網(wǎng)絡(luò)管理員如果想在企業(yè)的大型網(wǎng)絡(luò)中掌握網(wǎng)絡(luò)性能，離不開對(duì)網(wǎng)絡(luò)日志的分析，幫助你在網(wǎng)絡(luò)性能出現(xiàn)問(wèn)題時(shí)，及早發(fā)現(xiàn)。哪些日志分析工具會(huì)成為你的得力助手?

為什么需要日志分析工具?

連接到網(wǎng)絡(luò)的每個(gè)設(shè)備或應(yīng)用都會(huì)創(chuàng)建日志文件。網(wǎng)絡(luò)管理員使用這些日志文件來(lái)查看性能數(shù)據(jù)。這些工具很有用，因?yàn)樗鼈兲峁┝藢?duì)用戶本來(lái)不具備的數(shù)據(jù)的訪問(wèn)權(quán)限。日志分析工具從設(shè)備的日志文件中收集數(shù)據(jù)，并將其轉(zhuǎn)換為易于閱讀的格式。

在日志分析工具中，以圖形將性能的相關(guān)數(shù)據(jù)顯示到儀表盤。以這種集中格式，讀取性能數(shù)據(jù)要比嘗試直接讀取日志文件作為文本文件容易得多。

1. SolarWinds Log & Event Manager

SolarWinds Log&Event Manager是Windows的日志分析工具，可提供集中的日志監(jiān)控體驗(yàn)。該平臺(tái)提供事件時(shí)間檢測(cè)，幫助用戶快速檢測(cè)問(wèn)題所在。由SolarWinds Log&Event Manager處理的數(shù)據(jù)在傳輸過(guò)程中會(huì)進(jìn)行加密，未經(jīng)授權(quán)無(wú)法讀取。

SolarWinds Log&Event Manager提供的響應(yīng)能力是其***的優(yōu)勢(shì)。一旦檢測(cè)到問(wèn)題，該工具可以自動(dòng)響應(yīng)阻止IP，關(guān)閉應(yīng)用，改變?cè)L問(wèn)權(quán)限，禁用帳戶，USB設(shè)備等。能夠應(yīng)對(duì)這些問(wèn)題有助于將風(fēng)險(xiǎn)降至***。

為了進(jìn)一步分析，可以將日志結(jié)果(規(guī)范化日志或特定日志文件)轉(zhuǎn)發(fā)給團(tuán)隊(duì)的其他成員或轉(zhuǎn)化為報(bào)告。SolarWinds Log&Event Manager提供的報(bào)告符合HIPAA，PCI DSS，SOX，DISA和STIG。報(bào)告功能的范圍使該工具非常適合需要高度合規(guī)性的大型企業(yè)。

總體而言，SolarWinds Log&Event Manager是基于威脅響應(yīng)能力和法規(guī)遵從性的***選擇。它提供一個(gè)30天的免費(fèi)試用。

2. PRTG Network Monitor

PRTG Network Monitor是一個(gè)網(wǎng)絡(luò)監(jiān)控平臺(tái)，包括Windows事件日志傳感器和Syslog接收傳感器。Windows事件日志傳感器監(jiān)控Windows系統(tǒng)和應(yīng)用日志文件，并顯示日志消息的速率。該系統(tǒng)日志接收傳感器記錄的由設(shè)備在網(wǎng)絡(luò)中發(fā)送的每秒系統(tǒng)日志文件的數(shù)量和過(guò)濾。過(guò)濾器是可自定義的，因此可以確定哪些活動(dòng)將觸發(fā)警報(bào)。

PRTG Network Monitor提供的通知系統(tǒng)具有高度可定制性?？梢源_定是否要通過(guò)電子郵件，短信或推送通知來(lái)接收。警報(bào)選項(xiàng)范圍意味著你幾乎可以在任何設(shè)備上從PRTG接收網(wǎng)絡(luò)性能更新。

它的免費(fèi)版本最多支持100個(gè)傳感器，之后你必須使用付費(fèi)版本。它也提供30天的免費(fèi)試用。

3. Papertrail

Papertrail是Windows的日志分析器，可自動(dòng)掃描日志數(shù)據(jù)。掃描日志數(shù)據(jù)時(shí)，可以選擇希望掃描結(jié)果顯示的信息。例如，可以選擇掃描是否包含IP地址，電子郵件地址， GUID/UUID，HTTP(s)URL，域，主機(jī)，文件名和引用文本。

Papertrail的一個(gè)重點(diǎn)是事件的解決。為了幫助你更快地找到安全事件的原因，可以按時(shí)間，來(lái)源或選擇的自定義字段篩選日志事件。以這種方式過(guò)濾日志可以消除不相關(guān)的數(shù)據(jù)，并專注于最重要的數(shù)據(jù)。

