thể xảy ra trong phần mềm hệ thống, ví dụ như init
Để hiểu trạng thái của hệ thống và các ứng dụng khác nhau và cách chúng hoạt động, System Admin phải tiếp tục xem xét các log.
Bạn phải xem xét các logfiles trên hệ thống. Chúng giúp theo dõi, xem xét, phân tích và thậm chí tạo các report từ các logfile khác nhau được cấu hình bởi System Admin.
- Cách giám sát việc sử dụng, ngừng hoạt động và khắc phục sự cố hệ thống Linux
- Cách quản lý log server(Configure and Rotate) trong Linux
- Cách giám sát server Linux ghi nhật ký theo thời gian thực với công cụ Log.io
Trong bài viết này, chúng ta sẽ xem xét bốn hệ thống quản lý ghi log nguồn mở được sử dụng nhiều nhất trong Linux hiện nay, giao thức ghi nhật ký tiêu chuẩn trong hầu hết nếu không phải tất cả các phát hành ngày nay là syslog.
1. Graylog 2 #
Đây là một hệ thống quản lý log nguồn mở được tích hợp đầy đủ cho phép System Admin thu thập, lập chỉ mục và phân tích cả dữ liệu được đóng khung, có hệ thống và vô tổ chức từ bất kỳ hệ thống nguồn có sẵn nào.
Hệ thống ghi log này rất dễ cắm và cho phép quản lý log tập trung từ nhiều hệ thống. Nó được tích hợp với các thành phần bên ngoài như MongoDB cho siêu dữ liệu và Elaticsearch được sử dụng để giữ logfiles và cho phép tìm kiếm văn bản.
Graylog 2 có các tính năng sau:
- Sẵn sàng cho sản xuất cấp doanh nghiệp
- Bao gồm bảng điều khiển và hệ thống cảnh báo
- Có thể làm việc trên dữ liệu từ bất kỳ nguồn log nào
- Cho phép xử lý log thời gian thực
- Cho phép phân tích dữ liệu phi cấu trúc
- Mở rộng và tùy biến cao
- Cung cấp một trung tâm dữ liệu hoạt động
Để biết thêm thông tin xem trang web Graylog 2
2. Logcheck ( Đăng nhập ) #
Logcheck là một hệ thống quản lý log nguồn mở giúp System Admin tự động xác định các sự cố không xác định và vi phạm bảo mật trong logfiles. Nó định kỳ gửi tin nhắn về kết quả phân tích đến một địa chỉ email được cấu hình.
Logcheck được thiết kế như một cronjob trên cơ sở hàng giờ và trên mỗi hệ thống khởi động lại theo mặc định. Ba mức lọc lọc logfile khác nhau được phát triển trong hệ thống ghi nhật ký này bao gồm:
-
Paranoid Dành cho các hệ thống bảo mật cao đang chạy rất ít dịch vụ càng tốt. #
-
Server: mức phân loại level mặc định của Logcheck. Các rules được định nghĩa cho nhiều ứng dụng khác nhau. Các rule này bao gồm luôn rule của Paranoid #
-
Workstation: dành cho các sheltered systems và giúp lọc hầu hết các tin nhắn. Nó cũng bao gồm các luôn rule của Paranoid #
Logcheck cũng có khả năng sắp xếp các tin nhắn được báo cáo thành ba lớp có thể bao gồm, các sự kiện bảo mật, sự kiện hệ thống và cảnh báo tấn công hệ thống. System Admin có thể chọn mức độ chi tiết mà các sự kiện hệ thống được báo cáo tùy thuộc vào mức lọc mặc dù điều này không ảnh hưởng đến các sự kiện bảo mật và cảnh báo tấn công hệ thống.
Đọc thêm về nó tại trang web logcheck của nhóm phát triển
3. Logwatch #
Logwatch là một trình phân tích và báo cáo logfile hệ thống Linux / Unix có thể dễ dàng tùy chỉnh và nó cũng cho phép Quản trị viên Hệ thống thêm các bổ sung, tạo các tập lệnh tùy chỉnh phục vụ nhu cầu ghi nhật ký cụ thể.
Những gì nó làm là xem xét các logfile hệ thống trong một khoảng thời gian nhất định và sau đó tạo một báo cáo dựa trên các khu vực hệ thống mà bạn muốn thu thập thông tin từ đó. Một tính năng của hệ thống ghi log này là dễ sử dụng cho Quản trị viên hệ thống mới và nó cũng hoạt động trên hầu hết các bản phân phối Linux có sẵn và nhiều hệ thống Unix.
Truy cập trang chủ dự án của Logwatch
4. Logstash #
Logstash cũng là một hệ thống thu thập và ghi dữ liệu nguồn mở có sẵn trên Linux, có khả năng tạo đường ống thời gian thực, vốn được thiết kế để thu thập dữ liệu nhưng các phiên bản mới của nó giờ đã tích hợp một số khả năng khác như sử dụng một loạt các định dạng dữ liệu đầu vào, lọc và cũng xuất ra các plugin và định dạng.
Nó có thể thống nhất hiệu quả dữ liệu từ các hệ thống nguồn log khác nhau và chuẩn hóa dữ liệu thành các mục tiêu theo lựa chọn của System admin. Logstash cũng cho phép System admin xóa, so sánh và chuẩn hóa tất cả dữ liệu ghi log của họ để phân tích nâng cao riêng biệt và cũng tạo ra các trường hợp sử dụng trực quan hóa.
Đọc thêm về nó tại trang web Logstash .
Tóm lược
Hãy nhớ rằng đây không phải là tất cả các hệ thống quản lý log có sẵn mà bạn có thể sử dụng trên Linux.