Lorsqu’un système d’exploitation tel que Linux est en cours d’exécution, de nombreux événements se produisent et des processus s’exécutent en arrière-plan pour permettre une utilisation efficace et fiable des ressources système. Ces événements peuvent se produire dans le logiciel système, par exemple init ou systemd processus ou applications utilisateur telles que Apache, MySQL, FTP, et beaucoup plus.
Afin de comprendre l’état du système et des différentes applications et leur fonctionnement, les administrateurs système doivent continuer à examiner quotidiennement les fichiers journaux dans les environnements de production.
Vous pouvez imaginer devoir passer en revue les fichiers journaux de plusieurs zones système et applications, c’est là que les systèmes de journalisation sont utiles. Ils aident à surveiller, examiner, analyser et même générer des rapports à partir de différents fichiers journaux configurés par un administrateur système.
Dans cet article, nous examinerons les quatre systèmes de gestion de journalisation open source les plus utilisés sous Linux aujourd’hui, le protocole de journalisation standard dans la plupart sinon toutes les distributions aujourd’hui est Syslog.
1. Graylog 2
Graylog est un leader open-source et robuste outil de gestion centralisée de la journalisation largement utilisé pour collecter et examiner les journaux dans divers environnements, y compris les environnements de test et de production. Il est facile à mettre en place et est fortement recommandé pour les petites entreprises.
Graylog vous aide à collecter facilement des données à partir de plusieurs appareils, notamment des commutateurs réseau, des routeurs et des points d’accès sans fil. Il s’intègre avec Elasticsearch moteur d’analyse et exploite MongoDB pour stocker les données et les journaux collectés offrent des informations approfondies et sont utiles pour dépanner les pannes et les erreurs du système.
Avec Graylog, vous obtenez une interface Web soignée et endormie avec des tableaux de bord sympas qui vous aident à suivre les données de manière transparente. De plus, vous bénéficiez d’un ensemble d’outils et de fonctionnalités astucieux qui vous aident dans l’audit de conformité, la recherche de menaces et bien plus encore. Vous pouvez activer les notifications de manière à ce qu’une alerte soit déclenchée lorsqu’une certaine condition est remplie ou qu’un problème survient.
Globalement, Graylog fait un très bon travail en rassemblant de grandes quantités de données et simplifie la recherche et l’analyse des données. La dernière version est Graylog 4.0 et offre de nouvelles fonctionnalités telles que le mode sombre, l’intégration avec slack et ElasticSearch 7 et bien plus.
2. Logcheck
Vérification du journal est encore un autre outil de surveillance des journaux open source qui est exécuté en tant que tâche cron. Il passe au crible des milliers de fichiers journaux pour détecter les violations ou les événements système déclenchés. Logcheck envoie ensuite un résumé détaillé des alertes à une adresse e-mail configurée pour alerter les équipes opérationnelles d’un problème tel qu’une violation non autorisée ou une défaillance du système.
Trois niveaux différents de filtrage des fichiers journaux sont développés dans ce système de journalisation qui comprend:
- Paranoïaque: est destiné aux systèmes de haute sécurité qui exécutent très peu de services possible.
- Serveur: il s’agit du niveau de filtrage par défaut pour logcheck et ses règles sont définies pour de nombreux démons système différents. Les règles définies sous le niveau paranoïaque sont également incluses sous ce niveau.
- Poste de travail: il est destiné aux systèmes protégés et permet de filtrer la plupart des messages. Il comprend également des règles définies sous les niveaux paranoïaque et serveur.
Logcheck est également capable de trier les messages à signaler en trois couches possibles, notamment les événements de sécurité, les événements système et les alertes d’attaque système. Un administrateur système peut choisir le niveau de détails auquel les événements système sont signalés en fonction du niveau de filtrage, bien que cela n’affecte pas les événements de sécurité et les alertes d’attaque système.
Logcheck offre les fonctionnalités suivantes:
- Modèles de rapport prédéfinis.
