Logcheck также может сортировать сообщения, которые будут отправлены в отчет, по трем возможным уровням, включая события безопасности, системные события и предупреждения об атаках на систему.
Системный администратор может выбрать уровень детализации отчетов о системных событиях в зависимости от уровня фильтрации, хотя это не влияет на события безопасности и предупреждения о системных атаках.
Logcheck предоставляет следующие возможности:
- Предустановленные шаблоны отчетов.
- Механизм фильтрации логов с использованием регулярных выражений.
- Мгновенные уведомления по электронной почте.
- Мгновенные оповещения системы безопасности.
3. Logwatch
Logwatch – это приложение с открытым исходным кодом и широкими возможностями настройки для сбора и анализа логов.
Он анализирует журналы системы и приложений и создает отчет о работе приложений.
Отчет доставляется либо из командной строки, либо через специальный адрес электронной почты.
- /usr/share/logwatch/default.conf/*
- /etc/logwatch/conf/dist.conf/*
- /etc/logwatch/conf/*
Все настройки по умолчанию определены в файле /usr/share/logwatch/default.conf/logwatch.conf.
Рекомендуется оставить этот файл нетронутым и вместо этого создать свой собственный файл конфигурации по пути /etc/logwatch/conf/, скопировав исходный файл конфигурации, а затем определив свои собственные настройки.
Последней версией Logwatch является версия 7.5.5, и она обеспечивает поддержку запросов к журналу systemd напрямую с помощью journalctl.
Если вы не можете позволить себе проприетарный инструмент управления журналами, Logwatch даст вам спокойствие, зная, что все события будут регистрироваться, а уведомления будут доставляться в случае, если что-то пойдет не так.
4. Logstash
Logstash – это конвейер обработки данных на стороне сервера с открытым исходным кодом, который принимает данные из множества источников, включая локальные файлы или распределенные системы, такие как S3.
Затем он обрабатывает журналы и направляет их на такие платформы, как Elasticsearch, где они анализируются и архивируются.
Это довольно мощный инструмент, поскольку он может принимать объемы журналов из нескольких приложений, а затем выводить их в разные базы данных или системы одновременно.
Logstash структурирует неструктурированные данные и выполняет поиск по геолокации, анонимизирует личные данные и масштабируется на нескольких узлах.
Существует обширный список источников данных, которые вы можете настроить в Logstash для прослушивания канала, включая SNMP, контрольные сообщения, Syslog, Kafka, puppet,, журнал событий Windows и т. д. Logstash полагается на «beats», которые представляют собой легкие отправители данных, которые передают данные в Logstash для анализа и структурирования и т. д.
Затем данные отправляются в другие места назначения, такие как Google Cloud, MongoDB и Elasticsearch для индексации.
Logstash – ключевой компонент Elastic Stack, который позволяет пользователям сопоставлять данные в любой форме, анализировать их и визуализировать на интерактивных панелях мониторинга.
Более того, Logstash пользуется широкой поддержкой сообщества и регулярно обновляется.