Grundlagen

Log-Management

Mit Virtualisierung und Cloud-Umgebungen wächst üblicherweise die Zahl der Server und Dienste. Wenn alle diese ihre Aktivitäten protokollieren, sieht sich der Administrator einer immer größeren Menge an Log Files gegenüber. Log-Management hilft hierbei den Überblick zu behalten.
Wer Ordnung in den Wust seine Logs bringen möchte, braucht leistungsfähige Management-Tools, die dabei helfen, Log-Daten zu sammeln und auszuwerten. Je nach Anforderung gibt es dafür verschiedene Lösungen.

Zunächst einmal stellt sich die Frage nach der Qualität der geloggten Daten. Am einfachsten sind in jedem Fall Log-Dateien im Textformat zu verarbeiten. Nicht nur Windows setzt aber bei seinem Event-Log auf Binärdaten, auch das moderne Linux-Init-System Systemd verwendet mittlerweile Binär-Logs - sehr zum Leidwesen vieler Administratoren.

Bei Linux- und Unix-Systemen gibt es mit Syslog einen Quasi-Standard, der es erlaubt, von verschiedenen Diensten die Log-Daten an einen zentralen Service zu schicken. Da diverse Syslog-Implementierungen wie Rsyslog netzwerkfähig sind, kann dies auch ein zentraler, darauf spezialisierter Server übernehmen - der erste Schritt zum Log-Management. So schicken etwa Mailserver wie Postfix ihre Protokoll an Syslog, das daraus eine Log-Datei macht. Weitere Tools wie Logrotate sorgen dafür, dass beispielsweise für jeden Tag eine neue Datei angefangen wird. Das funktioniert beispielsweise auch mit dem Apache-Webserver, der aber seine Logs lieber selber auf die Platte schreibt.

Noch komfortabler wird die Sache, wenn zum Log-Management  spezialisierte Software zum Einsatz kommt. Sie beherrscht im Optimalfall verschiedene Log-Formate, normalisiert die Daten und speichert sie zur späteren Auswertung ab. Sie bietet die Möglichkeit, Log-Daten nach bestimmten Kriterien zu filtern und zu sortieren. Auch eine Suche ist oft Bestandteil des Funktionsumfangs. Um die Logs verschiedener Programme zu verarbeiten, bringt Log-Management-Software meist Parser mit, die das jeweilige Format verstehen. Ist ein Format nicht unterstützt, kann der Anwender oft mit Regular Expressions Regeln schreiben, die Log-Zeilen verarbeiten.

Im Bereich von Security-Software hat sich hierbei noch eine weitere  Spezialisierung ergeben, das Security Incident und Event Monitoring (SIEM). Hierbei werden Logs und andere Event-Quellen überwacht, korreliert und mit Mustern in einer Datenbank verglichen, um möglichen Einbrüchen und anderen Sicherheitsproblemen auf die Spur zu kommen. Ein Beispiel aus der Open Source-Welt ist OSSIM, das mit AlienVault ein kommerzielles Gegenstück besitzt.

Eventkorrelierung ist auch in anderen Fällen nützlich, zum Beispiel beim Performance-Monitoring. Dazu gibt es beispielsweise die kostenlose Lösung Simple Event Correlator [1], die Log-Dateien überwacht, auf vom Anwender vorgegebene Muster untersucht und gegebenenfalls mit anderen Log-Daten korreliert.

In der Open Source-Welt gibt es für Log-Management eine große Auswahl an Programmen wie Logstash, Octopussy oder Graylog (siehe dazu IT-Administrator 03/2015 [2]), doch auch Monitoring-Systeme können diese Aufgabe übernehmen. Neben kommerziellen On Premise-Lösungen bieten Hersteller heute auch häufig Log-Management als Service an. 
12.03.2015

Nachrichten

Chromium-basierter Edge-Browser am Start [16.01.2020]

Microsoft Edge basiert nun auf der Chromium-Engine, was die Kompatibilität verbessert und eine plattformübergreifende Entwicklung von Webanwendungen erleichtert. Kunden erhalten den Browser ab sofort als Download. Der automatische Rollout für Privatkunden beginne in den nächsten Wochen und erfolge sukzessive via Windows-Update. [mehr]

Support-Ende: Tipps für den sicheren Betrieb von Windows 7 und Co. [18.12.2019]

Das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7 naht: Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. [mehr]

Fedora 31 gibt Gas [5.12.2019]

Tipps & Tools

Download der Woche: MyKeyFinder [28.01.2020]

Trotz aller Sicherheitsvorkehrungen werden Rechner immer wieder mit Malware infiziert. Der Admin muss dann häufig das Betriebssystem und die Software neu aufsetzen. Mit dem kostenfreien Tool "MyKeyFinder" kann er im Voraus alle Lizenzschlüssel in einer Liste speichern und muss nicht erst auf einer CD-Hülle oder in einer Bestätigungs-E-Mail suchen. Dabei lassen sich die Schlüssel auch als PDF exportieren oder in die Zwischenablage kopieren. [mehr]

Vorschau Februar 2020: Backup & Recovery [27.01.2020]

Nicht erst die stetigen Ransomware-Angriffe verdeutlichen den enormen Stellenwert von Backups im Unternehmen: Ein falscher Klick genügt und schon steht die Firmen-IT still. Im Februar beleuchtet IT-Administrator deshalb das Thema Backup & Recovery ausführlich. Darin erfahren Sie, wie der System Center Data Protection Manager beim Sichern und Wiederherstellen behilflich sein kann. Auch das Backup von Office-365-Daten mit Freeware sowie die Neuerungen in Sachen Tape dürfen nicht fehlen. In den Produkttests treten drei Backupprogramme von Acronis, NovaStor und Solarwinds gegeneinander an. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen