Grundlagen

Log-Management

Mit Virtualisierung und Cloud-Umgebungen wächst üblicherweise die Zahl der Server und Dienste. Wenn alle diese ihre Aktivitäten protokollieren, sieht sich der Administrator einer immer größeren Menge an Log Files gegenüber. Log-Management hilft hierbei den Überblick zu behalten.
Wer Ordnung in den Wust seine Logs bringen möchte, braucht leistungsfähige Management-Tools, die dabei helfen, Log-Daten zu sammeln und auszuwerten. Je nach Anforderung gibt es dafür verschiedene Lösungen.

Zunächst einmal stellt sich die Frage nach der Qualität der geloggten Daten. Am einfachsten sind in jedem Fall Log-Dateien im Textformat zu verarbeiten. Nicht nur Windows setzt aber bei seinem Event-Log auf Binärdaten, auch das moderne Linux-Init-System Systemd verwendet mittlerweile Binär-Logs - sehr zum Leidwesen vieler Administratoren.

Bei Linux- und Unix-Systemen gibt es mit Syslog einen Quasi-Standard, der es erlaubt, von verschiedenen Diensten die Log-Daten an einen zentralen Service zu schicken. Da diverse Syslog-Implementierungen wie Rsyslog netzwerkfähig sind, kann dies auch ein zentraler, darauf spezialisierter Server übernehmen - der erste Schritt zum Log-Management. So schicken etwa Mailserver wie Postfix ihre Protokoll an Syslog, das daraus eine Log-Datei macht. Weitere Tools wie Logrotate sorgen dafür, dass beispielsweise für jeden Tag eine neue Datei angefangen wird. Das funktioniert beispielsweise auch mit dem Apache-Webserver, der aber seine Logs lieber selber auf die Platte schreibt.

Noch komfortabler wird die Sache, wenn zum Log-Management  spezialisierte Software zum Einsatz kommt. Sie beherrscht im Optimalfall verschiedene Log-Formate, normalisiert die Daten und speichert sie zur späteren Auswertung ab. Sie bietet die Möglichkeit, Log-Daten nach bestimmten Kriterien zu filtern und zu sortieren. Auch eine Suche ist oft Bestandteil des Funktionsumfangs. Um die Logs verschiedener Programme zu verarbeiten, bringt Log-Management-Software meist Parser mit, die das jeweilige Format verstehen. Ist ein Format nicht unterstützt, kann der Anwender oft mit Regular Expressions Regeln schreiben, die Log-Zeilen verarbeiten.

Im Bereich von Security-Software hat sich hierbei noch eine weitere  Spezialisierung ergeben, das Security Incident und Event Monitoring (SIEM). Hierbei werden Logs und andere Event-Quellen überwacht, korreliert und mit Mustern in einer Datenbank verglichen, um möglichen Einbrüchen und anderen Sicherheitsproblemen auf die Spur zu kommen. Ein Beispiel aus der Open Source-Welt ist OSSIM, das mit AlienVault ein kommerzielles Gegenstück besitzt.

Eventkorrelierung ist auch in anderen Fällen nützlich, zum Beispiel beim Performance-Monitoring. Dazu gibt es beispielsweise die kostenlose Lösung Simple Event Correlator [1], die Log-Dateien überwacht, auf vom Anwender vorgegebene Muster untersucht und gegebenenfalls mit anderen Log-Daten korreliert.

In der Open Source-Welt gibt es für Log-Management eine große Auswahl an Programmen wie Logstash, Octopussy oder Graylog (siehe dazu IT-Administrator 03/2015 [2]), doch auch Monitoring-Systeme können diese Aufgabe übernehmen. Neben kommerziellen On Premise-Lösungen bieten Hersteller heute auch häufig Log-Management als Service an. 
12.03.2015

Nachrichten

NAC-Daten aus der Vergangenheit [25.03.2019]

Mit dem 'macmon Past Viewer' gibt es nun ein Modul, um die bei Network Access Control nicht mehr benötigten und verworfenen Daten strukturiert aufzubereiten, um neben der Live-Sicht auch eine historische Sicht zu erhalten. Pro Endgerät lässt sich damit darstellen, wann und wo es im Netzwerk betrieben wurde, welche IP-Adressen und welche Namen es hatte oder in welchem VLAN es war. [mehr]

Ausgebautes Analysetool für mehr Netzwerkqualität [6.03.2019]

Allegro Network hat für das 'Allegro Network Multimeter' mit Version 2.3.0 eine neue Firmware veröffentlicht. Dabei hat der Hersteller dem neuen Release einen erweiterten Funktionsumfang spendiert. Zu den wichtigsten Neuerungen zählen unter anderem der vereinfachte Remote-Zugriff über die Allegro-Cloud, die erweiterte TCP-Analyse sowie die Nutzung von virtuellen Link-Gruppen. [mehr]

Tipps & Tools

Dunkles Farbschema für PRTG [31.03.2019]

In letzter Zeit ist in vielen Applikationen der 'Dark Mode' wieder populär geworden. Beispielsweise bietet Windows 10 seit der Version 1809 an, den Standard-App-Modus auf 'dunkel' zu stellen. Wer PRTG zur Überwachung der unternehmensweiten IT-Infrastruktur nutzt, hat sich vielleicht schon gefragt, ob es auch dort die Möglichkeit gibt, den Farbmodus zu verändern. Die Antwort lautet: Ja. [mehr]

Auf Bibliotheken basierende PRTG-Benachrichtigungen einrichten [10.03.2019]

Um die Leistungsreserven von Servern im Auge zu behalten, erhalten Admins bei der Nutzung von PRTG Network Monitor Benachrichtigungen, sobald die CPU-Last einen gewissen Prozentsatz übersteigt. Die Einrichtung dieser Meldungen über die Kanal-Grenzwerte des Sensors ist vergleichsweise umständlich und auch nicht hundertprozentig zielführend und in der Praxis verursacht diese Methode eine sehr hohe Anzahl von Alarmen. Aus diesem Grund sollten Sie auf eine intelligentere Benachrichtigungsmethode zurückgreifen. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen