Table of Contents

4 buenas herramientas de gestión y supervisión de registros de código abierto para Linux

Cuando se ejecuta un sistema operativo como Linux. ocurren muchos eventos y procesos que se ejecutan en segundo plano para permitir un uso eficiente y confiable de los recursos del sistema. Estos eventos pueden ocurrir en el software del sistema, por ejemplo, el proceso init. o systemd. o aplicaciones de usuario como Apache. MySQL., FTP,. y muchos más.

Para comprender el estado del sistema y las diferentes aplicaciones y cómo funcionan, los administradores del sistema deben seguir revisando los archivos de registro a diario base en entornos de producción.

Puede imaginar tener que revisar archivos de registro de varias áreas del sistema y aplicaciones, ahí es donde los sistemas de registro resultan útiles. Ayudan a monitorear, revisar, analizar e incluso generar informes a partir de diferentes archivos de registro configurados por un administrador del sistema.

• Cómo monitorear los usos del sistema, las interrupciones y la resolución de problemas de los sistemas Linux
• Cómo administrar los registros del servidor (configurar y rotar) en Linux
• Cómo monitorear los registros del servidor Linux en tiempo real con la herramienta Log.io

En este artículo, Mire los cuatro sistemas de administración de registro de código abierto más utilizados en Linux hoy en día, el protocolo de registro estándar en la mayoría, si no en todas, las distribuciones actuales es Syslog.

1. Graylog 2

Graylog es una herramienta de administración de registro centralizada robusta y de código abierto líder que se usa ampliamente para recopilar y revisar registros en varios entornos, incluidos los entornos de prueba y producción. Es fácil de configurar y muy recomendable para pequeñas empresas.

Graylog-Gestión de registros líder en Linux freestar.con fig.enabled_slots.push

Graylog. te ayuda a recopilar fácilmente datos de varios dispositivos, incluidos conmutadores de red, enrutadores y acceso inalámbrico puntos. Se integra con el motor de análisis Elasticsearch. y aprovecha MongoDB. para almacenar datos y los registros recopilados ofrecen información detallada y son útiles para solucionar fallas y errores del sistema.

Con Graylog. obtiene una interfaz de usuario web ordenada y en reposo con paneles geniales que lo ayudan a rastrear datos sin problemas. Además, obtiene un conjunto de herramientas y funcionalidades ingeniosas que ayudan en la auditoría de cumplimiento, la búsqueda de amenazas y mucho más. Puede habilitar las notificaciones de tal manera que se active una alerta cuando se cumpla una determinada condición o se produzca un problema.

En general, Graylog. hace un buen trabajo al recopilar grandes cantidades de datos y simplifica la búsqueda y el análisis de datos. La última versión es Graylog 4.0. y ofrece nuevas características como el modo oscuro, integración con slack y ElasticSearch 7. y mucho más.

2. Logcheck

Logcheck. es otra herramienta de monitoreo de registros de código abierto que se ejecuta como un trabajo cron. Examina miles de archivos de registro para detectar violaciones o eventos del sistema que se activan. Logcheck luego envía un resumen detallado de las alertas a una dirección de correo electrónico configurada para alertar a los equipos de operaciones de un problema, como una infracción no autorizada o una falla del sistema.

Logcheck Scans Registros del sistema

En este sistema de registro se desarrollan tres niveles diferentes de filtrado de archivos de registro que incluyen:

• Paranoico. está diseñado para sistemas de alta seguridad que ejecutan muy pocos servicios como sea posible.
• Servidor. : este es el nivel de filtrado predeterminado para logcheck y sus reglas están definidas para muchos demonios del sistema diferentes. Las reglas definidas en el nivel paranoico también se incluyen en este nivel.
• Estación de trabajo. es para sistemas protegidos y ayuda a filtrar la mayoría de los mensajes. También incluye reglas definidas en los niveles paranoico y de servidor.

Logcheck también es capaz de clasificar los mensajes que se reportarán en tres capas posibles que incluyen eventos de seguridad, eventos del sistema y alertas de ataque del sistema. Un administrador del sistema puede elegir el nivel de detalles al que se informan los eventos del sistema según el nivel de filtrado, aunque esto no afecta los eventos de seguridad ni las alertas de ataque del sistema.

Logcheck proporciona las siguientes funciones:

• Plantillas de informes predefinidas.
• Un mecanismo para filtrar registros usando expresiones regulares.
• Notificaciones instantáneas por correo electrónico.
• Alertas de seguridad instantáneas.

3. Logwatch

Logwatch es una aplicación de análisis y recopilación de registros de código abierto y altamente personalizable. Analiza los registros del sistema y de las aplicaciones y genera un informe sobre cómo se ejecutan las aplicaciones. El informe se entrega en la línea de comandos o mediante una dirección de correo electrónico dedicada.

Logwatch Linux Log Analyzer

Puede personalizar fácilmente Logwatch según sus preferencias modificando los parámetros en la ruta /etc/logwatch/conf. También proporciona algo adicional en forma de scripts PERL preescritos para facilitar el análisis de registros.

Logwatch. viene con un enfoque escalonado y hay 3 ubicaciones principales donde se encuentran los detalles de configuración. definido:

• /usr/share/logwatch/default.conf/*
• /etc/logwatch/conf/dist.conf/*
• /etc/logwatch/conf/*

Todas las configuraciones predeterminadas están definidas en el archivo /usr/share/logwatch/default.conf/logwatch.conf. La práctica recomendada es dejar este archivo intacto y, en su lugar, crear su propio archivo de configuración en la ruta /etc/logwatch/conf/. copiando el archivo de configuración original y luego defina su configuración personalizada.

La última versión de Logwatch. es la versión 7.5.5 y proporciona soporte para consultar la revista systemd. directamente usando journalctl. Si no puede pagar una herramienta de administración de registros patentada, Logwatch. le dará la tranquilidad de saber que todos los eventos se registrarán y se enviarán notificaciones en caso de que algo salga mal.

4. Logstash

Logstash. es una canalización de procesamiento de datos del lado del servidor de código abierto que acepta datos de una multitud de fuentes, incluidos archivos locales o sistemas distribuidos como S3. Luego procesa los registros y los canaliza a plataformas como Elasticsearch. donde se analizan y archivan más adelante. Es una herramienta bastante poderosa, ya que puede ingerir volúmenes de registros de múltiples aplicaciones y luego enviarlos a diferentes bases de datos o motores al mismo tiempo.

Logstash: recopila, analiza, transforma registros

Logstash. estructura datos no estructurados y realiza búsquedas de geolocalización, anonimiza datos personales y escala a través de múltiples nodos. Hay una lista extensa de fuentes de datos que puede hacer que Logstash escuche la canalización, incluidos SNMP, latidos, Syslog, Kafka, títeres, registro de eventos de Windows, etc.

Logstash se basa en ‘ beats. que son remitentes de datos livianos que alimentan datos a Logstash para analizarlos y estructurarlos, etc. Los datos se envían a otros destinos como Google Cloud, MongoDB, y Elasticsearch para indexación. Logstash es un componente clave de Elastic Stack que permite a los usuarios recopilar datos en cualquier forma, analizarlos y visualizarlos en paneles interactivos.

Además, Logstash. disfruta de una comunidad generalizada soporte y actualizaciones periódicas.

Resumen

Eso es todo por ahora y recuerde que estos no son todos los sistemas de administración de registros disponibles que puede usar en Linux. Seguiremos revisando y actualizando la lista en artículos futuros. Espero que este artículo le resulte útil y que pueda informarnos sobre otras herramientas o sistemas de registro importantes dejando un comentario.