Linux用の4つの優れたオープンソースログ監視および管理ツール


Linuxなどのオペレーティングシステムが実行されている場合、システムリソースの効率的で信頼性の高い使用を可能にするために、バックグラウンドで実行される多くのイベントとプロセスがあります。これらのイベントは、initまたはsystemdプロセスなどのシステムソフトウェア、またはApache、MySQL、FTPなどのユーザーアプリケーションで発生する可能性があります。

システムとさまざまなアプリケーションの状態、およびそれらがどのように機能しているかを理解するために、システム管理者は実稼働環境でログファイルを毎日確認し続ける必要があります。

いくつかのシステム領域とアプリケーションからのログファイルを確認する必要があることを想像できます。そこでは、ログシステムが役に立ちます。これらは、システム管理者が構成したさまざまなログファイルからレポートを監視、確認、分析、さらには生成するのに役立ちます。

  • How to Monitor System Usages, Outages and Troubleshoot Linux Systems
  • How to Manage Server Logs (Configure and Rotate) in Linux
  • How to Monitor Linux Server Logs Real-Time with Log.io Tool

この記事では、今日Linuxで最も使用されているオープンソースのログ管理システムのトップ4を見ていきます。今日のすべてではないにしても、ほとんどのディストリビューションの標準ログプロトコルはSyslogです。

1.グレイログ2

Graylogは、テスト環境や本番環境を含むさまざまな環境でログを収集およびレビューするために広く使用されている、主要なオープンソースの堅牢な集中ログ管理ツールです。セットアップは簡単で、中小企業に強くお勧めします。

Graylogを使用すると、ネットワークスイッチ、ルーター、ワイヤレスアクセスポイントなどの複数のデバイスからデータを簡単に収集できます。 Elasticsearch分析エンジンと統合し、MongoDBを利用してデータを保存し、収集されたログは深い洞察を提供し、システムの障害やエラーのトラブルシューティングに役立ちます。

Graylogを使用すると、データをシームレスに追跡するのに役立つクールなダッシュボードを備えた、すっきりとしたスリープ状態のWebUIを取得できます。また、コンプライアンス監査、脅威検索などに役立つ一連の優れたツールと機能を利用できます。特定の条件が満たされたとき、または問題が発生したときにアラートがトリガーされるように、通知を有効にすることができます。

全体として、Graylogは大量のデータを照合するのに非常に優れており、データの検索と分析を簡素化します。最新バージョンはGraylog4.0で、ダークモード、slackおよびElasticSearch7との統合などの新機能を提供します。

2.ログチェック

Logcheckは、cronジョブとして実行されるさらに別のオープンソースのログ監視ツールです。何千ものログファイルをふるいにかけて、トリガーされた違反やシステムイベントを検出します。次に、Logcheckは、アラートの詳細な要約を構成済みの電子メールアドレスに送信して、不正な違反やシステム障害などの問題を運用チームに警告します。

このロギングシステムでは、次の3つの異なるレベルのログファイルフィルタリングが開発されています。

  • Paranoid: is intended for high-security systems that are running very few services as possible.
  • Server: this is the default filtering level for logcheck and its rules are defined for many different system daemons. The rules defined under the paranoid level are also included under this level.
  • Workstation: it is for sheltered systems and helps to filter most of the messages. It also includes rules defined under paranoid and server levels.

Logcheckは、報告されるメッセージを、セキュリティイベント、システムイベント、およびシステム攻撃アラートを含む3つの可能なレイヤーに分類することもできます。システム管理者は、フィルタリングレベルに応じて、システムイベントが報告される詳細レベルを選択できますが、これはセキュリティイベントやシステム攻撃アラートには影響しません。

Logcheckは、次の機能を提供します。

  • Predefined report templates.
  • A mechanism for filtering logs using regular expressions.
  • Instant email notifications.
  • Instant security alerts.

3.ログウォッチ

Logwatchは、オープンソースで高度にカスタマイズ可能なログ収集および分析アプリケーションです。システムログとアプリケーションログの両方を解析し、アプリケーションの実行状況に関するレポートを生成します。レポートは、コマンドラインまたは専用の電子メールアドレスを介して配信されます。

/ etc/logwatch/confパスのパラメーターを変更することで、Logwatchを好みに合わせて簡単にカスタマイズできます。また、ログの解析を容易にするために、事前に作成されたPERLスクリプトの方法で何か特別なものを提供します。

Logwatchには階層型アプローチが付属しており、構成の詳細が定義される主な場所は3つあります。

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

すべてのデフォルト設定は、/ usr/share/logwatch/default.conf /logwatch.confファイルで定義されています。推奨される方法は、このファイルをそのままにして、代わりに元の構成ファイルをコピーして/ etc/logwatch/conf /パスに独自の構成ファイルを作成し、カスタム設定を定義することです。

Logwatchの最新バージョンはバージョン7.5.5であり、journalctlを使用してsystemdジャーナルに直接クエリを実行するためのサポートを提供します。独自のログ管理ツールを購入する余裕がない場合、Logwatchを使用すると、問題が発生した場合にすべてのイベントがログに記録され、通知が配信されるので安心できます。

4.Logstash

Logstashは、ローカルファイルやS3などの分散システムを含む多数のソースからデータを受け入れるオープンソースのサーバー側データ処理パイプラインです。次に、ログを処理し、Elasticsearchなどのプラットフォームに送って、後で分析してアーカイブします。複数のアプリケーションから大量のログを取り込み、後でそれらをすべて同時に異なるデータベースまたはエンジンに出力できるため、非常に強力なツールです。

Logstashは、非構造化データを構造化し、ジオロケーションルックアップを実行し、個人データを匿名化し、複数のノードにまたがってスケーリングします。 SNMP、ハートビート、Syslog、Kafka、puppet、Windowsイベントログなど、Logstashにパイプをリッスンさせることができるデータソースの広範なリストがあります。

Logstashは、解析や構造化などのためにLogstashにデータを供給する軽量のデータシッパーである「ビート」に依存しています。データは、インデックス作成のためにGoogle Cloud、MongoDB、Elasticsearchなどの他の宛先に送信されます。 Logstashは、Elastic Stackの重要なコンポーネントであり、ユーザーが任意の形式でデータを照合し、解析して、インタラクティブなダッシュボードで視覚化できるようにします。

さらに、Logstashは広範なコミュニティサポートと定期的な更新を楽しんでいます。

概要

今のところこれで終わりです。Linuxで使用できるログ管理システムがすべてではないことを忘れないでください。今後の記事でリストの確認と更新を続けていきます。この記事がお役に立てば幸いです。コメントを残して、他の重要なロギングツールやシステムについてお知らせください。