Visual syslog server for windows настройка

Visual Syslog Сервер для Windows

Visual Syslog Сервер для Windows это программа для получения и просмотра сообщений syslog.
Программа бесплатная с открытым исходным кодом. Лицензия GPL V2.
Visual Syslog Сервер удобен для настройки серверов, маршрутизаторов и встраиваемых систем на базе Unix/Linux.
Все что надо сделать — это перенаправить поток сообщений syslog на компьютер с установленным Visual Syslog Сервером.
Установка Visual Syslog выполняется за 1 минуту, настройка не требуется.

Возможности

• Получение сообщений от различных источников по протоколу UDP или TCP (в соответствии со стандартом RFC 3164)
• Полученные сообщения отображаются немедленно
• Сохранение сообщений в текстовых файлах на диске
• Возможность сохранять разные сообщения в разные файлы
• Разбивка сохраненных файлов на части по достижении указанного размера или по времени накопления
• Фильтрация отображаемых сообщения по коду, приоритету, наименованию узла, адресу источника, тэгу или содержимому сообщения
• Настраиваемое цветовое выделение сообщений
• Формирование различных извещений в зависимости от содержимого сообщения:
  • Показ окна с предупреждением
  • Проигрывание звукового файла
  • Отправка электронной почты на указанный адрес
  • Немедленная доставка извещений на мобильные устройства Android / iPhone:
    Поддержка отправки электронной почты через SMTP сервера Gmail и iCloud с авторизацией SSL / TLS.
    При приходе почтового сообщения в ящик Gmail или iCloud, немедленное извещение поступит на мобильное устройство.
  • Настраиваемый формат извещений
• Выполнение действий в зависимости от содержимого сообщения:
  • Выполнение выбранной программы с параметрами
  • Сохранение сообщения в выбранный файл
• Высокая скорость работы
• Выполняется как обычное приложение Windows с показом значка в панели задач
• Поддерживает операционные системы Windows XP/Vista/7/8/8.1, Windows Server 2003/2008/2012
• Загрузка истории сообщений после запуска программы
• Поддержка кодировки UTF8 в тексте сообщения
• Просмотр сообщений syslog из файла на диске

Получение программы

Последняя версия 1.6.4
Последняя стабильная версия 1.6.4

Установка

После установки Visual Syslog Сервер для Windows сразу готов к работе: настройка не требуется.
По умолчанию ожидает сообщений на портах 514 UDP и 514 TCP.
Программа установки добавляет исключения брандмауэра для Visual Syslog Сервер.

Компиляция из исходного кода

Для компиляции Syslog Сервера из исходных кодов используйте CodeGear RAD Studio C++Builder 2007
Файл проекта visualsyslog.cbproj
Требуются дополнительные компоненты: Indy.Sockets (VCL) version 10

Для компиляции программы установки используйте Inno Setup Compiler 5.5.1(a)
Файл проекта программы установки visualsyslog.iss

Поддержка

Ваши вопросы и предложения по улучшению программы шлите по адресу

Планы на будущее

• Статистика полученных сообщений: сколько, с какого адреса и т.д.

Снимки экрана

Настройка цветового выделения сообщений

Обработка сообщений

Основные параметры настройки

Настройка файлов для сохранения сообщений и разбивка их на части

Отправка сообщений электронной почты через SMTP сервер

Настройки логирования в роутерах iRZ

В любом сложном электронном устройстве необходима функциональность ведения журналов его работы (системных логов). Анализ записанных логов оказывает неоценимую помощь при диагностике сложных ситуаций.

В роутерах iRZ логи работы по умолчанию ведутся в буфере оперативной памяти, поэтому при перезагрузке устройства они полностью затираются. После старта устройства файлы логов и начинают записываться заново.
Эта особенность работы не позволяет диагностировать ситуации приведшие к перезагрузке устройства или его недоступности по внешним интерфейсам.

Для решения этого вопроса мы предлагаем настроить ведение системных логов на внешнюю, энергонезависимую память.

Запись логов на внутреннюю память роутера

Для данной настройки необходимо подключиться к консоли роутера через протоколы Telnet или SSH и произвести необходимые манипуляции с настройками роутера.

Для внесения изменений ведения лог-файла необходимо отредактировать файл /etc/config/system.

В базовой настройке это можно сделать с помощью текстового редактора vi. Если же вы привыкли к другому текстовому редактору, то его можно поискать в репозиториях и установить с помощью менеджера пакетов — opkg.

opkg update; opkg install nano #установка текстового редактора nano

А вот пример того выглядит файл system:

root@iRZ-Router:~# cat /etc/config/system
​
config system
         option hostname 'iRZ-Router'
         option timezone 'GMT'
         option log_size '128'
         option enable_telnet '1'
         option telnet_port '23'
​
config timeserver 'ntp'
         list server '0.openwrt.pool.ntp.org'
         list server '1.openwrt.pool.ntp.org'
         list server '2.openwrt.pool.ntp.org'
         list server '3.openwrt.pool.ntp.org'
         option enabled '1'
         option enable_server '0'

В выводе данного файла присутствует два блока информации из которых нас интересует первый — config system.

Строка option log_size ‘128’ отвечает за размер файла (измеряется в килобайтах). Для того чтобы писать лог не в буфер оперативной памяти, а в файл, необходимо добавить строку в конце данного блока данных:

option log_file '/opt/log.txt'

В роутере есть не затираемая область памяти. Она которая монтируется в папку /opt. Мы предлагаем записывать лог-файл log.txt именно в неё.

При изменении размера файла логов следует учитывать размеры свободного пространства в данной области памяти. Количество свободной памяти можно узнать по команде:

root@iRZ-Router:~# df -h
Filesystem                Size      Used    Available   Use%     Mounted on
rootfs                   69.1M      6.9M     58.6M              11%          /
/dev/root                13.3M     13.3M         0          100%             /rom
tmpfs                    60.9M    160.0K     60.8M              0%          /tmp
/dev/ubi0_2              69.1M      6.9M     58.6M              11%             /overlay
overlayfs:/overlay       69.1M      6.9M     58.6M              11%             /
tmpfs                   512.0K         0    512.0K              0%          /dev
/dev/ubi1_0              25.3M    812.0K     23.2M               3%           /opt

Это вывод с роутера серии R4 и для других серий будет выглядеть по другому. В данном случае мы видим что в разделе памяти, смонтированной в папку /opt , свободно 23 мегабайта.

Следует учесть ещё одну особенность ведения логов на роутере: при записи логов в файл, роутер при достижении граничного размера файла, указанного в настройках, перезапишет этот файл в файл с расширением .old.
То есть если вы пишете в файл /opt/log.txt, то в этой папке появится второй файл — /opt/log.txt.old максимального размера, указанного в настройках. Таким образом эти два файла /opt/log.txt и /opt/log.txt.old будут максимум того размера, что вы укажете в настройках. Они будут циклически перезаписываться по мере накопления логов.

Итоговый файл настроек для записи логов во внутреннюю память роутера должен выглядеть приблизительно так:

config system
         option hostname 'iRZ-Router'
         option timezone 'GMT'
         option log_size '1024'
         option enable_telnet '1'
         option telnet_port '23'
         option log_file '/opt/log.txt'
​
 config timeserver 'ntp'
         list server '0.openwrt.pool.ntp.org'
         list server '1.openwrt.pool.ntp.org'
         list server '2.openwrt.pool.ntp.org'
         list server '3.openwrt.pool.ntp.org'
         option enabled '1'
         option enable_server '0'

После внесения данных изменений необходимо сделать рестарт служб командами:

/etc/init.d/log restart
​
/etc/init.d/system restart

Запись логов на внешние накопители

К роутерам серии R4 и R2 можно подключить внешние накопители. К роутерам серии R4 можно подключить USB flash-накопитель, а к роутерам серии R2 — microSD карту.

В случае записи логов на внешние накопители необходимо проделать все те же манипуляции с настройками что и в предыдущем пункте данного руководства с одним отличием — путь куда записывать файлы логов будет отличаться.

Чтобы понять как будет смонтирован ваш внешний накопитель необходимо подключиться к консоли роутера и выполнить команду:

mount

пример вывода команды для роутеров серии R4

root@iRZ-Router:~# mount
rootfs on / type rootfs (rw)
/dev/root on /rom type squashfs (ro,relatime)
proc on /proc type proc (rw,nosuid,nodev,noexec,noatime)
sysfs on /sys type sysfs (rw,nosuid,nodev,noexec,noatime)
tmpfs on /tmp type tmpfs (rw,nosuid,nodev,noatime)
/dev/ubi0_2 on /overlay type ubifs (rw,noatime)
overlayfs:/overlay on / type overlay (rw,noatime,lowerdir=/,upperdir=/overlay/upper,workdir=/overlay/work)
tmpfs on /dev type tmpfs (rw,nosuid,relatime,size=512k,mode=755)
devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,mode=600)
debugfs on /sys/kernel/debug type debugfs (rw,noatime)
/dev/ubi1_0 on /opt type ubifs (rw,relatime)
mountd(pid3156) on /tmp/run/mountd type autofs (rw,relatime,fd=5,pgrp=3152,timeout=60,minproto=5,maxproto=5,indirect)
**/dev/sda1 on** **/tmp/run/mountd/sda1** type vfat (rw,relatime,uid=1000,gid=1000,fmask=0022,dmask=0022,codepage=437,iocharset=iso8859-,shortname=mixed,errors=remount-ro)

пример вывода команды для роутеров серии R2

root@iRZ-Router:~# mount
rootfs on / type rootfs (rw)
/dev/root on /rom type squashfs (ro,relatime)
proc on /proc type proc (rw,nosuid,nodev,noexec,noatime)
sysfs on /sys type sysfs (rw,nosuid,nodev,noexec,noatime)
tmpfs on /tmp type tmpfs (rw,nosuid,nodev,noatime)
/dev/mtdblock6 on /overlay type jffs2 (rw,noatime)
overlayfs:/overlay on / type overlay (rw,noatime,lowerdir=/,upperdir=/overlay/upper,workdir=/overlay/work)
tmpfs on /dev type tmpfs (rw,nosuid,relatime,size=512k,mode=755)
devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,mode=600)
debugfs on /sys/kernel/debug type debugfs (rw,noatime)
/dev/mtdblock7 on /opt type jffs2 (rw,relatime)
**/dev/mmcblk0p1 on /mnt/mmcblk0p1** type vfat (rw,relatime,fmask=0000,dmask=0000,allow_utime=0022,codepage=437,iocharset=iso8859-1,shortname=mixed,errors=remount-ro)

В последней строке данных вывода будет искомый внешний накопитель и то путь монтирования.
Следовательно в пункте option log_file (см. предыдущий раздел), необходимо указать путь до файла в соответствии с теми данными, которые вы получите из вывода команды mount.

Пример для роутер серии R4:

option log_file '/tmp/run/mountd/sda1/log.txt'

Пример для роутера серии R2:

option log_file '/mnt/mmcblk0p1/log.txt'

Ведение логов на удалённый сервер

Во всех сериях роутеров есть возможность отправки логов работы на удалённый сервер по протоколу Syslog. Данная настройка находится в меню Tools => System log. Описание данного пункта есть в документации к роутерам — Руководство пользователя по настройке роутеров iRZ.

Протокол Syslog — это стандарт отправки и регистрации сообщений о происходящих в системе событиях и используется на всех операционных системах. Так как это стандарт, то серверов для данного протокола очень много для всех операционных систем.
Установить и настроить такой сервер не сложно. Достаточно почитать инструкции к выбранному серверу и указать в настройках роутера внешний IP адрес вашего сервера. В рамках этой статьи мы не хотим подробно углубляться в процесс настройки сервера сбора логов, но приведём небольшой пример.

Пример на базе opensource проекта Visual Syslog Server for Windows.

Вот домашняя страница данного проекта на русском языке: https://github.com/MaxBelkov/visualsyslog/blob/master/readme_rus.md.
С данной страницы скачиваем стабильную версию сервера в zip архиве на хост машину, которая будет собирать логи с роутера. Установка заключается в разархивировании архива и запуске исполняемого файла. Установка не вызывает никаких проблем, достаточно везде нажать кнопки далее и готово.

Далее цитата со страницы проекта:

После установки Visual Syslog Сервер для Windows сразу готов к работе: настройка не требуется. По умолчанию ожидает сообщений на портах 514 UDP и 514 TCP. Программа установки добавляет исключения брандмауэра для Visual Syslog Сервер.

Далее необходимо включить необходимую функциональность на самом роутере. Это делается в разделе Tools => System Log. Следуя документации, приведённой выше, нужно включить ведение удаленного логирования и вписать IP адрес хост машины на которой вы запустили Visual Syslog Server.

Пример приведён на рисунке ниже:

Поле Prefix необходимо для маркировки сообщений от данного роутера в Visual Syslog Server. Это сделано на для случаев когда данный сервер собирает данные с нескольких устройств и для вывода логов по каждому устройству отдельно на основе данных префиксов.

После вышеописанных шагов в окне сервера логов вы сразу увидите те сообщения которые поступят с роутера после включения функции логирования:

Visual Syslog Server for Windows

Syslog Server for Windows with a graphical user interface

Visual Syslog Server for Windows

Visual Syslog Server for Windows is a free open source program to receive and view syslog messages. Useful when setting up routers and systems based on Unix/Linux.

Visual Syslog Server for Windows has a live messages view: switches to a new received message. Helpful color highlighting. Useful message filtering. Customizable notification and actions.

Features

Download

Installation

After installation Visual Syslog Server for Windows works immediately: adjustment is not required. Waiting for messages on the UDP and TCP port 514 (default setting). Visual Syslog Server is an Windows application (installing a system service is not required). Installer adds firewall exception.

Building from sources

To build Windows Syslog Server from sources use CodeGear RAD Studio C++Builder 2007
Main project file visualsyslog.cbproj
Required components: Indy.Sockets (VCL) version 10

To build the installer, use Inno Setup Compiler 5.5.1(a)
Installer project file visualsyslog.iss

Support

Your questions and suggestions please send to

Future plans

If you need these or other functions let me know.

Screenshots

Color highlighting setup

Message processing setup

Files rotation setup

Smtp server setup to send e-mail messages

Visual Syslog Server for Windows maintained by MaxBelkov

Источник

Visual syslog server for windows

Visual Syslog Server for Windows

Visual Syslog Server for Windows is a free open source program to receive and view syslog messages. Useful when setting up routers and systems based on Unix/Linux.

Visual Syslog Server for Windows has a live messages view: switches to a new received message. Helpful color highlighting. Useful message filtering. Customizable notification and actions.

After installation Visual Syslog Server for Windows works immediately: adjustment is not required. Waiting for messages on the UDP and TCP port 514 (default setting). Visual Syslog Server is an Windows application (installing a system service is not required). Installer adds firewall exception.

Building from sources

To build Windows Syslog Server from sources use CodeGear RAD Studio C++Builder 2007
Main project file visualsyslog.cbproj
Required components: Indy.Sockets (VCL) version 10

To build the installer, use Inno Setup Compiler 5.5.1(a)
Installer project file visualsyslog.iss

Your questions and suggestions please send to

If you need these or other functions let me know.

Color highlighting setup

Message processing setup

Files rotation setup

Smtp server setup to send e-mail messages

About

Syslog Server for Windows with a graphical user interface

Источник

Visual syslog server for windows

Visual Syslog Сервер для Windows

После установки Visual Syslog Сервер для Windows сразу готов к работе: настройка не требуется. По умолчанию ожидает сообщений на портах 514 UDP и 514 TCP. Программа установки добавляет исключения брандмауэра для Visual Syslog Сервер.

Компиляция из исходного кода

Для компиляции Syslog Сервера из исходных кодов используйте CodeGear RAD Studio C++Builder 2007
Файл проекта visualsyslog.cbproj
Требуются дополнительные компоненты: Indy.Sockets (VCL) version 10

Для компиляции программы установки используйте Inno Setup Compiler 5.5.1(a)
Файл проекта программы установки visualsyslog.iss

Ваши вопросы и предложения по улучшению программы шлите по адресу

Настройка цветового выделения сообщений

Основные параметры настройки

Настройка файлов для сохранения сообщений и разбивка их на части

Отправка сообщений электронной почты через SMTP сервер

Источник

16 лучших бесплатных серверов Syslog для Linux и Windows

Мы подробно расскажем о каждом инструменте, который мы выбрали для этого списка, но если вам просто нужна краткая сводка, вот список 16 лучших бесплатных серверов Syslog для Linux и Windows:

Syslog Серверы и Клиенты

Концепция «Сервер системного журналаДействительно относится к приложение, которое имеет дело с сообщениями системного журнала вместо предоставления выделенного компьютера для получения сообщений. Так что не заблуждайтесь этим словом «сервер» там.

Несмотря на то, что стандарт Syslog был кодифицирован специальной инженерной группой Internet, существует так много реализаций Syslog, что существует некоторая вариация в формате сообщения данных syslog. Со всеми различными типами сообщений вы могли бы извлечь выгоду из, вам нужно получить инструмент, чтобы разобраться во всех.

Сообщения системного журнала

Сообщения системного журнала можно рассматривать как эквивалент Linux / Unix журналов событий Windows. Таким образом, вы можете называть их «событиями системного журнала». Они предоставляют важную информацию и будут поддерживать ваши задачи системного администрирования посредством:

Записи в ваших файлах системного журнала записаны там, потому что производители вашего программного обеспечения и устройств посчитали определенные события значимыми, поэтому было бы ошибкой игнорировать этот богатый источник системной активности и информации о состоянии. Поэтому скачайте сборщик Syslog и активируйте его.

Номера портов системного журнала

Системный журнал работает через UDP, поэтому ожидать активности на UDP-порту 514 ваших сетевых устройств. Это вызвано всеми этими сообщениями о событиях системного журнала, циркулирующими по вашей сети. UDP-порт 514 используется клиентами Syslog для отправки сообщений, а также серверами Syslog для прослушивания сообщений. Следовательно, это и порты источника и назначения на всех стандартных коммуникациях Syslog. Не закрывайте это. С подозрением на активность на TCP-порту 514. Известно, что этот порт используется червем ADM и не используется для системного журнала..

Есть безопасные реализации Syslog. Поскольку защищенным службам необходимо установить соединение, вы не можете использовать для них порт UDP.. Безопасная версия Syslog известна как Syslog поверх TLS и использует TCP-порт 6514.. Если вы хотите управлять удаленным сервером Syslog, подключенным к сети через Интернет, вам нужно пройти маршрут Syslog по TLS, поскольку незашифрованные события Syslog, отправляемые через Интернет, могут серьезно подорвать безопасность вашей сети..

Лучшие бесплатные серверы Syslog для Linux и Windows

Если у вас нет бюджета на инструменты или вы не думаете, что стоит потратить деньги только на просмотр сообщений журнала, ознакомьтесь с нашим списком бесплатных серверов системного журнала. Большинство обзорных сайтов предоставят вам список из пяти или 10 лучших серверов системного журнала, но мы прошли лишнюю милю и нашли 16 отличных серверов системного журнала, которые можно бесплатно использовать.

1. Сервер Syslog для киви SolarWinds (СКАЧАТЬ БЕСПЛАТНО)

Система киви позволяет вам записывать журналы событий по IP-адресу, дате или по типу источника сообщений. Вы можете получать уведомления о высоких условиях трафика, отправленные на ваши уведомления по электронной почте. Тем не менее, если вы получаете платную версию, есть еще много условий, о которых вы можете выбрать, чтобы получать уведомления по электронной почте. Сервер системных журналов Kiwi доступен только для Windows. Его можно установить на Windows Server 2008 R2, Windows Server 2012, Windows 7 с пакетом обновления 1, Windows 8.1 и Windows 10.

ВЫБОР РЕДАКТОРА

Скачать: БЕСПЛАТНАЯ версия от SolarWinds.com

Официальный сайт: www.solarwinds.com/free-tools/kiwi-free-syslog-server/

ОПЕРАЦИОННЫЕ СИСТЕМЫ: Windows & Windows Server

2. Сетевой монитор Paessler PRTG (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)

Вы можете скачать программное обеспечение PRTG с веб-сайта Paessler и установить его на Windows. Для Linux нет версии. тем не мение, Вы можете выбрать доступ к программному обеспечению в качестве облачной службы, которая не зависит от системы.

Функция системного журнала в PRTG называется Syslog Receiver. Это позволит собрать все данные системного журнала, путешествующие по вашей сети, и записать их в базу данных. После того, как сообщения находятся в базе данных, последующее управление этими записями зависит от настроек, которые вы указываете для системы. Вы можете записывать их в файлы журналов, запрашивать их на панели инструментов PRTG и запускать действия при определенных условиях. Вы можете скачать и оценить бесплатную пробную версию здесь.

Сетевой монитор Paessler PRTGСкачать 30-дневную бесплатную пробную версию

3. Loggly (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)

Loggly является облачный консолидатор и анализатор логов. Таким образом, вам не нужно устанавливать какое-либо программное обеспечение в вашем помещении, вам просто нужно настроить процедуры автоматической передачи файлов для загрузки журналов на сервер Loggly..

Система Loggly сохраняет ваши Сообщения системного журнала в стандартизированном формате. Он также будет принимать журналы от Amazon Web Services (AWS), Docker, Logstash и множества других систем захвата журналов. Все эти записи адаптированы таким образом, чтобы доступ к информации в них был единым образом. Как только ваши журналы будут в системе Loggly, вы сможете анализировать их с помощью инструментов онлайн-сервиса..

Большим преимуществом использования Loggly является то, что вы получаете место для хранения, включенное в сделку. Вам нужно сделать резервную копию всех ваших файлов журналов на другом сайте, отличном от вашего собственного сайта, чтобы убедиться, что активный хакер не проник в вашу систему и не удалил все записи о его действиях. Так что вам все равно придется искать решение облачного хранилища. Регистрация на сервис Loggly дает вам отскок к архивированию ваших журналов, делая данные доступными для анализа.

Время, в течение которого ваши данные журнала доступны в системе Loggly, зависит от того, на какой из четырех пакетов вы подписались. Lite Пакет постоянно бесплатен, но он сохраняет данные только в течение семи дней и позволяет использовать только одну учетную запись пользователя. стандарт Пакет позволяет вам передавать один ГБ данных в день и будет хранить ваши записи в течение месяца. профессионал Служба Loggly имеет метод с переменной ценой и позволяет вам передавать данные от трех до двадцати ГБ в день с периодом хранения от пятнадцати до девяноста дней. Верхняя упаковка называется предприятие и это специально для клиента отделом продаж.

Loggly Log ManagementЗагрузить 14-дневную бесплатную пробную версию

4. ManageEngine EventLog Analyzer (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)

EventLog Analyzer ManageEngine работает как сервер Syslog и является бесплатно до пяти источников журнала. Программное обеспечение для мониторинга может быть установлено на Windows или Linux, но он может отслеживать события, возникающие в любой операционной системе. Данные системного журнала могут поступать из любого подключенного к сети оборудования, включая коммутаторы, маршрутизаторы и виртуальные машины.

Панель управления ManageEngine включает в себя множество функций, которые позволяют вам указать действия, которые нужно выполнить с собранными данными системного журнала.. Типичным требованием к серверу системного журнала является запись всех записей в журналы событий.. Это действие доступно, но вы также можете запрашивать записи на панелях мониторинга, а также сортировать и фильтровать сообщения. Архивные журналы могут быть сжаты и зашифрованы. Шифрование позволяет накладывать права доступа на учетные записи пользователей., таким образом, видимость данных в файлах системного журнала может быть ограничена только несколькими пользователями сети с правами администратора..

EventLog Analyzer также может следить за сообщениями SNMP. ManageEngine производит комплексную систему мониторинга сети, которая называется OpManager. Бесплатное издание Этот инструмент доступен только для 5 источников журналов. Вы также можете скачать 30-дневная бесплатная пробная версия из Premium Edition. Для получения более подробной информации о ценах вы можете связаться с их отделом продаж.

ManageEngine EventLog AnalyzerDownload 30-дневная бесплатная пробная версия

5. WhatsUp Syslog Server

IPswitch выпускает успешный инструмент для мониторинга сети под названием WhatsUp Gold. Они также предлагают бесплатный сервер Syslog, который можно использовать как отдельную утилиту или интегрировать в пакет WhatsUp Gold. WhatsUp Syslog Server можно использовать бесплатно и может быть установлен на Windows.

Этот инструмент охватывает основные функции сервера Syslog: захват данных Syslog и их сохранение в журналах событий. Помимо этой стандартной функциональности, пакет предоставляет вам еще несколько возможностей, которые помогут вам лучше организовывать сообщения Syslog и обрабатывать их. Вы можете пересылать сообщения в другие приложения и сохранять записи в разные файлы выборочно. Сервер системного журнала включает консоль, на которой вы можете отображать записи и указывать, как программа работает с каждым типом сообщений..

Программа просмотра системного журнала показывает вам живые данные, как они поступают и вы можете фильтровать и сортировать записи, чтобы сосредоточиться на одном источнике типа сообщения. Объемы данных, которые инструмент может обработать, означает подходит для всех размеров сети, хотя это бесплатно. Консоль может обрабатывать до шести миллионов сообщений в час. Вы также можете импортировать архивные записи, чтобы анализировать события и получать долгосрочное представление о производительности сетевого оборудования..

Функции управления консоли позволяют указывать шаблоны, выделяющие конкретные условия оповещения или IP-адрес источника сообщения. Вы также можете создавать собственные предупреждения, указав комбинации условий, которые должны быть переведены в состояние предупреждения..

6. Системный журнал Watcher

Syslog Watcher от EZ5 Systems доступен для установки на Windows. Это бесплатный сервер системного журнала Программа с рядом дополнительных функций мониторинга. Поскольку почти каждое устройство, подключенное к вашей сети, отправляет сообщения системного журнала, сервер системного журнала должен работать быстро, если вы хотите, чтобы он делал больше, чем просто собирал и записывал эти сообщения в файл.. Syslog Watcher использует многопоточную архитектуру, поэтому сбор новых записей не задерживается до завершения обработки.

Панель управления предоставляет вам варианты обработки сообщений. Вы не ограничены хранением их в файлах, потому что у вас есть возможность записи их в базу данных. Получение сообщений Syslog в базе данных дает вам гораздо больше возможностей для работы с записями событий, потому что вы можете сортировать, фильтровать, группировать и считать их. Это позволяет вам комбинировать события для создания условий оповещения клиента. Вы можете получать оповещения, отправленные вам по электронной почте через Syslog Watcher.

Syslog Watcher может отслеживать сообщения как по UDP, так и по TCP и работать как с адресными системами IPv4, так и с IPv6..

ОБНОВИТЬ: Syslog Watcher бесплатен для домашнего использования. Бизнес-пользователи должны платить за инструмент. Тем не менее, EZ5 Systems предлагает 30-дневная гарантия возврата денег. Итак, если вы хотите попробовать его бесплатно, просто используйте его в течение месяца, а затем попросите вернуть свои деньги.

7. Системный журнал Fastvue

Fastvue специализируется на средствах сообщения о системных сообщениях. Одним из ее продуктов является бесплатная утилита сервера Syslog. Это программное обеспечение может быть установлено на Windows Server 2008 R2 и более поздние версии операционной системы Windows Server.

Система Syslog собирает входящие сообщения и записывает их в журналы событий. Это заботится о вашей основной функции сервера Syslog. Панель инструментов инструмента Fastvue проверяет все ваши архивные файлы и предоставляет отчет о размере каждого файла. Файлы сортируются по дате, и каждый из них становится партнером с помощью файла подтверждения, в котором хранится количество хэшей SHA-256. Следя за этой информацией, вы узнаете, не вмешивался ли файл журнала. Это важная функция для обнаружения вторжений, потому что хакеры будут изменять файлы журналов, чтобы скрыть свое присутствие.

Fastvue Syslog компилирует отдельные файлы журналов для каждого сообщающего устройства / IP-адреса, поэтому вы получаете каталоги файлов для каждого адреса устройства. Каждый файл содержит дневные сообщения с данными системного журнала, поступающие с устройства, которое скрывает каталог.

Этот сервер системного журнала фокусируется на создании и мониторинге файлов сообщений системного журнала, а не на предоставлении доступа к этим записям для анализа. Если вам нужна консоль для анализа записей, вам нужно будет импортировать файлы журналов в другое приложение.

8. Чувак

Чувак очень широко используется бесплатный инструмент для анализа сети это включает в себя функции сервера Syslog. Это приложение может быть установлено на любая версия Windows от Windows 2000, все версии Linux и macOS. Этот инструмент производится MikroTik, производителем маршрутизаторов из Латвии..

Эта система может контролировать ваши сетевые устройства и собирать данные системного журнала. Он может обрабатывать предупреждения SNMP, а также трафик ICMP и DNS. Чувак может контролировать как трафик TCP, так и UDP. Функции мониторинга сети включают автообнаружение и отображение топологии сети.

Доступ к функциям системного журнала The Dude можно получить на вкладке интерфейса.. Система может работать как полноценный сервер Syslog с дополнительными возможностями пересылки и фильтрации.. Вы можете заставить The Dude просто отправлять все записи в файл или указать правила для перенаправления соответствующих сообщений в другие места назначения, которые могут быть отдельными журналами событий или консолью системы. Вы также можете удалить определенные записи и заставить систему подавать звуковой сигнал, мигать или отображать всплывающее сообщение для пользовательских условий оповещения.

Чувак выполняет действия, когда он обнаруживает заданное условие оповещения, включая выполнение команд. Чувак может отправить вам электронное письмо или сделать устное объявление при обнаружении пользовательского условия оповещения.

9. Логос Nagios

Nagios основан на проекте с открытым исходным кодом. Возможность загрузки исходного кода для системы означает, что вы можете использовать его для свободно. Тем не менее, существуют ограничения на бесплатную версию Nagios. Вы можете использовать систему бесплатно только до 500 МБ пропускной способности в день. Программное обеспечение Nagios может быть установлено на Windows и Linux.

Сервер журнала может собирать информацию о событиях Windows, системных журналах Linux и системных журналах сетевых устройств. Приложение объединяет сообщения журнала в одном центральном месте. Вы можете назначать физические серверы для хранения журналов событий, распределять хранилище по кластеру серверов, даже дублировать файлы в разных местах для создания резервных копий..

Консоль позволяет вам просматривать прямые трансляции сообщений журнала и получать доступ к ранее сохраненным данным системного журнала. Интерфейс включает в себя функции сортировки и фильтрации, которые помогут вам анализировать сообщения. Вы можете указать условия оповещения, которые могут состоять из комбинации состояний или обозначаться как оповещение о частоте появления определенных типов сообщений.. Возможности настройки Nagios распространяются даже на приборную панель. Можно заполнить панель мониторинга приоритетными функциями, включая списки сообщений. Другие элементы, которые вы можете разместить на панели инструментов, включают инструменты визуализации данных, такие как графики, гистограммы и диаграммы..