Papertrail提供的另一種類似過(guò)濾選項(xiàng)允許你檢測(cè)日志數(shù)據(jù)的趨勢(shì)?？梢园丛?，數(shù)據(jù)，嚴(yán)重性級(jí)別，工具或消息內(nèi)容過(guò)濾事件。過(guò)濾后的搜索完成后，你將能夠在屏幕底部查看結(jié)果圖表。

Papertrail易于部署的日志分析器的理想選擇。它提供免費(fèi)的計(jì)劃，允許你每月監(jiān)控多達(dá)100 MB的數(shù)據(jù)。

4. Splunk

Splunk使用最廣泛的日志管理平臺(tái)之一。Splunk實(shí)時(shí)監(jiān)控日志和數(shù)據(jù)。Splunk的多功能性使其能夠從網(wǎng)絡(luò)中的幾乎任何設(shè)備或應(yīng)用中獲取日志數(shù)據(jù)。使用時(shí)，可以使用搜索欄查看實(shí)時(shí)和歷史數(shù)據(jù)。還有搜索建議可幫助你更輕松地找到所需信息。

為確保不會(huì)遺漏任何重要內(nèi)容，Splunk會(huì)提供實(shí)時(shí)警報(bào)。警報(bào)可以通過(guò)電子郵件或RSS發(fā)送。警報(bào)具有可配置的閾值和觸發(fā)條件，因此可以確定將生成通知的活動(dòng)。警報(bào)中包含的支持信息可幫助你縮短事件解決時(shí)間。

Splunk可在Windows，Mac OS和Linux上使用。Splunk有三種版本：Splunk Enterprise，Splunk Cloud和Splunk Free。Splunk Enterprise每天支持***用戶和***量的數(shù)據(jù)。Splunk Cloud是一種云服務(wù)，支持***用戶和***數(shù)據(jù)。

Splunk Free是免費(fèi)提供的，每位用戶最多可以支持500 MB的數(shù)據(jù)。

5. XpoLog

XpoLog可以通過(guò)網(wǎng)絡(luò)收集和分析來(lái)自設(shè)備的日志。XpoLog實(shí)時(shí)監(jiān)控日志以發(fā)現(xiàn)性能問(wèn)題并創(chuàng)建警報(bào)。用戶可以定義警報(bào)規(guī)則并實(shí)施自己的過(guò)濾規(guī)則。

XpoLog能脫穎而出的一個(gè)特點(diǎn)是它的AI驅(qū)動(dòng)的錯(cuò)誤檢測(cè)。AI可以發(fā)現(xiàn)錯(cuò)誤，安全風(fēng)險(xiǎn)，并區(qū)分表明性能不佳的日志模式。錯(cuò)誤檢測(cè)用于自動(dòng)化日志管理，并確保你不會(huì)錯(cuò)過(guò)任何有問(wèn)題的活動(dòng)。但是，如果想仔細(xì)查看，可以使用自動(dòng)日志搜索功能在運(yùn)行手動(dòng)搜索時(shí)查看。

XpoLog的價(jià)格取決于你需要的用戶數(shù)，保留數(shù)和數(shù)據(jù)量。Basic版本是免費(fèi)的，每天支持1GB，5天數(shù)據(jù)保留。

6. ManageEngine EventLog Analyzer

ManageEngine EventLog Analyzer提供簡(jiǎn)化的用戶體驗(yàn)。ManageEngine EventLog Analyzer從數(shù)據(jù)庫(kù)平臺(tái)，Web服務(wù)器，路由器，交換機(jī)，虛擬機(jī)管理軟件，漏洞掃描程序，Linux系統(tǒng)，Unix系統(tǒng)，防火墻和端點(diǎn)安全解決方案中收集日志。

為了幫助你導(dǎo)航日志數(shù)據(jù)，ManageEngine EventLog Analyzer使用警報(bào)系統(tǒng)。如果程序檢測(cè)到需要你注意的事項(xiàng)，警報(bào)可以自定義并通過(guò)電子郵件或短信實(shí)時(shí)提醒。警報(bào)分為高，中或低優(yōu)先級(jí)，以幫助你適當(dāng)?shù)仨憫?yīng)通知。

它遵守法規(guī)的多項(xiàng)政策，包括HIPAA，PCI DSS，ISO 27001，GLBA，SOX，F(xiàn)ISMA等。合規(guī)性報(bào)告有助于確保你擁有使企業(yè)免于繁文縟節(jié)所需的所有文檔。例如，HIPAA合規(guī)性報(bào)告對(duì)象的處理，成功的用戶登錄/注銷和系統(tǒng)日志，以確保有明確的用戶活動(dòng)記錄。

ManageEngine EventLog Analyzer適用于32位和64位的Windows和Linux。你可以下載兩個(gè)版本：免費(fèi)版和高級(jí)版。免費(fèi)版最多支持五個(gè)日志源，而高級(jí)版支持多達(dá)1000個(gè)日志源。

