L’analisi dei log è un’operazione molto importante perché in grado di rivelare non solo eventuali attività sospette (login con account compromessi, scansioni del perimetro di sicurezza “esterno” in preparazione di un attacco etc.) ma anche di offrire una panoramica delle prestazioni globali del network. Non bisogna poi dimenticare che i log consentono anche di tracciare gli spostamenti dei dati, uno dei requisiti fondamentali per qualsiasi azienda abbia a che fare con il GDPR.
Linux.com, il portale supervisionato dalla Linux Foundation, ha selezionato una raccolta di cinque utili strumenti open source per agevolare l’analisi dei log, vediamo quali.
Graylog
Graylog è un software che, ad otto anni dalla sua prima release, gode di una buona reputazione nel mondo dei sysadmin. Tra i suoi punti di forza ci sono la possibilità di adeguarsi in corso d’opera all’eventuale crescita di un progetto (scalabilità) e l’interfaccia semplice costruita attorno al concetto delle “dashboard”, schermate in cui l’admin potrà definire molteplici parametri (fonte dei dati, modalità di rappresentazione dei dati, metriche da adoperare etc.).
La possibilità di eseguire contemporaneamente ricerche multiple permette di velocizzare l’individuazione delle cause correlate ad eventuali problematiche di sicurezza e/o cali prestazionali.
Nagios
Nagios è un log server lanciato nel 1999 da un singolo sviluppatore. Grazie ad una comoda procedura guidata può essere integrato agevolmente con nuove applicazioni ed endpoint. Le sue funzionalità sono adatte in particolare modo per monitorare la sicurezza delle reti locali.
Gli admin più esigenti potranno inoltre impostare una serie di script personalizzati (in modo da gestire automaticamente determinate situazioni senza l’intervento umano) e filtrare i dati acquisiti in base alla provenienza geografica – utili per osservare il flusso del traffico web.
Elastic Stack (ELK Stack)
Soluzione destinata principalmente a compagnie che necessitano di analizzare ingenti quantità di dati. ELK Stack è costituito dai seguenti prodotti: Elasticsearch (ricerche ed analisi nell’archivio dati, se esteso a più cluster è in grado di gestire agilmente petabyte di informazioni); Kibana (per la creazione di report e la rappresentazione “visuale” delle informazioni analizzate); Logstash (per la raccolta/trasformazione simultanea di dati da molteplici fonti, questi ultimi possono essere poi inviati ad Elasticsearch per la procedura di analisi). ELK può inoltre analizzare le applicazioni che si appoggiano ad installazioni open source di WordPress (funzionalità unica rispetto alla concorrenza).
LOGalyze
Strumento pensato per ricevere dati da molteplici fonti (server, dispositivi di rete, applicazioni) ed elaborare report dinamici da esportare in vari formati (PDF, Excel etc.). LOGalyze è in grado di combinare i campi dati di svariati server ed applicazioni offrendo una panoramica esaustive degli eventuali trend prestazionali.
Per le aziende che devono rispettare determinate normative e presentare obbligatoriamente dei report in uno specifico formato, il software offre delle procedure preimpostate da utilizzare in base alle esigenze. LOGalyze è disponibile come download gratuito per l’uso personale e commerciale.
Fluentd
Lo scopo principale di Fluentd è quello di ricevere ed organizzare dati da fonti multiple per poi inviarli a strumenti d’analisi come Nagios ed ELK. Da questo punto di vista Fluentd opera quindi come un layer intermedio di raccolta e smistamento delle informazioni.
L’elevata compatibilità con le più comuni tecnologie (sensori, database, web server etc.) e l’ampia scelta di plugin (oltre 500) lo rendono una delle soluzioni più adottate dalle grandi compagnie – ma è possibile implementarla anche nelle piccole e medie imprese.
Fonte: 1.