10. Ицинга 2

Исинга начинал как развилка Нагиоса. С момента своего создания в 2009 году этот пакет отошел от своего предшественника. Последняя версия программного обеспечения называется Icinga 2, и ее можно установить на Linux. Пакет состоит из двух частей. Основная система это процессор данных, и последняя версия этого программного обеспечения называется Icinga 2. Бэкэнд может взаимодействовать с целым рядом приложений для управления данными, в том числе графит и InfluxDB. Команда Icinga также производит свой собственный интерфейс, называемый Веб 2.0, который доступен на веб-сайте Icinga в отдельной загрузке.

Если вы посмотрите на сайт Icinga по цене, вы не найдете его, потому что этот инструмент мониторинга сети совершенно бесплатно.

11. Сервер визуальных системных журналов

На панели инструментов записи имеют цветовую кодировку с сообщениями об ошибках красного цвета и предупреждениями желтого цвета. Эти цвета могут быть настроены. Вы получаете в реальном времени сообщения и вы также можете загружать записи в программу просмотра из файлов..

Хотя эта утилита не имеет сложной графики или вариантов обработки, она легкая и быстрая, поэтому у нее есть рынок. Зритель представляет записи и позволяет фильтровать их и сортировать их. Интерфейс может быть настроен на воспроизведение звука при возникновении состояния тревоги. Вы также можете установить приложение на отправить вам электронное письмо, когда оно обнаружит предупреждение или предупреждение. Если ваша система электронной почты поддерживает шифрование, Visual Syslog Server будет шифровать отправляемые вам электронные письма с уведомлениями. Это удобный, бесплатный, готовый к использованию инструмент, который выполняет свою работу.

12. Системный журнал-NG

Syslog-NG является открытый источник пакет, который бесплатно использовать. Программное обеспечение для Syslog-NG может быть установлено только на Linux. Однако система управления журналами может собирать данные о событиях Windows, а также стандартные сообщения системного журнала, генерируемые микропрограммой для Linux, Unix и устройств..

Другие серверы системного журнала в этом списке могут анализировать данные из сообщений. Некоторые серверы Syslog имеют привлекательные информационные панели с функциями визуализации данных. Вы не получите ничего подобного с Syslog-NG. Если вы хотите получить больше функциональности для обработки сообщений системного журнала, вам нужно добавить инструмент анализа данных.

13. Nxlog

Система Nxlog с открытым исходным кодом, и вы можете использовать ее бесплатно. В этом инструменте нет никаких аналитических функций, поэтому, если вы хотите просматривать записи или каким-либо образом манипулировать ими, вам потребуется найти отдельный интерфейс для анализа. Это простой способ сбора сообщений и создания лог-файлов., делая его чистым сервером Syslog.

14. Logstash

Logstash является частью набора утилит под названием «Эластичный стек.Эта группа инструментов создается группой разработчиков, чей первый продукт называется Elasticsearch. Elasticsearch является вторым элементом в Elastic Stack, как и Kibana. Разделение труда между этими тремя пакетами состоит в том, что Logstash собирает сообщения журнала, Elasticsearch позволяет сортировать и фильтровать эти сообщения для анализа, а Kibana интерпретирует и отображает данные.. Все программы Elastic Stack работают в Linux.

Logstash также собирает данные из облачных сервисов, включая AWS. Он может собирать данные из таких приложений, как Ganglia, Salesforce, Graphite, Kafka и Twitter.. Вы можете настроить процесс сбора, чтобы включить TCP и UDP сообщения и он может получать сообщения, зашифрованные с помощью TLS. Logstash может читать сообщения из файла, из базы данных, получать сообщения SNMP, IRC и RSS-каналы, а также получать сообщения с почтовых серверов..

Logstash может фильтровать переадресацию и переформатировать сообщения во время обработки. Программа хранит записи в файлах или вставляет их в базы данных. Утилита предназначена для интеграции с Elasticsearch и может отправлять данные непосредственно в это приложение. Аналогично, Logstash может быть настроен на вывод данных в Loggly, Nagios, AWS, Graphite и Graylog. Другие плагины будут уведомлять вас о новых данных журнала по электронной почте или сообщением Slack.. Logstash доступен бесплатно.

15. Graylog

Graylog является система управления бревнами доступны для Linux. Это сложный инструмент анализа данных Syslog. Тем не менее, вы можете просто воспользоваться его возможностями сбора и хранения сообщений, чтобы использовать его как чистый сервер Syslog. Graylog свободен для объемов данных 5 ГБ или менее в день. Владельцам небольших сетей не нужно ничего платить за их использование. Функции анализа данных не генерируют дополнительную пропускную способность. Вы не получаете никакой поддержки с бесплатной версией Graylog. Тем не менее, форум сообщества на веб-сайте Graylog заполнен советами и рекомендациями других пользователей..

Graylog находится на вершине программного обеспечения виртуальной машины. Эта базовая система в Linux включает в себя средство rsyslog. Это на самом деле rsyslog, который будет выполнять функции сбора и хранения сообщений Syslog. Вы можете управлять rsyslog через интерфейс Graylog. Если вы платите за Graylog, вы также можете собирать данные через систему Sidecar. Это позволяет хранить журналы событий на компьютерах с Windows.

Внешний интерфейс Graylog основан на браузере. Это будет отображать входные данные по типу, так что вы сможете увидеть ваши сообщения системного журнала вместе в одном разделе панели инструментов. Вы можете настроить панель мониторинга, поэтому, если вы настроите систему на сбор сообщений из нескольких источников, вам не нужно показывать информацию из других источников на той же странице, что и ваши сообщения системного журнала.. Виджеты, доступные для панели инструментов, включают визуализацию данных, например гистограммы..

Панель инструментов позволяет создавать собственные условия оповещения. Вы указываете каждое предупреждение на основе типа потока данных. Например, вы можете выберите поток Syslog UDP, а затем настройте условие оповещения о количестве предупреждающих сообщений, которые поступают через. Системные настройки позволяют получать оповещения, отправленные вам в качестве уведомлений по электронной почте. Процедуры потоковой обработки позволяют вам анализировать записи, пересылать их или сохранять в файле или базе данных.

16. TFTPD32 / 64

TFTPD является небольшая утилита для Windows. Пакет доступен в виде 32-разрядного или 64-разрядного приложения. Центральным элементом этого программного обеспечения является реализация клиента TFTP. Этот клиент может быть настроен на получение сетевых сообщений от серверов DHCP, DNS и SNTP. Он также может получать данные системного журнала.

TFTPD может работать как с адресами IPv6, так и с адресами IPv4. TFTPD32 и TFTPD64 оба доступно бесплатно.

Серверы системного журнала по ОС

Syslog serverLinuxWindowsOther

киви	нет	да	нет
Paessler PRTG	нет	да	да
Loggly	да	да	да
Анализатор журнала событий	да	да	нет
WhatsUp Syslog Server	нет	да	нет
Syslog Watcher	нет	да	нет
Fastvue Syslog	нет	да	нет
Чувак	да	да	да
Nagios Log Server	да	да	нет
Исинга 2	да	нет	нет
Visual Syslog Server	нет	да	нет
Syslog-NG	да	нет	нет
Nxlog	да	да	да
Logstash	да	нет	нет
Graylog	да	нет	нет
TFTPD32	нет	да	нет

Выбор сервера системного журнала

Как видно из описания инструментов в нашем списке, вы можете выбрать простой сервер Syslog или выбрать аналитический инструмент или систему мониторинга сети, которая включает функции сервера Syslog..

Чтобы квалифицироваться как сервер системного журнала, инструмент должен быть в состоянии собирать системные сообщения написано в соответствии с протоколом системного журнала и хранить их. Возможности пересылки системного журнала очень полезны, так же как и возможность чередовать журналы, что означает периодическое создание новых файлов..

Помимо основных функций передачи сообщений системного журнала в файлы, вы можете искать возможности сортировать и фильтровать сообщения. Полезна возможность варьировать обработку в соответствии с типами сообщений и удалять сообщения отладки и информационные уведомления. Программисту может потребоваться просмотреть эти отладочные сообщения и, следовательно, возможность выборочно направлять типы сообщений в зритель, файл журнала, или база данных может быть очень полезным.

Эволюция обработки Syslog для хранения записей в базе данных, а не в файле предлагает вам большие возможности. Это гораздо проще индексировать, сортировать, искать и фильтровать записи в базе данных, чем манипулировать записями файлов. Это связано с тем, что базы данных включают язык структурированных запросов, который позволяет изолировать поля в записях и выполнять функции выбора, группировки и исключения данных без изменения исходных сохраненных записей..

Сервер системного журнала, встроенный в инструмент управления сетью, может обеспечить широкие возможности анализа. Если у вас уже есть все необходимые аналитические инструменты, вам лучше сосредоточиться на инструментах сервера Syslog в этом обзоре. тем не мение, если у вас очень мало средств на программное обеспечение для управления системой, и в настоящее время у вас нет аналитических инструментов, затем перейдите к бесплатной утилите управления системой, которая включает в себя сервер системного журнала, чтобы контролировать вашу ИТ-инфраструктуру.

Управление ИТ-услугами требует соответствующих инструментов. Посмотрите на бесплатные инструменты рекомендуется в этом обзоре, который подходит для вашей операционной системы. Потратьте немного времени, чтобы поиграть с каждым инструментом, чтобы вы могли открыть для себя их функции. Учитывая, что все эти инструменты бесплатны, вам нечего терять, кроме времени, необходимого для их изучения..

Источник

Всем привет.

Как то мы разбирали ранее что события с Windows-сервера можно перенаправить на другой Windows-сервер.

Это легко можно устроить с помощью групповой политики. Для этого в групповой политике в ветке “Computer Configuration –> Policies –> Administrative Templates –> Windows components –> Event Forwarding” установить параметр “Configure the server address, refresh interval, and issuer certificate authority of a target Subscription Manager” в значение “Enabled” со следующим значением опции “SubscriptionManagers”: Server=http://<Event Collector FQDN>:5985/wsman/SubscriptionManager/WEC

Для протокола HTTPS прописываете обмен через порт 5986.

И надо не забыть сказать кто(hostname or IP-adr) имеет право эти события забирать в политике Windows Components/Windows Remote Management (WinRM)/WinRM Service. This policy setting allows you to manage whether the Windows Remote Management (WinRM) service automatically listens on the network for requests on the HTTP transport over the default HTTP port. If you enable this policy setting, the WinRM service automatically listens on the network for requests on the HTTP transport over the default HTTP port. To allow WinRM service to receive requests over the network, configure the Windows Firewall policy setting with exceptions for Port 5985 (port for HTTP).

Но я решил такую трансляцию разнообразить и передавать все события и на сервер syslog для страховки. Для начала решаем чем же сделать шлюз.

Еvtsys.

Для того чтобы включить трансляцию событий из журналов сервера в syslog надо доставить на него один маленький сервис. Этот сервис Еvtsys хорошо известен в сети, и не менее популярно описан как самим автором так и благодарными пользователями.

Его установка весьма проста.

copy evtsys.* %systemroot%system32
%systemroot%system32evtsys.exe -h SYSLOGSRV -s 240 -i
net start evtsys

где SYSLOGSRV это имя нашего Syslog-сервера.

Далее неплохо бы поправить файл конфига %systemroot%system32evtsys.cfg
net stop evtsys
…правка…
net start evtsys

По умолчанию фильтр указанный в Evtsys.cfg выглядит так, что передаются события со всех четырех основных журналов.

XPath:Application:<Select Path=»Application»>*</Select>
XPath:Security:<Select Path=»Security»>*</Select>
XPath:Setup:<Select Path=»Setup»>*</Select>
XPath:System:<Select Path=»System»>*</Select>

Разумеется мне столько информации не надо, поэтому я его переписал по другому. Т.е. передаем полностью два специализированных журнала плюс фильтруем на передачу журнал Security по кодам событий.

XPath:Microsoft-Windows-Sysmon/Operational:<Select Path=»Microsoft-Windows-Sysmon/Operational»>*</Select>
XPath:Directory Service:<Select Path=»Directory Service»>*</Select>
XPath:Security:<Select Path=»Security»>*[System[Provider[@Name=’Microsoft-Windows-Security-Auditing’ or @Name=’EvtSys’]
and (EventID=4624 or EventID=4625 or EventID=4720 or EventID=4725 or EventID=4726 or EventID=4740 or EventID=4767 or EventID=4771)]]</Select>

Краткая справка по Facility.
0 kernel messages
1 user-level messages
2 mail system
3 system daemons
4 security/authorization messages
5 messages generated internally by syslogd
6 line printer subsystem
7 network news subsystem
8 UUCP subsystem
9 clock daemon
10 security/authorization messages
11 FTP daemon
12 NTP subsystem
13 log audit
14 log alert
15 clock daemon
16 local use 0 (local0)
17 local use 1 (local1)
18 local use 2 (local2)
19 local use 3 (local3)
20 local use 4 (local4)
21 local use 5 (local5)
22 local use 6 (local6)
23 local use 7 (local7)
По умолчанию system daemons пишет в local1.

Logparser.

Есть еще одна возможность тянуть события с журналов сервера ничего дополнительно не устанавливая на сервер. Оказывается горячо любимый Logparser может не только отобрать то что мне надо, но и передать результат в формате Syslog на другой сервер. К примеру формируем SQL-запрос в диапазоне прошедших суток.

fexp2.sql:
=========
SELECT  TimeGenerated,
        CASE SourceName
          WHEN ‘EventLog’ THEN ‘local0’
          WHEN ‘Service Control Manager’ THEN ‘daemon’
          WHEN ‘Print’ THEN ‘lpr’
          WHEN ‘Kerberos’ THEN ‘auth’
          WHEN ‘NETLOGON’ THEN ‘logaudit’
          WHEN ‘Application Popup’ THEN ‘local7’
          ELSE ‘local0’
        END AS MyFacility,
        CASE EventTypeName
          WHEN ‘Error event’ THEN ‘err’
          WHEN ‘Warning event’ THEN ‘warning’
          WHEN ‘Information event’ THEN ‘info’
          ELSE ‘info’
        END AS MySeverity,
        ComputerName,
        STRCAT(SourceName, ‘:’),
        EventID,
        Message
INTO @%Output%
FROM \%Source%Security
WHERE (EventID IN (4624;4625;4720;4725;4726;4740;4767;4771)
AND (TimeGenerated > TO_TIMESTAMP(‘%DY%’,’yyyy-MM-dd’) AND TimeGenerated <= TO_TIMESTAMP(‘%DT%’,’yyyy-MM-dd’)))

И не забываем в конце вызова Logparser указать параметр -o:SYSLOG

@echo off
set Source=DC01
set Output=SYSLOGSRV

set D=%date:~-10,2%
set /A D -= 1
set DateT=%date:~6,4%-%date:~3,2%-%D:~0,2%

set D=%date:~-10,2%
set /A D -= 2
set DateY=%date:~6,4%-%date:~3,2%-%D:~0,2%

Logparser.exe file:fexp2.sql?Out=%Output%+Src=%Source%+DT=%DateT%+DY=%DateY% -o:SYSLOG

Работает! Отличие от первого варианта — да, это будет не в режиме онлайн. Но можно исправить код запроса и установить вызов Logparser-а каждые 5 минут в планировщик задач. Или даже чаще.

Итак наш источник событий настроен, а что же у нас там с приемником т.е. Syslog-севером.

Tftpd64 сервер.

Все просто, все понятно — единственное что нет никаких фильтров на приеме сообщений и их просмотре. Поэтому я временно задействовал другой SYSLOG-сервер.

Visual Syslog сервер.

Успехов.

Думаю, что в жизни каждого сисадмина бывают моменты, когда в его любимой сети начинают происходить необъяснимые вещи. Особенно неприятно, если это происходит с некоторой периодичностью и установить причину каждый раз не удается. Конечно, можно сослаться на магнитные бури, погоду на Марсе и т.д. (нужное подчеркнуть), но все мы с вами прекрасно понимаем, что космос здесь не причем.

Мы не будем себя утруждать перебором всех возможных вариантов, лучше подумаем о том, как можно предупредить, отследить и быстро установить причину возникновения того или иного сбоя. Все сетевые железки (и не только), которые хотя бы частично наделены мозгами, в процессе своей работы генерируют логи происходящих событий. Чаще всего эти логи записываются локально в память железки и уважвющий себя сисадмин их никогда не читает. А зря 🙂 Ибо там и кроется вся истина происходящих событий.

Конечно, если твоя сеть состоит из одного коммутатора или роутера, то отслеживать логи будет не трудно и городить огород здесь не стоит. Другое дело, когда сеть состоит из большого количества разнородных устройств. Что предложите? Тратить по полдня на анализ логов в нашем случае не вариант.

Как ты уже догодался, нам нужно каким-то образом отслеживать все происходящие события централизованно. Возникает вопрос как и чем это делать? Мониторинг сети? Одно такое решение под названием PRTG Network Monitoring мы недавно рассматривали. Однако, не все и не всегда можно отследить с помощью PRTG.
Умные дяди давным давно придумали специальный стандарт для передачи логов — Syslog. Кто особо заинтересовался подробостями этого протокола — велкам в википедию, а остальным мы в краце расскажем что к чему и как это настроить в любимой сети.
Весь принцип работы сводится к тому, что программа syslog, установленная на какой-нибудь сервер, принимает входящие сообщения от сетевых железок. Принятые сообщения записываются в один файл или БД, чтобы ты всегда смог посмотреть какие события и на каком оборудовании происходили в заданый промежуток времени.

Программ syslog-серверов существует великое множество под все платформы. Правда под Виндоус большинство нормальных решений продается за деньги, а бесплатные редакции обладают только базовыми функциями: запись только в текстовый файл, просмотр с некоторыми ограничениями, продолжительность хранения логов меньше и т.д.

Хороший вариант — установить linux, там syslog в базовом варианте уже встроен изначально, останется только подшаманить с настройкой хранения событий в БД и веб-мордой для удобного просмотра. Но что делать, если нет времени плясать с бубном или нет достаточных знаний в *nix системах? Оказывается, даже из такой ситуации есть выход! Называется он SyslogAppliance. На сайте разработчиков можно скачать уже готовую к применению виртуальную машину vmware с настроенным syslog сервером.Я обнаружил только два ньюанса при развертывании виртуальной машины SyslogAppliance. А именно: виртуалка настроена на получение автоматического IP по DHCP, часовой пояс выставлен хрен знает какой. Если у вас есть DHCP-сервер, то впринципе можно привязать там MAC-адрес syslog сервера и больше не забивать голову всякой ерундой. Но имхо для сервера это не кашерно. Лучше выставить настройки IP-адресации вручную. Делается это следующим образом. Логинимся в syslog сервер по консоли, затем с помощью редактора vim открываем файл сетевых настроек. Команда будет выглядеть так:
vim /etc/network/interfaces

Здесь нам надо заменить строку:
iface eth0 inet auto
и все что под ней на:
iface eth0 inet static
address твой_IP_адрес
netmask маска_подсети
gateway шлюз_по_умолчанию

Для перехода в режим редактирования сначала нажимаем i, затем правим всё как указано выше, затем жмем Esc. Для выода с сохранением нажимаем Shift+z два раза.
Далее нужно вписать DNS. Для этого набираем
vim /etc/resolv.conf
указываем адрес нашего DNS-сервера. Сохраняемся, выходим. Перезагружаемся командой reboot. Если у syslog сервера есть доступ в интернет, то можно выполнить пару команд обновления системы. Сначала набираем apt-get update, затем apt-get upgrade.

Последнее что нужно сделать, это поменять часовой пояс и выставить правильную дату и время. Первое делается командой
dpkg-reconfigure tzdata
а второе командой
date —set=»мм/дд/гггг чч:мм:сс»
После этих манипуляций можно перезагрузить syslog сервер и попробовать зайти на web-интерфейс по адресу http://ip-адрес-сервера/logs
Нас попросят ввести логин/пароль, затем будет показана текущая ситуация по собранным событиям:

Все события разбиваются по источнику, типу сообщения (notice, warning, error, alarm и т.п.), описание, в котором указано что именно произошло. Мы можем отфильтровать таблицу по интересующим нас критериям, для этого просто кликните мышью по нужной надписи. Если надо видеть какие сообщения валятся на syslog сервер в режиме реального времени, то в правой части экрана над шапкой таблицы есть ниспадающий список с вариантами автообновления страницы с разными интервалами времени. Ко всему прочему можно поизучать статистические данные, которые здесь представлены в виде диаграмм. Есть несколько типов графиков.

Теперь собственно то, ради чего мы это затевали. Как заставить всякие железяки отправлять сообщения на наш syslog сервер?
Например, для оборудования cisco в конфиг нужно добавить строчку logging ip-адрес_сервера
В *nix система в конфиг локального syslog’а добавляется строка *.* @ip-адрес_сервера.
Кстати говоря, даже Windows можно заставить передавать события в наш syslog. Сделать это можно с помощью одной небольшой бесплатной утилиты eventlog-to-syslog.

Вот собственно и все примудрости. Остается пожелать тебе и твоей сети поменьше глюков и успехов в освоении syslog’a.

ЗЫ: Как всегда мы будем рады любым комментариям и оценкам данной статьи. Спасибо!

Visual Syslog Server (демон) для Windows с графическим интерфейсом Разработчик Max Belkov

• Бесплатная Открытый код
• Windows

Visual Syslog Server (демон) для Windows с графическим интерфейсом.

Visual Syslog Server — это бесплатная программа с открытым исходным кодом для получения сообщений системного журнала. Полезно при настройке роутеров и систем на базе Unix / Linux.

Visual Syslog Server имеет представление в режиме реального времени — переключается на новое полученное сообщение; полезную цветную подсветку; полезную фильтрацию сообщений.

— запускается как приложение Windows;
— Поддержка Windows XP / Vista / 7/8 / 8.1, Windows Server 2003/2008/2012;
— получает сообщения от различных устройств по протоколу UDP;
— Соответствует RFC 3164;
— Сообщения системного журнала отображаются в режиме реального времени;
— Фильтрация отображаемых сообщений системного журнала на основе приоритета или содержимого сообщения;
— Выделение цветом в зависимости от приоритета;
— Импорт исторических файлов системного журнала после запуска программы;
— Храните все сообщения системного журнала в одном файле;
— Бесплатное программное обеспечение с открытым исходным кодом, лицензируемое по лицензии GPL V2.

Мне понадобилось организовать сервер для сбора логов с удаленных устройств. Это могут быть серверы, сетевое оборудование, либо что-то еще, что поддерживает логирование в формате syslog. Я решил использовать не стандартный для большинства дистрибутивов rsyslog, а установить syslog-ng, потому что мне он показался более удобным и простым в настройке.

Введение

Информации на тему сбора логов с удаленных серверов и интернете достаточно много. Ничего сложного тут нет, я и сам уже описывал подобную настройку в статье про сбор логов с mikrotik. Но решение получилось кривоватое, в комментариях написаны замечания. Я и сам знал о них, но простого и быстрого решения я не смог найти, на тот момент меня устраивал и такой вариант. Сейчас же решил все сделать аккуратно и красиво, чтобы было удобно пользоваться. В процессе поиска информации в интернете решил попробовать syslog-ng. С ним у меня не возникло никаких затруднений, сразу получилось то, что требовалось, поэтому я остановил свой выбор на нем.

Настраивать сервер сбора логов будем на системе CentOS 7. Если у вас еще не подготовлен сервер, то читайте мою информацию по установке и базовой настройке centos. Для небольшого количества устройств, нагрузка на сервер будет незначительная, поэтому имеет смысл размещать сервер на виртуальной машине. Если у вас нет готового гипервизора, можете посмотреть мою информацию на тему настройки linux гипервизора proxmox или бесплатного решения microsoft — Windows Hyper-V Server 2016.

Установка и настройка syslog-ng

С установкой нет ничего сложного. Установить syslog-ng можно одной командой:

Сразу переходим к настройке. Файл конфигурации располагается по адресу /etc/syslog-ng/syslog-ng.conf. Чтобы сервер начал принимать логи с удаленного устройства, его необходимо прописать в конфиг. Делается это просто. В самый конец конфигурационного файла добавляем информацию о новом устройстве:

d_xs-zabbix	Название назначения для записи лога по адресу /var/log/!remote/xs-zabbix.log
f_xs-zabbix	Название фильтра по адресу сервера источника.
10.1.3.29	Адрес сервера источника логов

Соответственно для второго сервера нужно добавить еще 3 строки, например так:

И так далее. Добавляете столько серверов, сколько нужно. Не забудьте создать папку для логов. В моем примере это папка /var/log/!remote, сами файлы создавать не надо, служба автоматически их создаст, когда придет информация с удаленных серверов.

Запускаем syslog-ng и добавляем в автозагрузку:

Проверим, запустилась ли служба:

Все в порядке, слушает 514 udp порт. Не забудьте открыть этот порт в iptables, если у вас включен фаерволл. Сервер готов к приему логов.

Отправка логов syslog на удаленный сервер

Теперь идем на добавленные в syslog-ng сервера и настраиваем там отправку логов на наш сервер. Сделать это очень просто. Открываем файл конфигурации rsyslog. В CentOS он живет по адресу /etc/rsyslog.conf и добавляем туда строку:

10.1.3.22 — ip адрес syslog-ng сервера. Перезапустите rsyslog:

и проверяйте логи на сервере syslog-ng в указанной папке. Правило *.* отправит все логи в указанное направление. Это не всегда нужно, можно отредактировать правила. Для этого надо ознакомиться с документацией по syslog. Там нет ничего сложного, мне не хочется на этом сейчас подробно останавливаться. В интернете есть примеры. Приведу пару своих.

В данном случае у меня по local5.notice идет лог самбы по доступу к сетевой шаре. Мне не нужно собирать эту информацию и я ее отключил. Вот еще пример:

С этого сервера сыпалось много лишней информации уровня debug. Я ограничил отправляемые сообщения уровнем info. И так далее.

Ротация логов syslog-ng

В завершение приведу пример своего правила ротации логов. Рекомендую ротацию настроить сразу, не оставлять на потом. Создаем файл /etc/logrotate.d/syslog-ng

По этому правилу ротация логов происходит раз в день. Старые логи перемещаются в папку /var/log/!remote/old и сжимаются. Хранятся логи за последние 180 дней.

Заключение

Я привел частный случай настройки хранения логов с удаленных устройств. Решение в лоб. В простых случаях этого достаточно. Лично мне удобно смотреть информацию в текстовых файлах. Это требуется редко, сделано на всякий случай для расследования инцидентов, если таковые возникают. Эту же задачу, к примеру, можно решить с помощью заббикс. Я уже показывал, как мониторить с помощью zabbix лог файлы. Приведенное решение легко переделать в хранение логов.

Для более удобного сбора и последующего просмотра информации существуют готовые решения с написанными веб панелями. Я посмотрел на некоторые из них. Что-то мне показалось слишком сложным в настройке, где-то веб интерфейс не понравился. Для себя остановился на приведенном варианте.

Онлайн курс по Linux

Помогла статья? Есть возможность отблагодарить автора

Автор Zerox

20 комментариев

А мне интересно, а где определение source (net)? И все повторяют, и у всех все получается…)))))))))))))))))))))))))

Добрый день. Есть ли какой нибудь относительно простой способ добавить веб-гуи к syslog-ng, с авторизацией? Чтобы можно было зайти из любого места и посмотреть логи.

Мне такой неизвестен. В качестве альтернативы предлагаю посмотреть elk stack — https://serveradmin.ru/ustanovka-i-nastroyka-elasticsearch-logstash-kibana-elk-stack/
Я сейчас для сбора логов в основном им пользуюсь.

Добрый день, подскажите пожалуйста, как правильней всего настроить в ELK приём логов по syslog ?

Привет! Сделал всё как Вы написали, всё получилось, но у меня ещё один вопрос, а как можно apache, nginx, mysql и openvpn логов отправить через rsyslog на syslog-ng ?

Читать документацию к каждому из сервисов и смотреть, как настроить отправку логов в syslog формате. Если не ошибаюсь, они все это умеют. Единственное сомнение насчет mysql, не настраивал. А все остальное в syslog отправлял.

Здравствуйте! Спасибо за совет (ответ 🙂 ) настроил отправку логов nginx и apache, как вы уже сказали все они умеют отправить логи на syslog, mysql-а Я не смог настроить. В Интернете больше всего есть статьи по этой теме где syslog тправляет и сохроняет свои логи в mysql 🙂

хорошее описание. Но я бы предпочел более «старый «способ, описанный в http://www.linux-magazin.de/ausgaben/2009/06/zentrale-kontrolle/

destination loghost <
file («/var/log/hosts/$YEAR-$MONTH/$HOST/$FACILITY-$YEAR-$MONTH-$DAY»
owner(root) group(root) perm(0600) dir_perm(0700) create_dirs(yes)
);
удобнее , само сортирует файлы. Работы меньше
01 # Filter/Destination für PIX-Firewall
02 filter f_pix <
03 host(pix);
04 >;
05 # Zielort der Log-Dateien
06 destination loghost <
07 file («/var/log/hosts/$YEAR-$MONTH/$HOST/$FACILITY-$YEAR-$MONTH-$DAY»
08 owner(root) group(root) perm(0600) dir_perm(0700) create_dirs(yes)
09 );
10 >;
11 log <
12 source(s_all);
13 destination(loghost);
14 >;
15 # Pix
16 log <
17 source(s_all);
18 filter(f_pix);
19 destination(loghost);
20 flags(final);
21 >;

Спасибо за материал! Очень интересно и хорошо изложено.
И да, в syslog-ng.conf нужно раскомментировать строку:
#udp(ip(0.0.0.0) port(514));
перед тем как запускать syslog-ng.

Daemon не запускается, остановка и удаление rsyslog как писали выше не помогает:
[[email protected]]# systemctl restart syslog-ng.service
Job for syslog-ng.service failed because the control process exited with error code. See «systemctl status syslog-ng.service» and «journalctl -xe» for details.

[[email protected]]# systemctl status syslog-ng.service
● syslog-ng.service — System Logger Daemon
Loaded: loaded (/usr/lib/systemd/system/syslog-ng.service; enabled; vendor preset: enabled)
Active: failed (Result: start-limit) since Thu 2018-02-15 17:58:27 MSK; 42s ago
Docs: man:syslog-ng(8)
Process: 2003 ExecStart=/usr/sbin/syslog-ng -F -p /var/run/syslogd.p > Main P > Status: «Starting up… (Thu Feb 15 17:58:27 2018»

Feb 15 17:58:27 log.local systemd[1]: Unit syslog-ng.service entered failed state.
Feb 15 17:58:27 log.local systemd[1]: syslog-ng.service failed.
Feb 15 17:58:27 log.local systemd[1]: syslog-ng.service holdoff time over, scheduling restart.
Feb 15 17:58:27 log.local systemd[1]: start request repeated too quickly for syslog-ng.service
Feb 15 17:58:27 log.local systemd[1]: Failed to start System Logger Daemon.
Feb 15 17:58:27 log.local systemd[1]: Unit syslog-ng.service entered failed state.
Feb 15 17:58:27 log.local systemd[1]: syslog-ng.service failed.
Feb 15 17:58:27 log.local systemd[1]: start request repeated too quickly for syslog-ng.service
Feb 15 17:58:27 log.local systemd[1]: Failed to start System Logger Daemon.
Feb 15 17:58:27 log.local systemd[1]: syslog-ng.service failed.

