Logging – Aus den Augen aus dem Sinn

Syslog von Debian

Syslog von Debian

Jeder der sich schon mal mit Logfiles auseinander setzen musste, weiß wie unübersichtlich ein nicht optimiertes Logfile ist. Anfangs versuchen motivierte Menschen noch ab und zu hinzuschauen um „ihr Gewissen zu erleichtern“, doch bei mehreren Hunderttausend oder gar Millionen Zeilen pro Tag vergeht einem schnell die Lust. Danach wird nur noch nach den Logfiles geschaut sobald der Speicher droht voll zu werden.

Dabei haben sich zum Glück schon viele schlaue Köpfe damit auseinander gesetzt. Durch dieses Wissen entstanden somit verschiedene Ansätze für praktisch jeden Einsatzbereich. Von der einfachen Visualisierung, über IDS/IPS (Intrusion Detection System/Intrusion Prevention System), bis hin zu SIEM (Security Information und Event Managemanent). Dabei ist es wichtig sich am Anfang die richtigen Fragen zu stellen.

– Wo liegen unsere zu schützenden Werte?
– Was wären die Folgen bei Verlust/Diebstahl?
– Wie viel bin ich bereit in einen Schutz zu investieren?

Eine einfache strukturierte Visualisierung hilft oft schon um Anomalien im Netzwerk zu erkennen und darauf zu reagieren. Wer jetzt denkt, man müsse sich in hohe Unkosten stürzen, liegt falsch!

Auch im Logmanagement gibt es Open Source Tools. Meist sind diese nur auf Linux-Systemen lauffähig, manche können allerdings auch mit Windows Eventlogs umgehen. Je nach Größe des Netzwerks lassen sich hier alle Informationen an einem zentralen Ort abspeichern und indizieren. Es entsteht also eine große Logfile-Sammlung in einer einheitlichen Struktur – egal welches Format die gesendeten Logs hatten.

Durch diese strukturierte Form lassen sich nun alle Informationen so darstellen und korrelieren, wie man es möchte. Darauf aufbauend erstellt man dann Reports oder Dashboards, die etwaige Auffälligkeiten auf den ersten Blick sichtbar machen können. In den Logfiles einer Klinik-Firewall könnte beispielsweise leicht erkannt werden, wenn ein Medizingerät unerlaubt Daten nach außen schickt. Das heißt, verdächtige Aktivitäten, beispielsweise ausgehend von infizierten Medizingeräten, können sichtbar gemacht und Sicherheitsverstöße schnell erkannt und bekämpft werden.

Natürlich benötigt das Aufsetzen dieser Reports Zeit und ggf. Beratung, doch die Suche nach Fehlern oder verdächtigen Aktivitäten in unstrukturierten Daten mit Millionen von Zeilen benötigt noch viel mehr auch Zeit und lässt einen oft verzweifeln.

Fazit

Logfiles sind überall präsent und können, wenn sie richtig genutzt werden, Sicherheitsverstöße schneller sichtbar machen. Wichtig ist jedoch die strukturierte, automatisierte Aufbereitung in ein verständliches Format, das die relevanten Informationen auf den ersten Blick erkennen lässt.

No tags.
  • Trackbacks
  • Comments
  • Comments are disabled.
  • Trackbacks are disabled.