- Un mécanisme de filtrage des journaux à l’aide d’expressions régulières.
- Notifications instantanées par e-mail.
- Alertes de sécurité instantanées.
3. Logwatch
Logwatch est une application de collecte et d’analyse de journaux open source et hautement personnalisable. Il analyse les journaux du système et des applications et génère un rapport sur le fonctionnement des applications. Le rapport est livré soit en ligne de commande, soit via une adresse e-mail dédiée.
Vous pouvez facilement personnaliser Logwatch selon vos préférences en modifiant les paramètres dans le / etc / logwatch / conf chemin. Il fournit également quelque chose de plus en termes de scripts PERL pré-écrits pour faciliter l’analyse des journaux.
Logwatch est livré avec une approche à plusieurs niveaux et il existe 3 emplacements principaux où les détails de configuration sont définis:
- /usr/share/logwatch/default.conf/*
- /etc/logwatch/conf/dist.conf/*
- / etc / logwatch / conf / *
Tous les paramètres par défaut sont définis dans le /usr/share/logwatch/default.conf/logwatch.conf déposer. La pratique recommandée consiste à laisser ce fichier intact et à créer à la place votre propre fichier de configuration / etc / logwatch / conf / chemin en copiant le fichier de configuration d’origine, puis définissez vos paramètres personnalisés.
La dernière version de Logwatch est la version 7.5.5 et fournit un support pour interroger le systemd journal en utilisant directement journalctl. Si vous ne pouvez pas vous permettre un outil de gestion des journaux propriétaire, Logwatch vous donnera la tranquillité d’esprit en sachant que tous les événements seront enregistrés et que des notifications seront envoyées en cas de problème.
4. Logstash
Logstash est un pipeline de traitement de données open-source côté serveur qui accepte les données d’une multitude de sources, y compris des fichiers locaux ou des systèmes distribués comme S3. Il traite ensuite les journaux et les achemine vers des plates-formes telles que Elasticsearch où ils sont analysés et archivés ultérieurement. C’est un outil assez puissant car il peut ingérer des volumes de journaux à partir de plusieurs applications et les exporter plus tard vers différentes bases de données ou moteurs en même temps.
Logstash structure les données non structurées et effectue des recherches de géolocalisation, anonymise les données personnelles et évolue également sur plusieurs nœuds. Il existe une longue liste de sources de données que vous pouvez faire écouter à Logstash, notamment SNMP, heartbeats, Syslog, Kafka, puppet, journal des événements Windows, etc.
Logstash s’appuie sur ‘Beats‘qui sont des expéditeurs de données légers qui fournissent des données à Logstash pour l’analyse et la structuration, etc. Les données sont ensuite envoyées vers d’autres destinations telles que Google Cloud, MongoDB et Elasticsearch pour l’indexation. Logstash est un composant clé d’Elastic Stack qui permet aux utilisateurs de rassembler des données sous n’importe quelle forme, de les analyser et de les visualiser sur des tableaux de bord interactifs.
De plus, est-ce que Logstash bénéficie d’un large soutien de la communauté et de mises à jour régulières.
Résumé
C’est tout pour le moment et rappelez-vous que ce ne sont pas tous les systèmes de gestion de journaux disponibles que vous pouvez utiliser sous Linux. Nous continuerons à examiner et à mettre à jour la liste dans les prochains articles, j’espère que vous trouverez cet article utile et que vous pourrez nous faire part d’autres outils ou systèmes de journalisation importants en laissant un commentaire.
Si vous appréciez ce que nous faisons ici sur TecMint, vous devriez considérer:
TecMint est le site communautaire à la croissance la plus rapide et le plus fiable pour tout type d’articles, de guides et de livres Linux sur le Web. Des millions de personnes visitent TecMint! pour rechercher ou parcourir les milliers d’articles publiés disponibles GRATUITEMENT à tous.
Si vous aimez ce que vous lisez, pensez à nous acheter un café (ou 2) en guise de remerciement.
Nous sommes reconnaissants de votre soutien sans fin.
.