А в /var/log/messages что-то есть на этот счет? Не понятно, в чем ошибка. Обычно в логе есть информация на эту тему.

Для решения Вашей проблемы специалисты технической поддержки AXIA могут запросить детальный журнал активности системы. Для этого необходимо использовать Syslog сервер и настроить соответствующим образом оборудование. Ниже будет описано как это сделать. Изменяйте настройки только , если это необходимо для решения проблемы, в противном случае Syslog настройки должны быть оставлены в значениях по умолчанию.

Специалистами Telos был создан простой, не требующий установки Syslog Server. Программа является приложением .NET для Windows 7, но возможен запуск на WinXP при условии наличия установленного клиента .NET v3.5 или более поздней версии. Клиент .NET может быть загружен и установлен бесплатно с веб-сайта Microsoft

syslogserver.zip — архив с дистрибутивом и описанием.

Архив необходимо распаковать и запустить исполняемый файл syslog_server.exe на компьютере с доступом в сеть Livewire. При запуске его в первый раз, Windows брандмауэр может попросить о разрешении приложению доступа к сети. Вы должны выбрать «Разрешить» для syslog, чтобы иметь возможность получать информацию. Прием информации осуществляется по UDP через порт 514.

Окно запущенного приложения выглядит так:

Для получения сообщений на SysLog sеrver необходимо настроить оборудование для отправки лог-сообщений на IP-адрес компьютера, на котором запущено приложение.
Если IP адрес неизвестен, то его можно узнать с помощью команды ipconfig на этом компьютере:

Этот IP адрес необходимо записать в поле «Syslog server (IP address):» на вкладке System WEB-интерфейса оборудования AXIA:

На примере AXIA Analog xNode:

После этого необходимо выбрать уровень событий, подлежащих регистрации в отчетах из списка Syslog severity level filter

• Emergency: регистрирует события, связанные с полной неработоспособностью системы.
• Alert: регистрирует события, требующие немедленного внимания для сохранения работоспособности.
• Critical: регистрирует события о критических системных ошибках.
• Warning: регистрирует события, которые могут привести к нестабильности системы.
• Notice: система работает нормально, но в отчетах регистрируются сообщения о необычных событиях.
• Informational: регистрируются все информационные сообщения. Эта информация включает все рутинные события.
• Debug: регистрируются вся системная деятельность

Аналогичным образом настраивается и другое оборудование AXIA. Для консолей в пункте меню Log Setup, для Engine в меню Diagnostics.

После совершения изменений в настройках щелкните кнопку Apply для их сохранения:

Теперь осталось только нажать кнопку START для начала работы сервера:

Все готово для регистрации системной активности.

События, регистрирующие процесс перезагрузки AXIA Analog xNode на уровне Debug выглядят так:

Для поиска необходимых записей можно осуществлять фильтрацию сообщений:

• по уровню — выбрать необходимые с помощью списка слева
• по контексту — ввести текст для поиска и нажать кнопку Filter

Для сохранения сообщений в файл необходимо настроить его параметры в меню Options на вкладке LOG:

По указанному пути будет создан файл с названием вида SysLog_ГГГГ-MM-DD.log (ГГГГ-MM-DD — текущая дата), в котором будет сохраняться полученная в течении дня информация:

17:45:28.877: [172.22.15.6:42527, Info] Nov 30 01:30:00 Node-100-2 login[125]: root login  on `ttyp0'
17:45:36.525: [172.22.15.6:42527, Info] Nov 30 01:30:08 Node-100-2 syslogd: System log daemon exiting.
17:45:56.891: [172.22.15.6:50549, Notice] Nov 30 00:00:09 Node-100-2 lwrd[44]: eth0 flags 0x1003 (link down)
17:45:56.895: [172.22.15.6:50549, Notice] Nov 30 00:00:09 Node-100-2 lwrd[44]: eth1 flags 0x1003 (link down)
17:45:56.899: [172.22.15.6:50549, Notice] Nov 30 00:00:10 Node-100-2 lwrd[44]: eth0 flags 0x11043 (link up)
17:45:57.325: [172.22.15.6:50549, Debug] Nov 30 00:00:11 Node-100-2 lwrd[44]: Registered: SRC 1@Node-100-2._rtsp._tcp.local.
17:45:57.328: [172.22.15.6:50549, Debug] Nov 30 00:00:11 Node-100-2 lwrd[44]: Registered: sip:1@172.22.15.6 SRC 1@Node-100-2._sipuri._udp.local.
17:45:58.437: [172.22.15.6:50549, Info] Nov 30 00:00:12 Node-100-2 lwrd[44]: connected @13 127.0.0.1:57611
17:45:58.440: [172.22.15.6:50549, Info] Nov 30 00:00:12 Node-100-2 gpior[46]: gpior-lwrd connected
17:45:58.444: [172.22.15.6:50549, Debug] Nov 30 00:00:12 Node-100-2 gpior[46]: iface change 172.22.15.6
17:45:58.447: [172.22.15.6:50549, Debug] Nov 30 00:00:12 Node-100-2 gpior[46]: gpiomc ANY:2060 joined 239.192.255.4 on 172.22.15.6
17:46:01.328: [172.22.15.6:50549, Info] Nov 30 00:00:15 Node-100-2 lwrd[44]: config save 88ms
17:46:02.556: [172.22.15.6:50549, Info] Nov 30 00:00:16 Node-100-2 lwrd[44]: connected @16 127.0.0.1:57612
17:46:03.627: [172.22.15.6:50549, Notice] Nov 30 00:00:17 Node-100-2 xsyncd: lwsync up on 172.22.15.6
17:46:04.656: [172.22.15.6:50549, Notice] Nov 30 00:00:18 Node-100-2 xsyncd: lwsync master time out
17:46:05.656: [172.22.15.6:50549, Info] Nov 30 00:00:19 Node-100-2 xsyncd: master: AC030F06 .6 p3 00:50:C2:79:16:B3 we are

Кроме вышеописанного syslog server существует множество других аналогичных программ для регистрации сообщений о системной активности. Они могут обладать разными возможностями, интерфейсами и стоимостью.
Как вариант программы с расширенными настройками можно рассмотреть бесплатное ПО Visual Syslog Server (архив с дистрибутивом v1.6.3 2015-11-20 )

Эта программа уже требует инсталляции, но позволяет настраивать параметры log файла, просматривать log файлы с диска, формировать извещения и выполнять действия в зависимости от содержания лога, работать по протоколам UDP и TCP, поддерживает кодировку UTF8.

Интерфейс интуитивно понятен, а подробное описание можно найти на странице разработчика

Syslog servers are most popular in Linux world. These servers accept logs from different clients and are not opened to external network. There are also Syslog servers available for Windows. This blog post shows how to write messages to Syslog server from WIndows 10 IoT Core background application.

Syslog server

Syslog server is logging server. Usually it is separate box or virtual machine that is configured to accept log messages and not accept any users from external network. If some system or device gets hacked then usually Syslog server is not accessible and logs are there to analyze what happened.

Example of network with Syslog server.
Copyright belongs to Network Management Software

For more information about Syslog server follow these links:

• Syslog page at Wikipedia
• Understanding Syslog: Servers, Messages & Security (Network Management Software)
• Visual Syslog Server – free Syslog server for Windows

ILogger interface

In my TemperatureStation IoT solution I use ILogger interface to support multiple logger implementations.

internal interface ILogger

{

    void Debug(string message);

    void Info(string message);

    void Warn(string message);

    void Error(string message);

    void Critical(string message);

}

Now let’s get to logger implementation.

Adding support for syslog server

To write logger for Syslog server we need enum with log levels. These doesn’t match completely with ones used in .NET based logging solutions.

public enum SyslogLogLevel

{

    Emergency,

    Alert,

    Critical,

    Error,

    Warn,

    Notice,

    Info,

    Debug

}

And here is the logger class for Syslog. It’s simple and primitive but it works. The most important method in this class is Send() method. All other methods are just shortcuts for it that come in with ILogger interface.

internal class SyslogLogger : ILogger

{

    private const string SyslogClientName = "RPI-001";

    private const string SyslogHost = "192.168.210.2";

    private const int SyslogPort = 514;

    private const int SyslogFacility = 16;

    public void Critical(string message)

    {

        Send(SyslogLogLevel.Critical, message);

    }

    public void Debug(string message)

    {

        Send(SyslogLogLevel.Debug, message);

    }

    public void Error(string message)

    {

        Send(SyslogLogLevel.Error, message);

    }

    public void Info(string message)

    {

        Send(SyslogLogLevel.Info, message);

    }

    public void Warn(string message)

    {

        Send(SyslogLogLevel.Warn, message);

    }

    internal static void Send(SyslogLogLevel logLevel, string message)

    {

        if (string.IsNullOrWhiteSpace(SyslogHost) || SyslogPort <= 0)

        {

            return;

        }

        var hostName = Dns.GetHostName();

        var level = SyslogFacility * 8 + (int)logLevel;

        var logMessage = string.Format("<{0}>{1} {2}", level, hostName, message);

        var bytes = Encoding.UTF8.GetBytes(logMessage);

        using (var client = new UdpClient())

        {

            client.SendAsync(bytes, bytes.Length, SyslogHost, SyslogPort)

                  .Wait();

        }

    }

}

Here is the fragment of code that shows how loggers based on ILogger interface are used in my TemperatureStation solution.

_logger.Info("Timer callback: reading and reporting sensors");

try

{

    var readings = _sensorsClient.ReadSensors();

    await _reportingClient.ReportReadings(readings);

    _logger.Info(readings.ToString());

}

catch (Exception ex)

{

    _logger.Critical(ex.ToString());

}

_logger.Info("Timer callback: reading and reporting is done");

And here is how Visual Syslog Server monitor is displaying messages sent from my RaspberryPI.

NB! You can use the same code also with Linux based Syslog servers as they share the same protocol.

Wrapping up

Connecting good things from two worlds may work out as perfect solution. Here we took Syslog server that is popular in Linux world and used it as logging solution for IoT service running on Windows IoT Core and RaspberryPI. We wrote some lines of code to make it work and we were able to send log messages to Syslog server.

Syslog — это универсальный стандарт для системных сообщений.. Первоначально он был реализован утилитой Unix под названием Syslogd, но теперь он используется широким спектром ИТ-оборудования, поэтому почти каждый приобретенный вами компьютерный комплект сможет отправлять сообщения системного журнала. Вы можете направить эти сообщения в разные файлы журнала в соответствии с уровнем серьезности сообщения. Но если вы планируете максимально использовать информацию, эти данные действительно следует обработать или хотя бы прочитать.

Мы подробно расскажем о каждом инструменте, который мы выбрали для этого списка, но если вам просто нужна краткая сводка, вот список 16 лучших бесплатных серверов Syslog для Linux и Windows:

1. Сервер Syslog для киви SolarWinds (СКАЧАТЬ БЕСПЛАТНО) — Платный инструмент, работающий в Windows, но бесплатный для мониторинга журналов с пяти устройств..
2. Сетевой монитор Paessler PRTG (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ) — Комплексный монитор сети, сервера и приложений, который включает датчики для управления системным журналом. PRTG бесплатен, если вы активируете до 100 датчиков, чего более чем достаточно для доступа к мониторам системного журнала..
3. Loggly (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ) — Облачный анализатор логов, который загружает все ваши данные логов на свои серверы. Эта услуга платная, но есть бесплатный пакет Lite.
4. Анализатор журнала событий ManageEngine (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ) — Может быть установлен на Windows или Linux, работает как сервер Syslog и включает в себя очень интуитивно понятную и удобную панель инструментов.
5. WhatsUp Syslog Server — Хранение, анализ и пересылка сообщений системного журнала, а также некоторые функции анализа — также из этого бесплатного инструмента для Windows.
6. Syslog Watcher — Бесплатный сервер системного журнала для Windows, который записывает сообщения системного журнала в файлы или базу данных и включает функции сортировки и фильтрации записей..
7. Fastvue Syslog — Бесплатный сервер системного журнала для Windows Server 2012 R2 и более поздних версий. Помимо записи сообщений в файлы журналов, он создает файлы проверки контрольной суммы, которые защищены шифрованием SHA-256..
8. Чувак — Бесплатный инструмент сетевого анализа с интегрированным сервером Syslog для Windows, Linux и Mac OS..
9. Nagios Log Server — Интегрирован в Nagios XI (платно) и Nagios Core (бесплатно) для Windows и Linux. Бесплатная версия ограничена пропускной способностью 500 МБ в день.
10. Исинга 2 — Бесплатная система мониторинга сети для Linux с интегрированным сервером Syslog.
11. Visual Syslog Server — Собирает сообщения системного журнала и сохраняет их в файл, а также отображает их на приборной панели. Программа бесплатна и работает на Windows и Windows Server.
12. Syslog-NG — бесплатный сервер системного журнала для Linux, который также собирает события Windows по сети.
13. NxLog — бесплатный сервер Syslog для Windows, Linux, Unix и Android.
14. Logstash — Служба мониторинга системных сообщений для Linux, включающая хранение сообщений Syslog.
15. Graylog — Система управления журналами для Linux, которую можно бесплатно использовать с объемами данных сообщений журнала до 5 ГБ в день.
16. TFTPD32 — Легкий бесплатный системный регистратор сообщений для Windows, включающий мониторинг Syslog..

Contents

• 1 Syslog Серверы и Клиенты
• 2 Сообщения системного журнала
• 3 Номера портов системного журнала
• 4 Лучшие бесплатные серверы Syslog для Linux и Windows
  • 4.1 1. Сервер Syslog для киви SolarWinds (СКАЧАТЬ БЕСПЛАТНО)
  • 4.2 ВЫБОР РЕДАКТОРА
  • 4.3 2. Сетевой монитор Paessler PRTG (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
  • 4.4 3. Loggly (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
  • 4.5 4. ManageEngine EventLog Analyzer (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
  • 4.6 5. WhatsUp Syslog Server
  • 4.7 6. Системный журнал Watcher
  • 4.8 7. Системный журнал Fastvue
  • 4.9 8. Чувак
  • 4.10 9. Логос Nagios
  • 4.11 10. Ицинга 2
  • 4.12 11. Сервер визуальных системных журналов
  • 4.13 12. Системный журнал-NG
  • 4.14 13. Nxlog
  • 4.15 14. Logstash
  • 4.16 15. Graylog
  • 4.17 16. TFTPD32 / 64
• 5 Серверы системного журнала по ОС
• 6 Выбор сервера системного журнала

Концепция «Сервер системного журналаДействительно относится к приложение, которое имеет дело с сообщениями системного журнала вместо предоставления выделенного компьютера для получения сообщений. Так что не заблуждайтесь этим словом «сервер» там.

Модель сервера / клиента также немного сложна в терминах системного журнала. Обычно клиент связывается с сервером, а сервер отвечает. В системном журнале, клиент системного журнала — это просто программа, которая передает сообщения об ошибках, предупреждениях и отладке. Клиент системного журнала не имеет прямого контакта с коллегой: он отправляет сообщения независимо от того, слушает ли их кто-нибудь или нет.. Syslogd — это демон. Это сборщик системного журнала, поэтому он считается сервером, даже если он никогда не отвечает отправителю сообщений. Демон может работать локально или может быть реализован как удаленный сервер системного журнала, подключаясь через Интернет..

Несмотря на то, что стандарт Syslog был кодифицирован специальной инженерной группой Internet, существует так много реализаций Syslog, что существует некоторая вариация в формате сообщения данных syslog. Со всеми различными типами сообщений вы могли бы извлечь выгоду из, вам нужно получить инструмент, чтобы разобраться во всех.

Определение стандарта Syslog свободно доступно для общественности, но его не рассматривают как «проект с открытым исходным кодом». Это связано с тем, что «открытый исходный код» относится к свободно доступному программному коду, а Syslog — это стандарт, а не программа. Однако существуют серверные реализации с открытым исходным кодом..

Сообщения системного журнала

Сообщения системного журнала можно рассматривать как эквивалент Linux / Unix журналов событий Windows. Таким образом, вы можете называть их «событиями системного журнала». Они предоставляют важную информацию и будут поддерживать ваши задачи системного администрирования посредством:

• Предупреждения об отказе оборудования — которые записываются в файл журнала
• Мониторинг исчерпания мощности — через предварительно установленные уровни предупреждений, которые вы устанавливаете сами
• Оповещения о неожиданных событиях — ненормальная активность может указывать на скомпрометированные учетные записи пользователей
• Обнаружение вторжения в сеть — обнаружение несанкционированных устройств и доступ к неожиданным местам в Интернете

Записи в ваших файлах системного журнала записаны там, потому что производители вашего программного обеспечения и устройств посчитали определенные события значимыми, поэтому было бы ошибкой игнорировать этот богатый источник системной активности и информации о состоянии. Поэтому скачайте сборщик Syslog и активируйте его.

Номера портов системного журнала

Системный журнал работает через UDP, поэтому ожидать активности на UDP-порту 514 ваших сетевых устройств. Это вызвано всеми этими сообщениями о событиях системного журнала, циркулирующими по вашей сети. UDP-порт 514 используется клиентами Syslog для отправки сообщений, а также серверами Syslog для прослушивания сообщений. Следовательно, это и порты источника и назначения на всех стандартных коммуникациях Syslog. Не закрывайте это. С подозрением на активность на TCP-порту 514. Известно, что этот порт используется червем ADM и не используется для системного журнала..

Есть безопасные реализации Syslog. Поскольку защищенным службам необходимо установить соединение, вы не можете использовать для них порт UDP.. Безопасная версия Syslog известна как Syslog поверх TLS и использует TCP-порт 6514.. Если вы хотите управлять удаленным сервером Syslog, подключенным к сети через Интернет, вам нужно пройти маршрут Syslog по TLS, поскольку незашифрованные события Syslog, отправляемые через Интернет, могут серьезно подорвать безопасность вашей сети..

Лучшие бесплатные серверы Syslog для Linux и Windows

Если у вас нет бюджета на инструменты или вы не думаете, что стоит потратить деньги только на просмотр сообщений журнала, ознакомьтесь с нашим списком бесплатных серверов системного журнала. Большинство обзорных сайтов предоставят вам список из пяти или 10 лучших серверов системного журнала, но мы прошли лишнюю милю и нашли 16 отличных серверов системного журнала, которые можно бесплатно использовать.

1. Сервер Syslog для киви SolarWinds (СКАЧАТЬ БЕСПЛАТНО)

Kiwi — это утилита для системного журнала от SolarWinds. Пакет стоит $ 295, но есть бесплатная версия. Вы можете бесплатно использовать систему для мониторинга сообщений системного журнала с пяти устройств. Бесплатный пакет подойдет только для небольших сетей.

Простой протокол управления сетью основан на методологии системного журнала, поэтому Киви также может собирать сообщения SNMP. Аварийное сообщение от устройства называется «SNMP Trap». Trap — исключение из обычных процедур SNMP, когда агенты устройств отвечают статусами только при запросе программой менеджера. Таким образом, ловушки предназначены для обозначения условий высокого риска. Инструмент будет записывать сообщения в файл журнала, а также отображать их на панели инструментов программы. Kiwi будет собирать сообщения системного журнала от многих типов оборудования, включая маршрутизаторы, компьютеры и брандмауэры..

Система киви позволяет вам записывать журналы событий по IP-адресу, дате или по типу источника сообщений. Вы можете получать уведомления о высоких условиях трафика, отправленные на ваши уведомления по электронной почте. Тем не менее, если вы получаете платную версию, есть еще много условий, о которых вы можете выбрать, чтобы получать уведомления по электронной почте. Сервер системных журналов Kiwi доступен только для Windows. Его можно установить на Windows Server 2008 R2, Windows Server 2012, Windows 7 с пакетом обновления 1, Windows 8.1 и Windows 10.

ВЫБОР РЕДАКТОРА

Kiwi Syslog Server — лучший выбор для сбора, просмотра и архивирования сообщений системного журнала и ловушек SNMP. Благодаря множеству фильтров и окнам регистрации в реальном времени вы можете внимательно следить за своей сетью и отправлять ежедневные сводки по электронной почте. Бесплатная версия ограничена 5 устройствами, но полная версия, всего за $ 295 он гораздо эффективнее с такими действиями, как отправка электронной почты, запуск программ и отправка журналов в базу данных. Как для больших, так и для небольших сетей, это отличный выбор сервера Syslog.

Скачать: БЕСПЛАТНАЯ версия от SolarWinds.com

Официальный сайт: www.solarwinds.com/free-tools/kiwi-free-syslog-server/

ОПЕРАЦИОННЫЕ СИСТЕМЫ: Windows & Windows Server

2. Сетевой монитор Paessler PRTG (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)

Paessler PRTG Сетевой монитор это очень комплексная система мониторинга сети. Тем не менее, вы можете использовать PRTG бесплатно если у вас небольшая сеть. Paessler взимает плату за «датчик». Датчик — это состояние или состояние в сети. Компания считает Syslog одним датчиком, и если вы контролируете 100 датчиков или меньше, система бесплатна. Таким образом, у вас будет 99 других условий сети, которые вы можете отслеживать, прежде чем платить.

Вы можете скачать программное обеспечение PRTG с веб-сайта Paessler и установить его на Windows. Для Linux нет версии. тем не мение, Вы можете выбрать доступ к программному обеспечению в качестве облачной службы, которая не зависит от системы.

Функция системного журнала в PRTG называется Syslog Receiver. Это позволит собрать все данные системного журнала, путешествующие по вашей сети, и записать их в базу данных. После того, как сообщения находятся в базе данных, последующее управление этими записями зависит от настроек, которые вы указываете для системы. Вы можете записывать их в файлы журналов, запрашивать их на панели инструментов PRTG и запускать действия при определенных условиях. Вы можете скачать и оценить бесплатную пробную версию здесь.

Сетевой монитор Paessler PRTGСкачать 30-дневную бесплатную пробную версию

3. Loggly (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)

Loggly является облачный консолидатор и анализатор логов. Таким образом, вам не нужно устанавливать какое-либо программное обеспечение в вашем помещении, вам просто нужно настроить процедуры автоматической передачи файлов для загрузки журналов на сервер Loggly..

Система Loggly сохраняет ваши Сообщения системного журнала в стандартизированном формате. Он также будет принимать журналы от Amazon Web Services (AWS), Docker, Logstash и множества других систем захвата журналов. Все эти записи адаптированы таким образом, чтобы доступ к информации в них был единым образом. Как только ваши журналы будут в системе Loggly, вы сможете анализировать их с помощью инструментов онлайн-сервиса..

Большим преимуществом использования Loggly является то, что вы получаете место для хранения, включенное в сделку. Вам нужно сделать резервную копию всех ваших файлов журналов на другом сайте, отличном от вашего собственного сайта, чтобы убедиться, что активный хакер не проник в вашу систему и не удалил все записи о его действиях. Так что вам все равно придется искать решение облачного хранилища. Регистрация на сервис Loggly дает вам отскок к архивированию ваших журналов, делая данные доступными для анализа.

Время, в течение которого ваши данные журнала доступны в системе Loggly, зависит от того, на какой из четырех пакетов вы подписались. Lite Пакет постоянно бесплатен, но он сохраняет данные только в течение семи дней и позволяет использовать только одну учетную запись пользователя. стандарт Пакет позволяет вам передавать один ГБ данных в день и будет хранить ваши записи в течение месяца. профессионал Служба Loggly имеет метод с переменной ценой и позволяет вам передавать данные от трех до двадцати ГБ в день с периодом хранения от пятнадцати до девяноста дней. Верхняя упаковка называется предприятие и это специально для клиента отделом продаж.

Все услуги оплачиваются по подписке, и вы можете выбрать оплату ежегодно или ежемесячно. Вы можете попробовать платную учетную запись Loggly на 14-дневная бесплатная пробная версия — вам не нужно предоставлять какие-либо платежные реквизиты при регистрации в пробной версии. Ваша учетная запись будет просто уменьшена до Lite пакет, если вы решите не переходить на платную услугу в конце четырнадцати дней.

Loggly Log ManagementЗагрузить 14-дневную бесплатную пробную версию

4. ManageEngine EventLog Analyzer (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)

EventLog Analyzer ManageEngine работает как сервер Syslog и является бесплатно до пяти источников журнала. Программное обеспечение для мониторинга может быть установлено на Windows или Linux, но он может отслеживать события, возникающие в любой операционной системе. Данные системного журнала могут поступать из любого подключенного к сети оборудования, включая коммутаторы, маршрутизаторы и виртуальные машины.

Вам не нужно тратить много времени на настройку системы благодаря функции автообнаружения. Syslog — это стандарт обмена сообщениями, который реализуется практически всеми устройствами, подключенными к сети, поэтому EventLog Analyzer просто нужно прослушивать в сети все Syslog-совместимые сообщения рассылается подключенным к нему оборудованием. Каждое сообщение содержит заголовок, который определяет его происхождение. Это позволяет анализатору журналов событий создавать список всего оборудования в сети и выводить список предупреждений и отчетов о состоянии по IP-адресу / источнику..

Панель управления ManageEngine включает в себя множество функций, которые позволяют вам указать действия, которые нужно выполнить с собранными данными системного журнала.. Типичным требованием к серверу системного журнала является запись всех записей в журналы событий.. Это действие доступно, но вы также можете запрашивать записи на панелях мониторинга, а также сортировать и фильтровать сообщения. Архивные журналы могут быть сжаты и зашифрованы. Шифрование позволяет накладывать права доступа на учетные записи пользователей., таким образом, видимость данных в файлах системного журнала может быть ограничена только несколькими пользователями сети с правами администратора..

EventLog Analyzer также может следить за сообщениями SNMP. ManageEngine производит комплексную систему мониторинга сети, которая называется OpManager. Бесплатное издание Этот инструмент доступен только для 5 источников журналов. Вы также можете скачать 30-дневная бесплатная пробная версия из Premium Edition. Для получения более подробной информации о ценах вы можете связаться с их отделом продаж.

ManageEngine EventLog AnalyzerDownload 30-дневная бесплатная пробная версия

5. WhatsUp Syslog Server

IPswitch выпускает успешный инструмент для мониторинга сети под названием WhatsUp Gold. Они также предлагают бесплатный сервер Syslog, который можно использовать как отдельную утилиту или интегрировать в пакет WhatsUp Gold. WhatsUp Syslog Server можно использовать бесплатно и может быть установлен на Windows.

Этот инструмент охватывает основные функции сервера Syslog: захват данных Syslog и их сохранение в журналах событий. Помимо этой стандартной функциональности, пакет предоставляет вам еще несколько возможностей, которые помогут вам лучше организовывать сообщения Syslog и обрабатывать их. Вы можете пересылать сообщения в другие приложения и сохранять записи в разные файлы выборочно. Сервер системного журнала включает консоль, на которой вы можете отображать записи и указывать, как программа работает с каждым типом сообщений..

Программа просмотра системного журнала показывает вам живые данные, как они поступают и вы можете фильтровать и сортировать записи, чтобы сосредоточиться на одном источнике типа сообщения. Объемы данных, которые инструмент может обработать, означает подходит для всех размеров сети, хотя это бесплатно. Консоль может обрабатывать до шести миллионов сообщений в час. Вы также можете импортировать архивные записи, чтобы анализировать события и получать долгосрочное представление о производительности сетевого оборудования..

Функции управления консоли позволяют указывать шаблоны, выделяющие конкретные условия оповещения или IP-адрес источника сообщения. Вы также можете создавать собственные предупреждения, указав комбинации условий, которые должны быть переведены в состояние предупреждения..

6. Системный журнал Watcher

Syslog Watcher от EZ5 Systems доступен для установки на Windows. Это бесплатный сервер системного журнала Программа с рядом дополнительных функций мониторинга. Поскольку почти каждое устройство, подключенное к вашей сети, отправляет сообщения системного журнала, сервер системного журнала должен работать быстро, если вы хотите, чтобы он делал больше, чем просто собирал и записывал эти сообщения в файл.. Syslog Watcher использует многопоточную архитектуру, поэтому сбор новых записей не задерживается до завершения обработки.

Панель управления предоставляет вам варианты обработки сообщений. Вы не ограничены хранением их в файлах, потому что у вас есть возможность записи их в базу данных. Получение сообщений Syslog в базе данных дает вам гораздо больше возможностей для работы с записями событий, потому что вы можете сортировать, фильтровать, группировать и считать их. Это позволяет вам комбинировать события для создания условий оповещения клиента. Вы можете получать оповещения, отправленные вам по электронной почте через Syslog Watcher.

Syslog Watcher может отслеживать сообщения как по UDP, так и по TCP и работать как с адресными системами IPv4, так и с IPv6..

ОБНОВИТЬ: Syslog Watcher бесплатен для домашнего использования. Бизнес-пользователи должны платить за инструмент. Тем не менее, EZ5 Systems предлагает 30-дневная гарантия возврата денег. Итак, если вы хотите попробовать его бесплатно, просто используйте его в течение месяца, а затем попросите вернуть свои деньги.

7. Системный журнал Fastvue

Fastvue специализируется на средствах сообщения о системных сообщениях. Одним из ее продуктов является бесплатная утилита сервера Syslog. Это программное обеспечение может быть установлено на Windows Server 2008 R2 и более поздние версии операционной системы Windows Server.

Система Syslog собирает входящие сообщения и записывает их в журналы событий. Это заботится о вашей основной функции сервера Syslog. Панель инструментов инструмента Fastvue проверяет все ваши архивные файлы и предоставляет отчет о размере каждого файла. Файлы сортируются по дате, и каждый из них становится партнером с помощью файла подтверждения, в котором хранится количество хэшей SHA-256. Следя за этой информацией, вы узнаете, не вмешивался ли файл журнала. Это важная функция для обнаружения вторжений, потому что хакеры будут изменять файлы журналов, чтобы скрыть свое присутствие.

Fastvue Syslog компилирует отдельные файлы журналов для каждого сообщающего устройства / IP-адреса, поэтому вы получаете каталоги файлов для каждого адреса устройства. Каждый файл содержит дневные сообщения с данными системного журнала, поступающие с устройства, которое скрывает каталог.

Этот сервер системного журнала фокусируется на создании и мониторинге файлов сообщений системного журнала, а не на предоставлении доступа к этим записям для анализа. Если вам нужна консоль для анализа записей, вам нужно будет импортировать файлы журналов в другое приложение.

