Grundlagen

Log-Management

Mit Virtualisierung und Cloud-Umgebungen wächst üblicherweise die Zahl der Server und Dienste. Wenn alle diese ihre Aktivitäten protokollieren, sieht sich der Administrator einer immer größeren Menge an Log Files gegenüber. Log-Management hilft hierbei den Überblick zu behalten.
Wer Ordnung in den Wust seine Logs bringen möchte, braucht leistungsfähige Management-Tools, die dabei helfen, Log-Daten zu sammeln und auszuwerten. Je nach Anforderung gibt es dafür verschiedene Lösungen.

Zunächst einmal stellt sich die Frage nach der Qualität der geloggten Daten. Am einfachsten sind in jedem Fall Log-Dateien im Textformat zu verarbeiten. Nicht nur Windows setzt aber bei seinem Event-Log auf Binärdaten, auch das moderne Linux-Init-System Systemd verwendet mittlerweile Binär-Logs - sehr zum Leidwesen vieler Administratoren.

Bei Linux- und Unix-Systemen gibt es mit Syslog einen Quasi-Standard, der es erlaubt, von verschiedenen Diensten die Log-Daten an einen zentralen Service zu schicken. Da diverse Syslog-Implementierungen wie Rsyslog netzwerkfähig sind, kann dies auch ein zentraler, darauf spezialisierter Server übernehmen - der erste Schritt zum Log-Management. So schicken etwa Mailserver wie Postfix ihre Protokoll an Syslog, das daraus eine Log-Datei macht. Weitere Tools wie Logrotate sorgen dafür, dass beispielsweise für jeden Tag eine neue Datei angefangen wird. Das funktioniert beispielsweise auch mit dem Apache-Webserver, der aber seine Logs lieber selber auf die Platte schreibt.

Noch komfortabler wird die Sache, wenn zum Log-Management  spezialisierte Software zum Einsatz kommt. Sie beherrscht im Optimalfall verschiedene Log-Formate, normalisiert die Daten und speichert sie zur späteren Auswertung ab. Sie bietet die Möglichkeit, Log-Daten nach bestimmten Kriterien zu filtern und zu sortieren. Auch eine Suche ist oft Bestandteil des Funktionsumfangs. Um die Logs verschiedener Programme zu verarbeiten, bringt Log-Management-Software meist Parser mit, die das jeweilige Format verstehen. Ist ein Format nicht unterstützt, kann der Anwender oft mit Regular Expressions Regeln schreiben, die Log-Zeilen verarbeiten.

Im Bereich von Security-Software hat sich hierbei noch eine weitere  Spezialisierung ergeben, das Security Incident und Event Monitoring (SIEM). Hierbei werden Logs und andere Event-Quellen überwacht, korreliert und mit Mustern in einer Datenbank verglichen, um möglichen Einbrüchen und anderen Sicherheitsproblemen auf die Spur zu kommen. Ein Beispiel aus der Open Source-Welt ist OSSIM, das mit AlienVault ein kommerzielles Gegenstück besitzt.

Eventkorrelierung ist auch in anderen Fällen nützlich, zum Beispiel beim Performance-Monitoring. Dazu gibt es beispielsweise die kostenlose Lösung Simple Event Correlator [1], die Log-Dateien überwacht, auf vom Anwender vorgegebene Muster untersucht und gegebenenfalls mit anderen Log-Daten korreliert.

In der Open Source-Welt gibt es für Log-Management eine große Auswahl an Programmen wie Logstash, Octopussy oder Graylog (siehe dazu IT-Administrator 03/2015 [2]), doch auch Monitoring-Systeme können diese Aufgabe übernehmen. Neben kommerziellen On Premise-Lösungen bieten Hersteller heute auch häufig Log-Management als Service an. 
12.03.2015

Nachrichten

Paketanalyse mit Wireshark-Funktionen [19.11.2019]

Allegro Packets rollt für seine Analyse- und Monitoring-Software "Allegro Network Multimeter" ein umfassendes Upgrade aus. Highlight der Firmware 2.5 ist laut Hersteller das Feature Webshark, das Funktionen von Wireshark direkt im Browser bereitstellt. [mehr]

Besser im Blick [18.10.2019]

Axis Communications, Anbieter netzwerkbasierter Video-, Audio- und Zutrittskontrolllösungen, kündigt mit der "AXIS Companion version 4" die neueste Version seiner Software zur Verwaltung von Sicherheitssystemen an. Das Produkt bietet einige erweiterte Funktionen, unter anderem lassen sich Warnmeldung direkt an ein mobiles Gerät senden und die Systemverwaltung per Fernzugriff tätigen. [mehr]

Tipps & Tools

Fernzugriff auf PRTG Core Server [24.11.2019]

PRTG Network Monitor wird in vielen Unternehmen für das Monitoring der IT-Infrastruktur verwendet. Nicht selten kommt die Frage auf, wie der Zugriff auf den PRTG Core Server auch von außerhalb des Unternehmensnetzwerks möglich ist. Was der Admin hier beachten muss und welche Vorkehrungen wichtig sind, um Zugriffe durch unautorisierte Dritte zu verhindern, zeigt dieser Tipp. [mehr]

Standorte und Subnetze überprüfen [14.11.2019]

Domänencontroller spielen eine zentrale Rolle in der IT-Infrastruktur eines Unternehmens und stellen den Admin oftmals vor Herausforderungen. Besonders wichtig ist es, die Standorte und Subnetze der Infrastruktur regelmäßig dahingehend zu überprüfen, ob die Subnetze noch den korrekten Standorten zugewiesen sind und ob die Domänencontroller noch abrufbar sind. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen