Desenvolvimento

Logwatch

Descrição

Em virtude da heterogeneidade da infraestrutura de TI da empresa, com servidores, estações e serviços disponibilizados de forma descentralizada e em várias plataformas diferentes, fica evidente a dificuldade de análise da grande massa de dados gerada por esses ativos.

Arquivos de log são a melhor, se não a única, forma de verificar a extensão de um incidente de segurança, identificando que ativo foi violado e que informação foi exposta. Porém, a maioria dos sistemas armazenam seus eventos em arquivos de log no próprio equipamento. Esses dados quase nunca são auditados, tornando o processo de análise ineficiente, pois:

Normalmente, o processo de análise é feito de forma localizada e sem padronização, demandando um grande esforço para atender uma solicitação urgente. Sem ferramentas que possibilitem velocidade no levantamento das informações, a análise e correção de problemas torna-se uma tarefa muito complicada e custosa.

A gerência e análise dos dados dos ativos torna-se, assim, uma atividade indispensável, gerando informações e conhecimento único para a empresa na correta aplicação de seus recursos.

Diante desse cenário, fica evidente que as empresas precisam de uma solução ágil, simples e eficaz para atender suas necessidades de monitoramento e resposta aos eventos de segurança e da sua infraestrutura de TI.

Com o LogWatch você pode implementar facilmente vários agentes para reunir os eventos do seu ambiente distribuído, incluindo sistemas operacionais, produtos de segurança, equipamentos de rede, bases de dados e aplicações de mercado.

Como o Logwatch Funciona?

O LogWatch coleta os logs/informações remotamente ou através da instalação de um agente de extração de dados em cada equipamento, sistema ou aplicação, conforme a necessidade do usuário, e os consolida em um equipamento central da rede.

Arquitetura LogWatch

Os agentes extraem e transferem os dados para o repositório central através de protocolos seguros, gerando alertas e disponibilizando as informações relevantes para os usuários através de uma interface própria de visualização, via Web, ou de qualquer programa de manipulação de bases de dados e relatórios.

Como a arquitetura do LogWatch é bastante flexível, um grande número de equipamentos pode ser incorporado à solução. Qualquer equipamento da rede pode exportar seus logs para o repositório central, seja via extrator próprio do LogWatch ou syslog, caso não seja possível instalar um agente no equipamento.

As opções de filtragem de eventos disponíveis no processo de extração reduzem a quantidade de eventos, removendo àqueles menos significativos para o processo de análise. Com isso, o volume de dados transmitidos é reduzido, assim como a largura de banda necessária para sua transmissão.

Com a configuração adequada, o LogWatch provê os serviços necessários para transmitir os dados com segurança através do Firewall e da Internet.

Após o processamento dos dados dos ativos, as informações geradas ficam disponíveis em uma base centralizada, acessada via Web. Uma vez cadastrado no sistema, o usuário pode acessar seus relatórios e gráficos, com visões técnicas para atender a equipe de TI, bem como visões consolidadas para atender necessidades das áreas de segurança de informações e auditoria.

Veja os Benefícios do LogWatch.