8. Чувак

Чувак очень широко используется бесплатный инструмент для анализа сети это включает в себя функции сервера Syslog. Это приложение может быть установлено на любая версия Windows от Windows 2000, все версии Linux и macOS. Этот инструмент производится MikroTik, производителем маршрутизаторов из Латвии..

Эта система может контролировать ваши сетевые устройства и собирать данные системного журнала. Он может обрабатывать предупреждения SNMP, а также трафик ICMP и DNS. Чувак может контролировать как трафик TCP, так и UDP. Функции мониторинга сети включают автообнаружение и отображение топологии сети.

Доступ к функциям системного журнала The Dude можно получить на вкладке интерфейса.. Система может работать как полноценный сервер Syslog с дополнительными возможностями пересылки и фильтрации.. Вы можете заставить The Dude просто отправлять все записи в файл или указать правила для перенаправления соответствующих сообщений в другие места назначения, которые могут быть отдельными журналами событий или консолью системы. Вы также можете удалить определенные записи и заставить систему подавать звуковой сигнал, мигать или отображать всплывающее сообщение для пользовательских условий оповещения.

Чувак выполняет действия, когда он обнаруживает заданное условие оповещения, включая выполнение команд. Чувак может отправить вам электронное письмо или сделать устное объявление при обнаружении пользовательского условия оповещения.

9. Логос Nagios

Nagios основан на проекте с открытым исходным кодом. Возможность загрузки исходного кода для системы означает, что вы можете использовать его для свободно. Тем не менее, существуют ограничения на бесплатную версию Nagios. Вы можете использовать систему бесплатно только до 500 МБ пропускной способности в день. Программное обеспечение Nagios может быть установлено на Windows и Linux.

Сервер журнала может собирать информацию о событиях Windows, системных журналах Linux и системных журналах сетевых устройств. Приложение объединяет сообщения журнала в одном центральном месте. Вы можете назначать физические серверы для хранения журналов событий, распределять хранилище по кластеру серверов, даже дублировать файлы в разных местах для создания резервных копий..

Консоль позволяет вам просматривать прямые трансляции сообщений журнала и получать доступ к ранее сохраненным данным системного журнала. Интерфейс включает в себя функции сортировки и фильтрации, которые помогут вам анализировать сообщения. Вы можете указать условия оповещения, которые могут состоять из комбинации состояний или обозначаться как оповещение о частоте появления определенных типов сообщений.. Возможности настройки Nagios распространяются даже на приборную панель. Можно заполнить панель мониторинга приоритетными функциями, включая списки сообщений. Другие элементы, которые вы можете разместить на панели инструментов, включают инструменты визуализации данных, такие как графики, гистограммы и диаграммы..

10. Ицинга 2

Исинга начинал как развилка Нагиоса. С момента своего создания в 2009 году этот пакет отошел от своего предшественника. Последняя версия программного обеспечения называется Icinga 2, и ее можно установить на Linux. Пакет состоит из двух частей. Основная система это процессор данных, и последняя версия этого программного обеспечения называется Icinga 2. Бэкэнд может взаимодействовать с целым рядом приложений для управления данными, в том числе графит и InfluxDB. Команда Icinga также производит свой собственный интерфейс, называемый Веб 2.0, который доступен на веб-сайте Icinga в отдельной загрузке.

Icinga 2 — это комплексный инструмент для мониторинга сети, одной из функций которого является функция регистрации. Вы можете установить источник регистрации данных Syslog. По желанию, регистратор может быть настроен на сбор сообщений Syslog определенного уровня серьезности. Он не ограничит сбор сообщений только указанным уровнем серьезности, но будет записывать все сообщения с заданным уровнем серьезности, а также сообщения с более высоким уровнем серьезности. Последовательность типов сообщений: «отлаживать,«уведомление,«Информация,«предупреждение,» и «критический.Уровень по умолчанию — «предупреждение», поэтому, если вы просто укажете регистратору на Syslog, не указав минимальный уровень серьезности, он подберет все предупреждения и критические сообщения..

Если вы посмотрите на сайт Icinga по цене, вы не найдете его, потому что этот инструмент мониторинга сети совершенно бесплатно.

11. Сервер визуальных системных журналов

Visual Syslog Server — это небольшая утилита, которая собирает данные Syslog и отображает их в средстве просмотра. Записи также могут быть записаны в журналы событий и повернуты по дате или размеру файла. Это приложение может быть установлено на Windows и это доступно бесплатно. Программное обеспечение может быть установлено на Windows XP и выше, а также в Windows Server 2003, 2008 и 2012.

На панели инструментов записи имеют цветовую кодировку с сообщениями об ошибках красного цвета и предупреждениями желтого цвета. Эти цвета могут быть настроены. Вы получаете в реальном времени сообщения и вы также можете загружать записи в программу просмотра из файлов..

Хотя эта утилита не имеет сложной графики или вариантов обработки, она легкая и быстрая, поэтому у нее есть рынок. Зритель представляет записи и позволяет фильтровать их и сортировать их. Интерфейс может быть настроен на воспроизведение звука при возникновении состояния тревоги. Вы также можете установить приложение на отправить вам электронное письмо, когда оно обнаружит предупреждение или предупреждение. Если ваша система электронной почты поддерживает шифрование, Visual Syslog Server будет шифровать отправляемые вам электронные письма с уведомлениями. Это удобный, бесплатный, готовый к использованию инструмент, который выполняет свою работу.

12. Системный журнал-NG

Syslog-NG является открытый источник пакет, который бесплатно использовать. Программное обеспечение для Syslog-NG может быть установлено только на Linux. Однако система управления журналами может собирать данные о событиях Windows, а также стандартные сообщения системного журнала, генерируемые микропрограммой для Linux, Unix и устройств..

Система Syslog-NG будет собирать все сообщения Syslog (и события Windows) с устройств, подключенных к вашей сети, записывая IP-адрес источника.. Назначение по умолчанию для этих записей — журналы событий.. Тем не менее, вы также можете пересылать сообщения системного журнала другим приложениям или вставлять их в базу данных SQL. Syslog-NG — это чистый сервер Syslog, так как он имеет дело только с захватом сообщений Syslog. Syslog-NG реорганизует системные сообщения, поступающие в разных форматах, чтобы они сохранялись в одном макете.

Другие серверы системного журнала в этом списке могут анализировать данные из сообщений. Некоторые серверы Syslog имеют привлекательные информационные панели с функциями визуализации данных. Вы не получите ничего подобного с Syslog-NG. Если вы хотите получить больше функциональности для обработки сообщений системного журнала, вам нужно добавить инструмент анализа данных.

13. Nxlog

Этот обзор включает программы сервера Syslog, которые могут быть установлены в Windows и / или Linux. Nxlog может быть установлен на любую из этих операционных систем, а также на Unix и Android. В какой бы операционной системе вы не установили эту систему, она сможет собирать данные системного журнала из всех остальных — Unix, Linux, Windows и Android.

Nxlog — это простая система сбора сообщений. Он может работать через UDP и TCP и может получать сообщения, защищенные шифрованием TLS. Сообщения записываются в файлы, а также могут храниться в базах данных. Во всех случаях Nxlog создает стандартный формат записи, объединяющий данные из разнородных источников.. Многопоточная архитектура позволяет этому инструменту обрабатывать сотни тысяч сообщений в секунду, делая его подходящим для всех размеров сети.

Система Nxlog с открытым исходным кодом, и вы можете использовать ее бесплатно. В этом инструменте нет никаких аналитических функций, поэтому, если вы хотите просматривать записи или каким-либо образом манипулировать ими, вам потребуется найти отдельный интерфейс для анализа. Это простой способ сбора сообщений и создания лог-файлов., делая его чистым сервером Syslog.

14. Logstash

Logstash является частью набора утилит под названием «Эластичный стек.Эта группа инструментов создается группой разработчиков, чей первый продукт называется Elasticsearch. Elasticsearch является вторым элементом в Elastic Stack, как и Kibana. Разделение труда между этими тремя пакетами состоит в том, что Logstash собирает сообщения журнала, Elasticsearch позволяет сортировать и фильтровать эти сообщения для анализа, а Kibana интерпретирует и отображает данные.. Все программы Elastic Stack работают в Linux.

Kibana — отличный интерфейс для любого из других серверов Syslog из этого списка. В качестве службы сбора сообщений о событиях для стека, Logstash работает как сервер Syslog. Утилита прослушивает в сети сообщения, отправленные из самых разных источников.. Чтобы записать определенный поток, вам необходимо установить плагин для этого типа данных. Вы можете просто установить плагин Syslog или добавить другие плагины, чтобы включить другие источники данных.

Logstash также собирает данные из облачных сервисов, включая AWS. Он может собирать данные из таких приложений, как Ganglia, Salesforce, Graphite, Kafka и Twitter.. Вы можете настроить процесс сбора, чтобы включить TCP и UDP сообщения и он может получать сообщения, зашифрованные с помощью TLS. Logstash может читать сообщения из файла, из базы данных, получать сообщения SNMP, IRC и RSS-каналы, а также получать сообщения с почтовых серверов..

Logstash может фильтровать переадресацию и переформатировать сообщения во время обработки. Программа хранит записи в файлах или вставляет их в базы данных. Утилита предназначена для интеграции с Elasticsearch и может отправлять данные непосредственно в это приложение. Аналогично, Logstash может быть настроен на вывод данных в Loggly, Nagios, AWS, Graphite и Graylog. Другие плагины будут уведомлять вас о новых данных журнала по электронной почте или сообщением Slack.. Logstash доступен бесплатно.

15. Graylog

Graylog является система управления бревнами доступны для Linux. Это сложный инструмент анализа данных Syslog. Тем не менее, вы можете просто воспользоваться его возможностями сбора и хранения сообщений, чтобы использовать его как чистый сервер Syslog. Graylog свободен для объемов данных 5 ГБ или менее в день. Владельцам небольших сетей не нужно ничего платить за их использование. Функции анализа данных не генерируют дополнительную пропускную способность. Вы не получаете никакой поддержки с бесплатной версией Graylog. Тем не менее, форум сообщества на веб-сайте Graylog заполнен советами и рекомендациями других пользователей..

Graylog находится на вершине программного обеспечения виртуальной машины. Эта базовая система в Linux включает в себя средство rsyslog. Это на самом деле rsyslog, который будет выполнять функции сбора и хранения сообщений Syslog. Вы можете управлять rsyslog через интерфейс Graylog. Если вы платите за Graylog, вы также можете собирать данные через систему Sidecar. Это позволяет хранить журналы событий на компьютерах с Windows.

Внешний интерфейс Graylog основан на браузере. Это будет отображать входные данные по типу, так что вы сможете увидеть ваши сообщения системного журнала вместе в одном разделе панели инструментов. Вы можете настроить панель мониторинга, поэтому, если вы настроите систему на сбор сообщений из нескольких источников, вам не нужно показывать информацию из других источников на той же странице, что и ваши сообщения системного журнала.. Виджеты, доступные для панели инструментов, включают визуализацию данных, например гистограммы..

Панель инструментов позволяет создавать собственные условия оповещения. Вы указываете каждое предупреждение на основе типа потока данных. Например, вы можете выберите поток Syslog UDP, а затем настройте условие оповещения о количестве предупреждающих сообщений, которые поступают через. Системные настройки позволяют получать оповещения, отправленные вам в качестве уведомлений по электронной почте. Процедуры потоковой обработки позволяют вам анализировать записи, пересылать их или сохранять в файле или базе данных.

16. TFTPD32 / 64

TFTPD является небольшая утилита для Windows. Пакет доступен в виде 32-разрядного или 64-разрядного приложения. Центральным элементом этого программного обеспечения является реализация клиента TFTP. Этот клиент может быть настроен на получение сетевых сообщений от серверов DHCP, DNS и SNTP. Он также может получать данные системного журнала.

Это простая утилита с открытым исходным кодом, которая отображает сообщения на панели инструментов по мере их поступления. Кнопки над средством просмотра дают вам возможность просматривать сообщения по типу и Системный журнал — один из типов сообщений, которые могут быть показаны. Вы видите сообщения, когда они перемещаются по пути в журналы событий, и программа просмотра также называет файл, в котором должны храниться сообщения системного журнала. Эта утилита не дает много функциональности для анализа данных. Тем не менее, вы также можете читать записи из файла, а затем у вас есть возможность сортировать и фильтровать сообщения.

TFTPD может работать как с адресами IPv6, так и с адресами IPv4. TFTPD32 и TFTPD64 оба доступно бесплатно.

Серверы системного журнала по ОС

Syslog serverLinuxWindowsOther

киви	нет	да	нет
Paessler PRTG	нет	да	да
Loggly	да	да	да
Анализатор журнала событий	да	да	нет
WhatsUp Syslog Server	нет	да	нет
Syslog Watcher	нет	да	нет
Fastvue Syslog	нет	да	нет
Чувак	да	да	да
Nagios Log Server	да	да	нет
Исинга 2	да	нет	нет
Visual Syslog Server	нет	да	нет
Syslog-NG	да	нет	нет
Nxlog	да	да	да
Logstash	да	нет	нет
Graylog	да	нет	нет
TFTPD32	нет	да	нет

Выбор сервера системного журнала

Как видно из описания инструментов в нашем списке, вы можете выбрать простой сервер Syslog или выбрать аналитический инструмент или систему мониторинга сети, которая включает функции сервера Syslog..

Чтобы квалифицироваться как сервер системного журнала, инструмент должен быть в состоянии собирать системные сообщения написано в соответствии с протоколом системного журнала и хранить их. Возможности пересылки системного журнала очень полезны, так же как и возможность чередовать журналы, что означает периодическое создание новых файлов..

Помимо основных функций передачи сообщений системного журнала в файлы, вы можете искать возможности сортировать и фильтровать сообщения. Полезна возможность варьировать обработку в соответствии с типами сообщений и удалять сообщения отладки и информационные уведомления. Программисту может потребоваться просмотреть эти отладочные сообщения и, следовательно, возможность выборочно направлять типы сообщений в зритель, файл журнала, или база данных может быть очень полезным.

Эволюция обработки Syslog для хранения записей в базе данных, а не в файле предлагает вам большие возможности. Это гораздо проще индексировать, сортировать, искать и фильтровать записи в базе данных, чем манипулировать записями файлов. Это связано с тем, что базы данных включают язык структурированных запросов, который позволяет изолировать поля в записях и выполнять функции выбора, группировки и исключения данных без изменения исходных сохраненных записей..

Еще одно полезное усовершенствование серверов Syslog, доступных сегодня, — это система, которая может собирать сообщения, генерируемые другими платформами и протоколами, такие как журнал событий Windows. Если ваш сервер Syslog может создать стандартизированные форматы записи, это еще один шаг вперед по маршруту, чтобы собрать важную информацию о вашей системе.

Получение предупреждений, созданных для условий, о которых сообщает Syslog, также даст вам дополнительную возможность сосредоточить свою энергию на важных задачах.. Возможность создавать собственные условия оповещения представляет собой прогресс в обработке системного журнала.. Иногда содержимое сообщения может не вызывать беспокойства. Однако внезапное увеличение частоты таких сообщений должно стать предупреждением, и вы можете указать такие условия на многих серверах системного журнала, перечисленных в этом обзоре.. Возможность комбинировать количество типов сообщений или состояний ошибок — еще одна полезная функция что многие современные серверы Syslog включают.

