Grundlagen

Log-Management

Mit Virtualisierung und Cloud-Umgebungen wächst üblicherweise die Zahl der Server und Dienste. Wenn alle diese ihre Aktivitäten protokollieren, sieht sich der Administrator einer immer größeren Menge an Log Files gegenüber. Log-Management hilft hierbei den Überblick zu behalten.
Wer Ordnung in den Wust seine Logs bringen möchte, braucht leistungsfähige Management-Tools, die dabei helfen, Log-Daten zu sammeln und auszuwerten. Je nach Anforderung gibt es dafür verschiedene Lösungen.

Zunächst einmal stellt sich die Frage nach der Qualität der geloggten Daten. Am einfachsten sind in jedem Fall Log-Dateien im Textformat zu verarbeiten. Nicht nur Windows setzt aber bei seinem Event-Log auf Binärdaten, auch das moderne Linux-Init-System Systemd verwendet mittlerweile Binär-Logs - sehr zum Leidwesen vieler Administratoren.

Bei Linux- und Unix-Systemen gibt es mit Syslog einen Quasi-Standard, der es erlaubt, von verschiedenen Diensten die Log-Daten an einen zentralen Service zu schicken. Da diverse Syslog-Implementierungen wie Rsyslog netzwerkfähig sind, kann dies auch ein zentraler, darauf spezialisierter Server übernehmen - der erste Schritt zum Log-Management. So schicken etwa Mailserver wie Postfix ihre Protokoll an Syslog, das daraus eine Log-Datei macht. Weitere Tools wie Logrotate sorgen dafür, dass beispielsweise für jeden Tag eine neue Datei angefangen wird. Das funktioniert beispielsweise auch mit dem Apache-Webserver, der aber seine Logs lieber selber auf die Platte schreibt.

Noch komfortabler wird die Sache, wenn zum Log-Management  spezialisierte Software zum Einsatz kommt. Sie beherrscht im Optimalfall verschiedene Log-Formate, normalisiert die Daten und speichert sie zur späteren Auswertung ab. Sie bietet die Möglichkeit, Log-Daten nach bestimmten Kriterien zu filtern und zu sortieren. Auch eine Suche ist oft Bestandteil des Funktionsumfangs. Um die Logs verschiedener Programme zu verarbeiten, bringt Log-Management-Software meist Parser mit, die das jeweilige Format verstehen. Ist ein Format nicht unterstützt, kann der Anwender oft mit Regular Expressions Regeln schreiben, die Log-Zeilen verarbeiten.

Im Bereich von Security-Software hat sich hierbei noch eine weitere  Spezialisierung ergeben, das Security Incident und Event Monitoring (SIEM). Hierbei werden Logs und andere Event-Quellen überwacht, korreliert und mit Mustern in einer Datenbank verglichen, um möglichen Einbrüchen und anderen Sicherheitsproblemen auf die Spur zu kommen. Ein Beispiel aus der Open Source-Welt ist OSSIM, das mit AlienVault ein kommerzielles Gegenstück besitzt.

Eventkorrelierung ist auch in anderen Fällen nützlich, zum Beispiel beim Performance-Monitoring. Dazu gibt es beispielsweise die kostenlose Lösung Simple Event Correlator [1], die Log-Dateien überwacht, auf vom Anwender vorgegebene Muster untersucht und gegebenenfalls mit anderen Log-Daten korreliert.

In der Open Source-Welt gibt es für Log-Management eine große Auswahl an Programmen wie Logstash, Octopussy oder Graylog (siehe dazu IT-Administrator 03/2015 [2]), doch auch Monitoring-Systeme können diese Aufgabe übernehmen. Neben kommerziellen On Premise-Lösungen bieten Hersteller heute auch häufig Log-Management als Service an. 
12.03.2015

Nachrichten

Hybride Umgebungen im Blick [17.09.2019]

tribe29 kündigt mit "Checkmk 1.6" die jüngste Ausgabe seines Monitoringwerkzeugs an. Die ab dem 24.09.19 erhältliche Version enthält verbesserte Funktionen zum Überwachen von Cloudumgebungen und Containern und kommt mit einem neuen Dienst zum dynamischen Konfigurieren von Hosts. Bei den erhältlichen Plug-ins gab es einen deutlichen Sprung nach oben. [mehr]

Virtuelle Netzwerke: T-Systems bietet VeloCloud an [12.09.2019]

T-Systems baut ihr Angebot für internationale Firmennetze aus. Die Systemsparte der Telekom schließt hierfür eine Partnerschaft mit VMware und bietet ihren Kunden nun das Software-definierte WAN "VMware SD-WAN by VeloCloud" an. Damit sollen sich Verbindungen in Cloudumgebungen leichter und flexibler skalieren lassen. [mehr]

Tipps & Tools

Jetzt bestellen: "PowerShell" und "Windows 10 im Unternehmen" [7.10.2019]

In seiner Kompakt-Buchreihe bündelt IT-Administrator die besten Artikel zu ausgesuchten Themen. Das neue Buch "PowerShell" beleuchtet den Einstieg in das Framework und stellt unter anderem die Systemverwaltung mit Cmdlets sowie Skripten vor. Wieder erhältlich ist außerdem der Verkaufsschlager "Windows 10 im Unternehmen", diesmal als Kindle-Version. Darin erfahren Sie als Administrator alles Wissenswerte rund um den Betrieb von Windows 10. [mehr]

Jetzt noch buchen: Intensiv-Seminar "PowerShell" und "Windows Server 2019" [30.09.2019]

Für die beiden Intensiv-Seminare Ende des Jahres sind noch Plätze frei. Unser "PowerShell für Admins"-Intensiv-Seminar vom 18. bis 20. November in Hamburg vermittelt Ihnen die Kernkonzepte, Struktur und Einsatzbeispiele der PowerShell. Der Workshop "Windows Server 2019 für erfahrene Admins" vom 9. bis 11. Dezember in München zeigt Ihnen, wie Sie zielsicher in den Untiefen des Servers navigieren und fortgeschrittene Funktionen souverän beherrschen. [mehr]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen