Khi một hệ điều hành như Linux đang chạy, có rất nhiều sự kiện xảy ra và các quá trình chạy ở chế độ nền để cho phép sử dụng hiệu quả và đáng tin cậy tài nguyên hệ thống. Những sự kiện này có thể xảy ra trong phần mềm hệ thống, ví dụ như quy trình init hoặc các ứng dụng người dùng như Apache, MySQL, FTP và nhiều ứng dụng khác.
Để hiểu được trạng thái của hệ thống và các ứng dụng khác nhau cũng như cách chúng đang hoạt động, quản trị viên hệ thống phải liên tục xem xét hồ sơ nhật ký hàng ngày trong môi trường sản xuất.
Bạn có thể tưởng tượng việc phải xem lại logfile từ một số khu vực hệ thống và ứng dụng, đó là nơi mà hệ thống ghi nhật ký có ích. Chúng giúp theo dõi, xem xét, phân tích và thậm chí tạo báo cáo từ các tệp nhật ký khác nhau như được định cấu hình bởi Quản trị viên hệ thống.
Trong bài viết này, Viettelco sẽ giới thiệu đến bạn 4 hệ thống quản lý ghi nhật ký mã nguồn mở được sử dụng nhiều nhất trong Linux hiện nay, giao thức ghi nhật ký tiêu chuẩn trong hầu hết các bản phân phối ngày nay là syslog.
1. Graylog 2
Đây là một hệ thống quản lý nhật ký nguồn mở được tích hợp đầy đủ cho phép Quản trị viên Hệ thống thu thập, lập chỉ mục và phân tích cả dữ liệu có khung, có hệ thống và vô tổ chức từ bất kỳ hệ thống nguồn nào có sẵn.
Công cụ quản lý nhật ký Linux Graylog
Hệ thống ghi nhật ký này có kết hợp được và cho phép quản lý nhật ký tập trung từ nhiều hệ thống. Nó được tích hợp với các thành phần bên ngoài như MongoDB cho siêu dữ liệu và Elasticsearch được sử dụng để giữ các tệp nhật ký và cho phép tìm kiếm văn bản.
Graylog 2 có các tính năng sau:
- Bao gồm một bảng điều khiển và một hệ thống cảnh báo
- Có thể làm việc trên dữ liệu từ bất kỳ nguồn nhật ký nào
- Cho phép xử lý nhật ký thời gian thực
- Cho phép phân tích cú pháp dữ liệu phi cấu trúc
- Có thể mở rộng và tùy biến cao
- Cung cấp một trung tâm dữ liệu hoạt động
Để biết thêm thông tin, hãy xem trang web Graylog 2 .
2. Logcheck
Logcheck là một hệ thống quản lý nhật ký mã nguồn mở giúp Quản trị viên hệ thống tự động xác định các vấn đề chưa biết và vi phạm bảo mật trong các tệp nhật ký. Nó định kỳ gửi thông báo về kết quả phân tích đến một địa chỉ email đã được cấu hình.
Logcheck Quét nhật ký hệ thống
Logcheck được thiết kế như một cronjob trên cơ sở hàng giờ và trên mọi hệ thống khởi động lại theo mặc định. Ba cấp độ lọc logfile khác nhau được phát triển trong hệ thống ghi nhật ký này bao gồm:
- Paranoid: dành cho các hệ thống bảo mật cao đang chạy ít dịch vụ nhất có thể.
- Máy chủ: đây là mức lọc mặc định cho kiểm tra đăng nhập và các quy tắc của nó được xác định cho nhiều daemon hệ thống khác nhau. Các quy tắc được xác định dưới cấp độ hoang tưởng cũng được bao gồm trong cấp độ này.
- Máy trạm: nó dành cho các hệ thống được bảo vệ và giúp lọc hầu hết các thông báo. Nó cũng bao gồm các quy tắc được xác định dưới cấp độ paranoid và máy chủ.
Logcheck cũng có khả năng sắp xếp các thông báo được báo cáo thành ba lớp có thể bao gồm, sự kiện bảo mật, sự kiện hệ thống và cảnh báo tấn công hệ thống. Quản trị viên hệ thống có thể chọn mức chi tiết mà các sự kiện hệ thống được báo cáo tùy thuộc vào mức lọc mặc dù điều này không ảnh hưởng đến các sự kiện bảo mật và cảnh báo tấn công hệ thống.
Đọc thêm về nó tại trang web check log của nhóm Phát triển
3. Logwatch
Logwatch là một trình phân tích và báo cáo tệp nhật ký hệ thống Linux / Unix có thể dễ dàng tùy chỉnh và nó cũng cho phép Quản trị viên hệ thống thêm các plugin bổ sung, tạo các tập lệnh tùy chỉnh phục vụ nhu cầu ghi nhật ký cụ thể.
Logwatch Linux Log Analyzer
Những gì nó làm là xem xét hồ sơ hệ thống trong một khoảng thời gian nhất định và sau đó tạo một báo cáo dựa trên các khu vực hệ thống mà bạn muốn thu thập thông tin. Một tính năng của hệ thống ghi nhật ký này là nó rất dễ sử dụng cho Quản trị viên Hệ thống mới và nó cũng hoạt động trên hầu hết các bản phân phối Linux có sẵn và nhiều hệ thống Unix.
Truy cập trang chủ dự án của Logwatch để có thêm thông tin chi tiết.
4. Logstash
Logstash cũng là một hệ thống ghi và thu thập dữ liệu mã nguồn mở có sẵn trên Linux, có khả năng tổng hợp thời gian thực, ban đầu được thiết kế để thu thập dữ liệu nhưng các phiên bản mới của nó hiện đã tích hợp một số khả năng khác như sử dụng nhiều định dạng dữ liệu đầu vào, lọc và cũng xuất ra các plugin và định dạng.
LogStash
Nó có thể thống nhất dữ liệu một cách hiệu quả từ các hệ thống nguồn nhật ký khác nhau và chuẩn hóa dữ liệu thành các mục tiêu do Quản trị viên hệ thống lựa chọn. Logstash cũng cho phép Quản trị viên hệ thống làm sạch, so sánh và chuẩn hóa tất cả dữ liệu ghi nhật ký của họ cho các phân tích nâng cao riêng biệt và cũng tạo ra các trường hợp sử dụng trực quan hóa.
Đọc thêm về nó tại trang web Logstash .
Tóm lược
Đó là hiện tại và hãy nhớ rằng đây không phải là tất cả các hệ thống quản lý nhật ký có sẵn mà bạn có thể sử dụng trên Linux. Chúng tôi sẽ tiếp tục xem xét và cập nhật danh sách trong các bài viết sau, tôi hy vọng bạn thấy bài viết này hữu ích và bạn có thể cho chúng tôi biết về các công cụ hoặc hệ thống ghi nhật ký quan trọng khác bằng cách để lại nhận xét.