7. LOGalyze

LOGalyze是一款面向企業(yè)用戶的開源日志分析器和網(wǎng)絡(luò)監(jiān)控工具。該產(chǎn)品支持具有實(shí)時(shí)事件檢測(cè)功能的設(shè)備，Windows主機(jī)和Linux / Unix服務(wù)器。收集日志數(shù)據(jù)后，可以使用程序的搜索功能查找所需的信息。

用戶還可以定義自己的警報(bào)。提出警報(bào)后，可以創(chuàng)建故障單以記錄問(wèn)題，直到問(wèn)題得到解決。還有一些預(yù)定報(bào)告形式的文檔，可以使用它們查看有關(guān)網(wǎng)絡(luò)狀態(tài)的定期更新。報(bào)告符合PCI-DSS，SOX等。

作為一種低成本替代方案，LOGalyze提供了日志監(jiān)控體驗(yàn)，可以勝任此列表中的任何專有工具。該工具特別適合尋求經(jīng)濟(jì)實(shí)惠的日志管理解決方案的小型企業(yè)。

8. Datadog

使用Datadog可以記錄和搜索來(lái)自各種設(shè)備和應(yīng)用程序的日志數(shù)據(jù)。Datadog的可視化以圖形的形式顯示日志數(shù)據(jù)，因此可以看到網(wǎng)絡(luò)性能隨時(shí)間的變化情況。

如果需要進(jìn)一步自定義，則可以通過(guò)拖放創(chuàng)建唯一的日志分析儀表板?？梢詫?shí)時(shí)和歷史地查看日志數(shù)據(jù)。一旦Datadog記錄了日志數(shù)據(jù)，就可以使用過(guò)濾器來(lái)確定列出的信息。

為了防止日志數(shù)據(jù)泄露，Datadog使用集中存儲(chǔ)，以便服務(wù)器上不會(huì)留下任何數(shù)據(jù)。集中存儲(chǔ)的主要好處是你的數(shù)據(jù)在發(fā)生中斷時(shí)受到保護(hù)。

還有智能警報(bào)使用機(jī)器學(xué)習(xí)來(lái)檢測(cè)異常日志模式和錯(cuò)誤。警報(bào)可以通過(guò)Slack和PagerDuty等工具發(fā)送。

Datadog提供14天免費(fèi)試用版。

9. EventTracker

流行的網(wǎng)絡(luò)監(jiān)控工具WhatsUp Gold背后的團(tuán)隊(duì)IpSwitch也有一個(gè)名為EventTracker的日志管理解決方案。EventTracker可以收集和分析Windows事件，Syslog和W3C/IIS日志文件中的日志數(shù)據(jù)。該程序可以實(shí)時(shí)檢測(cè)安全事件。EventTracker的實(shí)時(shí)日志分析功能使其成為事件檢測(cè)和響應(yīng)的理想選擇。

實(shí)時(shí)事件警報(bào)為日志活動(dòng)提供了額外的可見性。有提供數(shù)百種不同的警報(bào)外的開箱與EventTracker。警報(bào)包括取證分析，以便你在對(duì)安全事件的解決方案進(jìn)行故障排除時(shí)可以使用其他數(shù)據(jù)。

為了讓團(tuán)隊(duì)了解事件日志的發(fā)展，EventTracker會(huì)自動(dòng)將報(bào)告分發(fā)給關(guān)鍵員工，經(jīng)理和相關(guān)者。報(bào)告符合HIPAA，Sarbanes，OXLEY，PCI DSS，NISPOM，MiFID和FISMA。有超過(guò)1500種不同的報(bào)告供選擇。使用這些報(bào)告中的信息有助于確定網(wǎng)絡(luò)中是否存在需要解決的漏洞。

如果你正在尋找易于使用的Windows日志管理解決方案，那么EventTracker值得試試。

10. LogDNA

LogDNA可以實(shí)時(shí)監(jiān)控日志數(shù)據(jù)。此工具基于云，并且在不到兩分鐘的時(shí)間內(nèi)配置為從AWS，Heroku，Elastic，Docker和其他供應(yīng)商收集日志。該工具可立即使用帶寬聚合來(lái)自網(wǎng)絡(luò)中應(yīng)用程序和服務(wù)器的日志，以處理每秒一百萬(wàn)個(gè)日志事件。

LogDNA的一個(gè)有趣的事情是LogDNA代理和CLI接口是開源的。實(shí)際上，這允許你自定義日志管理體驗(yàn)。但是，如果不想這樣做，標(biāo)準(zhǔn)用戶界面具有足夠多的功能來(lái)幫助你有效地監(jiān)控系統(tǒng)日志。

對(duì)于需要基于云的可擴(kuò)展日志管理解決方案的企業(yè)而言，LogDNA是不錯(cuò)的選擇。LogDNA可作為基于云的解決方案或內(nèi)部部署/自托管程序包提供。免費(fèi)版支持單個(gè)用戶。