Grundlagen

Log-Management

Mit Virtualisierung und Cloud-Umgebungen wächst üblicherweise die Zahl der Server und Dienste. Wenn alle diese ihre Aktivitäten protokollieren, sieht sich der Administrator einer immer größeren Menge an Log Files gegenüber. Log-Management hilft hierbei den Überblick zu behalten.
Wer Ordnung in den Wust seine Logs bringen möchte, braucht leistungsfähige Management-Tools, die dabei helfen, Log-Daten zu sammeln und auszuwerten. Je nach Anforderung gibt es dafür verschiedene Lösungen.

Zunächst einmal stellt sich die Frage nach der Qualität der geloggten Daten. Am einfachsten sind in jedem Fall Log-Dateien im Textformat zu verarbeiten. Nicht nur Windows setzt aber bei seinem Event-Log auf Binärdaten, auch das moderne Linux-Init-System Systemd verwendet mittlerweile Binär-Logs - sehr zum Leidwesen vieler Administratoren.

Bei Linux- und Unix-Systemen gibt es mit Syslog einen Quasi-Standard, der es erlaubt, von verschiedenen Diensten die Log-Daten an einen zentralen Service zu schicken. Da diverse Syslog-Implementierungen wie Rsyslog netzwerkfähig sind, kann dies auch ein zentraler, darauf spezialisierter Server übernehmen - der erste Schritt zum Log-Management. So schicken etwa Mailserver wie Postfix ihre Protokoll an Syslog, das daraus eine Log-Datei macht. Weitere Tools wie Logrotate sorgen dafür, dass beispielsweise für jeden Tag eine neue Datei angefangen wird. Das funktioniert beispielsweise auch mit dem Apache-Webserver, der aber seine Logs lieber selber auf die Platte schreibt.

Noch komfortabler wird die Sache, wenn zum Log-Management  spezialisierte Software zum Einsatz kommt. Sie beherrscht im Optimalfall verschiedene Log-Formate, normalisiert die Daten und speichert sie zur späteren Auswertung ab. Sie bietet die Möglichkeit, Log-Daten nach bestimmten Kriterien zu filtern und zu sortieren. Auch eine Suche ist oft Bestandteil des Funktionsumfangs. Um die Logs verschiedener Programme zu verarbeiten, bringt Log-Management-Software meist Parser mit, die das jeweilige Format verstehen. Ist ein Format nicht unterstützt, kann der Anwender oft mit Regular Expressions Regeln schreiben, die Log-Zeilen verarbeiten.

Im Bereich von Security-Software hat sich hierbei noch eine weitere  Spezialisierung ergeben, das Security Incident und Event Monitoring (SIEM). Hierbei werden Logs und andere Event-Quellen überwacht, korreliert und mit Mustern in einer Datenbank verglichen, um möglichen Einbrüchen und anderen Sicherheitsproblemen auf die Spur zu kommen. Ein Beispiel aus der Open Source-Welt ist OSSIM, das mit AlienVault ein kommerzielles Gegenstück besitzt.

Eventkorrelierung ist auch in anderen Fällen nützlich, zum Beispiel beim Performance-Monitoring. Dazu gibt es beispielsweise die kostenlose Lösung Simple Event Correlator [1], die Log-Dateien überwacht, auf vom Anwender vorgegebene Muster untersucht und gegebenenfalls mit anderen Log-Daten korreliert.

In der Open Source-Welt gibt es für Log-Management eine große Auswahl an Programmen wie Logstash, Octopussy oder Graylog (siehe dazu IT-Administrator 03/2015 [2]), doch auch Monitoring-Systeme können diese Aufgabe übernehmen. Neben kommerziellen On Premise-Lösungen bieten Hersteller heute auch häufig Log-Management als Service an. 
12.03.2015

Nachrichten

Netzwerkverkehr in der Übersicht [8.08.2019]

Mit dem neuen Firmware-Release 2.4.0 erweitert Allegro Packets den Funktionsumfang seines "Allegro Network Multimeter" um eine Reihe zusätzlicher Analysemodule. Eine Neuerung stellt die Unterstützung von ERSPAN dar, das unter anderem von Cisco- und vSphere-Switches verwendete Spiegelungsprotokoll, das auf IP und GRE aufbaut und sich auch über ein WAN routen lässt. [mehr]

Nahtloser Übergang in die Cloud [6.05.2019]

Qualys gibt den Startschuss für seinen neuen Dienst 'Cloud Agent Gateway'. Als Erweiterung der Cloud-Agent-Plattform soll die Neuvorstellung umfangreiche Implementierungen in lokalen und Hybrid-Cloudumgebungen deutlich vereinfachen. Cloudagenten lassen sich damit laut Anbieter auch in großem Umfang einsetzen, ohne dabei auf Drittanbieter-Proxieszurückgreifen zu müssen. [mehr]

Tipps & Tools

Toolbox für einfaches Monitoring [4.08.2019]

Immer mehr Unternehmen sind in ihrer täglichen Arbeit auf verschiedene Onlineportale angewiesen. Häufig kommt eine Software wie PRTG Network Monitor zum Einsatz, um neben der Überwachung der Serverinfrastruktur auch die Erreichbarkeit von Webseiten zu prüfen. Dazu braucht es verschiedene Tools, die unter anderem Ports abfragen oder Webseiten auf gewisse Parameter hin überprüfen. Was zu tun ist, um die Arbeit im Umgang mit PRTG zu erleichtern, zeigt dieser Tipp. [mehr]

Zugriff auf AWS-Ressourcen verwalten [14.07.2019]

Wenn Sie den Zugriff auf AWS-Ressourcen durch einzelne Teammitglieder gerne besser steuern wollen, idealerweise rollenbasiert, können Sie mit dem Webservice "AWS Identity and Access Management" (IAM) festlegen, wer zur Verwendung von Ressourcen authentifiziert (angemeldet) und autorisiert (berechtigt) ist. Die Vorgehensweise dazu erklären wir in diesem Tipp. [mehr]

Buchbesprechung

Anzeigen