Сервер системного журнала, встроенный в инструмент управления сетью, может обеспечить широкие возможности анализа. Если у вас уже есть все необходимые аналитические инструменты, вам лучше сосредоточиться на инструментах сервера Syslog в этом обзоре. тем не мение, если у вас очень мало средств на программное обеспечение для управления системой, и в настоящее время у вас нет аналитических инструментов, затем перейдите к бесплатной утилите управления системой, которая включает в себя сервер системного журнала, чтобы контролировать вашу ИТ-инфраструктуру.

Управление ИТ-услугами требует соответствующих инструментов. Посмотрите на бесплатные инструменты рекомендуется в этом обзоре, который подходит для вашей операционной системы. Потратьте немного времени, чтобы поиграть с каждым инструментом, чтобы вы могли открыть для себя их функции. Учитывая, что все эти инструменты бесплатны, вам нечего терять, кроме времени, необходимого для их изучения..

Introduction

The syslog (system logging) protocol is used for monitoring network devices and sending log messages to a logging server (a syslog server).

The syslog server and syslog protocol work together to facilitate log tracking and management.

In this article, you will learn what a syslog server is, what it is used for, and see the best syslog servers available for Linux and Windows.

What Is a Syslog Server?

A syslog server collects syslog messages from all devices in a single location, whether it is a bare metal server, a virtual machine, or a software service. The syslog server usually consists of a syslog listener, which receives and interprets the incoming data, and a database for storing the data.

The server collects, filters, and displays the collected messages from all devices and operating systems. A syslog server can usually store the logs for a long time.

Advanced syslog servers provide automated notifications and tailored responses to detected issues — i.e., to run a script, filter and forward a message, create and deliver a report, etc.

With all the benefits and features of a syslog server, it is easy to optimize device performance and health after analyzing server data.

What Is a Syslog Server Used For?

A syslog server’s primary purpose is to collect log messages from the connected network devices and store them in a centralized location for monitoring purposes. The server keeps the logs in a consistent format, allowing users to spot performance irregularities easily.

Use a syslog server to improve network monitoring and management by inspecting network specifics and parameters. Automate actions by setting up automatic alerts about a variation in a device’s data log. Some syslog servers come with a message severity level indicator.

The benefits of using a syslog server and logging data are:

• Reduced number of alerts.
• Reduced downtime.
• Fewer business interruptions.
• Preventive troubleshooting.

Finally, syslog servers can store event logs for a long time, enabling access to historical events. Various syslog servers rotate logs and create new files periodically, thus keeping the data organized.

This section lists the most popular and feature-rich Linux and Windows syslog servers. For a comparison of supported platforms and free trial availability, refer to the table below:

Syslog Server	Supported Platforms	Free Trial
Kiwi	Unix, Linux, Windows	14 days
PRTG	Windows	30 days
Syslog Watcher	Unix, Linux, Windows	Per request
The Dude	Linux, macOS, Windows	/
Visual Syslog Server	Unix, Linux	/
Datagram	Windows	Unlimited trial version
ManageEngine EventLog Analyzer	Linux, Windows	/
Icinga	Unix, Linux	/
GrayLog	Linux	/
WinSyslog	Windows	/
Nagios	Linux, Windows	30 days
Splunkbase	Unix, Linux, Windows	14 days
Progress WhatsUp Gold	Windows	14 days
Logstash	Unix, Linux, Windows	14 days
Loggly	Cloud-based	30 days
Site24x7	Cloud-based	30 days

Free Syslog Servers

The following section lists the best free syslog servers:

1. Kiwi Syslog Server

The Kiwi syslog server was created by SolarWinds. It is a comprehensive logging utility that collects syslog events and messages on Unix, Linux, and Windows and generates reports in plain text or HTML.

Kiwi’s GUI allows users to easily and efficiently manage logs in a single place. The tool can create network traffic graphics and, optionally, send daily summary emails.

The free edition collects syslog messages from up to five devices and provides an option to set up alerts for various events, including heavy traffic, login attempts, hardware failures, etc. Additionally, Kiwi offers the possibility of archiving syslog messages or forwarding them to a database. The free version comes with a trial of full functionalities lasting 14 days.

The full version costs $329 and offers automation, allowing you to set up actions that are automatically triggered by specific events and a web-based interface for remote management.

2. PRTG Syslog Server

The PRTG syslog server is part of the PRTG Network Monitor application, and it is completely free for up to 100 sensors. The free trial allows users to use more sensors for 30 days but later reverts to the free version. The Syslog Receiver sensor for monitoring and analyzing network traffic doesn’t require additional software installations.

PRTG can receive and process up to 10,000 syslog messages per second from network devices and Windows environments. The number depends on the processing power, storage, and overall system configuration.

PRTG offers an intuitive web interface for viewing, analyzing, and filtering syslog messages by type, severity, etc. It also provides message categorization and further filtering to ensure only relevant messages are displayed.

The server offers automation by sending alerts triggered by errors, warnings, or a high number of messages.

3. Syslog Watcher

The SNMPSoft Syslog Watcher is a dedicated syslog server compatible with various devices and software that support syslog sending. The tool collects system log events from Unix, Windows or Linux servers.

The free version allows syslog message collection from five sources, while the professional version supports an unlimited number of sources. Depending on the configuration, Syslog Watcher can handle up to 5,000 syslog messages per second.

Syslog Watcher can collect messages over UDP and TCP and supports IPv4 and IPv6 networks. The utility also enables automation by sending email alerts for specific errors, events, or messages.

Message filtering, storing, and customization depend on filters, the message severity level, and the rules set by the user. Syslog Watcher also offers exporting messages to a database, manually or automatically.

4. The Dude

The Dude is a network management application developed by MicroTik, with a free built-in syslog server. The application offers general network management, while the syslog server captures syslog messages from your devices.

The Dude supports remote logging via RouterOS. It is compatible with Windows-based systems, while on Linux or macOS, it runs using Wine/Darwine.

The server automates maintenance by allowing users to create alerts for specific syslog events or messages and filters.

It includes an auto-discovery feature, automatically mapping nearby devices on the network, which facilitates network building.

5. Visual Syslog Server

Visual Syslog Server is a free and lightweight Windows-based syslog server that monitors incoming data in real-time. It accepts messages via UDP and TCP and stores them on a disk. Previous syslog messages remain on the disk for future analysis as long as the user specifies.

Message filters include filtering based on the host, source address, priority, facility, or message content. Filtering makes it easy to find an issue when dealing with a large data volume.

Users can also configure thresholds for triggering the execution of scripts, programs, or email notifications. Thus, the tool automates problem-solving and reduces response time for pressing issues.

6. Datagram

The Datagram Syslog Server is part of the Datagram SyslogServer Suite. Its Datagram SyslogAgent is installed as a service on Windows clients and servers, supporting Windows 2000 or newer systems.

The program provides enterprise-level functionality, capable of log collection, message filtering, alerts, database storage, and log viewing.

The GUI is intuitive and offers a live network view. The filters include the hostname, process, facility, issue severity, message, or even custom SQL queries.

The trial version is free, supports eight logging IP addresses, but supports the Microsoft Access database only. Entries cannot be backed up or deleted, and there are no email notifications. Users can create ten filters and set up to ten alarms.

On the other hand, the enterprise version costs $200 for 50 IP addresses, $500 for 500, and $900 for 5000 IP addresses. The enterprise version allows users to back up or delete entries, supports MSSQL databases, and sets no limit on creating filters or alarms. It also supports email notifications.

7. ManageEngine EventLog Analyzer

The ManageEngine EventLog Analyzer is a tool that allows the monitoring of up to five devices for free. It is compatible with Windows and Linux, while monitoring works for various devices running any operating system.

The EventLog Analyzer provides a GUI with a real-time log view and comparison, allowing for quick detection of suspicious messages and possible security threats. The functional dashboard enables users to create custom rules for alerts and notifications about security issues. There are also predefined rules for security event logs.

The auto-discovery feature finds devices on the network and facilitates log collection. Each message is labeled, making it clear which device it came from.

Compression and encryption of archived logs restrict data access to users without administrator privileges.

8. Icinga

Icinga is an open-source tool that monitors and reports on device health. This syslog server accepts various modifications that enable it to fit any organization’s network monitoring needs.

The syslog tool collects, stores, and organizes data in a time-series database, showing earlier and current syslog data. It instantly notifies the user about any suspicious data, which helps prevent downtime and allows monitoring based on events.

Icinga’s web interface provides charts and graphs depicting device health and optimizing troubleshooting and debugging. Its integration with other devices facilitates real-time data collection, storage, and visualization of log metrics.

9. GrayLog

GrayLog is an open-source syslog server for Linux. The tool is free for 5 GB of data per day, making it an excellent choice for small networks, but it isn’t suitable for large organizations.

The server includes a query and search function with lots of filters that enable users to find a specific record quickly. The program interface consists of a fully customizable web GUI with graphs, charts, and changeable basic components for creating a custom day-to-day monitoring environment.

The server has prominent security features with automatic email notifications about failed logins, device faults, or security threats. With in-built automatic IP blocking, GrayLog can prevent an attack as soon as it recognizes one.

The app also offers fault tolerance features, audit logs, and role-based access control, further increasing security.

10. Windows Syslog Server

WinSyslog is a syslog server designed for Microsoft Windows. It supports syslog monitoring via UDP or TCP and it is free for displaying 60 messages at a time, with free troubleshooting support. Paid versions unlock additional features, provide greater security and unlimited device support.

WinSyslog is reliable, highly scalable, and collects syslog messages from any device compatible with the syslog protocol. It maintains device health using the Active Status Monitor feature, which pings the selected device and warns the admin if there is no response.

The server creates a daily log containing the received syslog messages, with customizable size and storage options. Store the file in a database or write it to the event log of Windows NT, 2000, or XP systems.

The program also features an automatic email notification in case of a security issue.

Paid Syslog Servers

The following is a list of the best paid syslog servers:

1. Nagios Log Server

Nagios is a scalable syslog server that helps monitor systems, networks, and infrastructure. While it does offer a free plan, it is only 500 MB/day, making it unsuitable for medium and large businesses.

Other pricing plans are:

• Single Instance. For $1,995, it covers only one installation, which excludes failover. With this purchase, the data plan is unlimited.
• Two Instances. Costing $4,995, it covers two separate installations, which allow for redundant data with automatic failover.
• Four Instances. Costing $6,995, it allows four separate installations, further increasing redundancy and speeds.
• Ten Instances. At $14,995, it allows for ten installations with maximum redundancy and query speeds.

The server can receive logs from a wide variety of operating systems and devices, including Windows, Linux, mail servers, Web and application servers, SQL servers, etc. It is customizable, with configurable thresholds, email notifications, script execution, or alert forwarding.

The dashboard provides an overview of all logs over time, with customizable filters that include the timestamp, ID, host, message, severity, program, etc. The tool generates reports which are also customizable and that automatically update in real-time.

2. Splunkbase

Splunk is a syslog server used for monitoring, querying, analyzing, and visualizing log data in real-time. It is a paid tool with a 60-day free trial that includes syslog features. The server is compatible with Linux and macOS.

Splunk costs $1,150 per GB of data for a yearly 15 GB license, including maintenance.

Splunk features an intuitive and user-friendly UI with real-time statistics and a customizable dashboard.

It includes powerful search functionalities and filters that narrow every search down to the messages the user needs, such as error messages or device-specific messages. Splunk allows users to perform Boolean, quoted string, and wildcard searches in real-time, time range, or transaction level.

3. Progress WhatsUp Gold Log Management

Progress WhatsUp Gold (formerly IPSwitch) is a paid syslog server that comes with a free 14-day trial. The syslog management tool is an add-on to the WhatsUp Gold monitoring tool for Windows Server, and it also receives Windows Events messages.

The price plans differ for a subscription and a perpetual license. For example, the pricing plans for a 1-year license include:

• 5 Servers — $1,325
• 10 Servers — $2,300
• 25 Servers — $5,250

The logging tool receives the log and Windows event messages and files them together. If there are sudden out-of-band increases or decreases, the tool creates an alert and notifies the user.

The customizable drag & drop dashboard shows messages in real-time as they arrive. Color-coded icons and graphs improve the visibility of each message’s severity, allowing the team to react immediately.

WhatsUp’s interactive interface shows each device’s availability and performance, both on-premise and in the cloud.​

4. Logstash

Logstash is part of a software suite called ELK stack that collects log messages. One part of the stack, Elasticsearch, sorts and filters the messages for analysis, while Kibana processes and displays the data. All technologies in the ELK stack are Linux-based, but work on macOS as well.

Logstash comes in four pricing plans:

• Standard. For $16 per month.
• Gold. Costs $19 per month.
• Platinum. Costs $22 per month.
• Enterprise. Contact the sales team for a quote.

Logstash listens on the network for messages coming from a wide variety of devices, but also supports collecting data from cloud services and applications. It collects logs via TCP or UDP, and it also supports TLS-encrypted messages.

Logstash can read messages from a file or database, get messages from mail servers, IRC or RSS feeds, and pick up SNMP messages. The filters allow users to find specific messages and quickly resolve any issues.

The front-end part of the ELK stack, Kibana, works well for any syslog server.

5. Loggly

Loggly is a cloud-based syslog consolidator and analyzer. It doesn’t require software installations on-premises but requires setting up automated file transfer procedures that upload the logs to the Loggly server.

The utility comes in four pricing plans:

• Lite. Free, includes 200 MB/day, and retains data for seven days.
• Standard. Starting at $79/month, it limits data to 1 GB/day and retains data for 15 days.
• Pro. Starting at $159/month, data volume is up to 100GB/day, and retains data for up to 30 days.
• Enterprise. With a starting price of $279/month, it includes a custom data volume and retains the log data for up to 90 days.

Loggly standardizes and stores syslog messages from many sources, allowing users to access the data uniformly. Once the data is stored, it is accessible via the log analysis tools in the online service.

Loggly includes storage space with the software purchase, but since it stores data remotely and offsite, it is good to back up the log files on another site to improve system security. Data retention depends on the purchased package.

6. Site24x7 Server Monitoring

Site24x7 is a cloud-based monitoring and management software suite that includes the Log Manager. The Site 24×7 Infrastructure utilities offer a 30-day free trial. A monthly subscription comes with a 500 MB log processing allowance costing $9 with the following possible upgrades:

• 10 GB. Costs $10 per month.
• 100 GB. Costs $95 per month.
• 1 TB. Costs $900 per month.

Although the system is cloud-based, a Site24x7 agent must be installed on the monitored system for the Log Manager to work. The agent is compatible with Linux and Windows server.

When receiving syslog messages, the server standardizes them and files the messages in the same format. Message standardization allows users to analyze messages from different sources together.

The dashboard includes many data analysis options within the log file viewer tool, including log querying, sorting, filtering, and grouping messages.

How to Choose a Syslog Server?

There are several factors to consider when choosing a syslog server:

• Business Size. A paid syslog server is probably a better choice for a large enterprise due to the data volume and device number restrictions of free servers. On the other hand, a free syslog tool can provide the necessary functionalities for small businesses with low device numbers and a small data volume.
• Support. If your organization doesn’t have skilled IT staff or if you need help setting up the software, a paid tool usually includes support and troubleshooting assistance. Some free utilities also have basic documentation, but don’t offer round-the-clock support and troubleshooting.
• Storage. A better choice for businesses with their own storage capacities are syslog servers sold as a software suite, which are installed on-premises. An on-premises option improves security and lowers the chance of a data breach. On the other hand, some syslog tools are sold as a cloud-based syslog service, which is a good choice if you don’t have your own storage.

Conclusion

This article listed the 16 best syslog servers, their benefits, features, capabilities, and pricing. You should now be able to decide which syslog server is the most suitable for your organization.