Log-Informationen sammeln und auswerten

Anforderungen an ein professionelles Log-Management

Auswerten und zusammenführen - Logs für Fortgeschrittene

Mit dem Sammeln und sicheren Speichern von Logfiles sind die reinen Vorschriften erfüllt. Unternehmen, die in ein Log-Management-System investieren, können aber auch darüber hinaus profitieren. Besonders im Fall von versuchten oder erfolgreichen Angriffen auf das Netzwerk sind die Aufzeichnungen bares Geld wert. Spätestens mit der Novelle des Bundesdatenschutzgesetzes (BDSG) im Jahr 2009 ergibt die detaillierte Logfile-Analyse Sinn:

Kommen personenbezogene Daten abhanden, ist ein Unternehmen per Gesetz dazu verpflichtet, die Betroffenen über die Tragweite des Diebstahls zu unterrichten. Wer seine Log-Dateien da nicht genau auswerten kann, muss viel Geld und vor allem Zeit aufwenden, um herauszufinden, welche Daten genau abhandengekommen sind. Häufig geschieht das mithilfe einer SIEM-Software (Security Information and Event Management), die Informationen aus verschiedenen Log-Dateien interpretiert. Professionelle Log-Management-Systeme verbinden Log-Management und SIEM in einer Lösung und sparen Anwender damit eine separate SIEM-Investition.

Wie Log-Management-Systeme funktionieren

Ein anwenderfreundliches Log-Management-System sollte in drei Stufen arbeiten:

  1. Normalisieren

  2. Auswerten

  3. Korrelieren

1. Normalisieren: Der englische Begriff "Normalisation" bezeichnet die Strukturierung und Konsolidierung unterschiedlicher Log-Formate. Dabei darf der Inhalt der Log-Datei nicht verändert werden. Der technische Hintergrund: Viele Systeme schreiben ihre Logs in eigenen Formaten, einige liefern CSV-ähnliche Textdateien. Windows legt seine Logs im Binärformat im Ereignisprotokoll ab. Devices liefern oft nur SNMP-Traps im eigenständigen Format. Das Syslog-Protokoll ist ein etabliertes und standardisiertes Protokoll zur Log-Übermittlung, das häufig genutzt werden kann. Größter Nachteil ist die unverschlüsselte Übertragung im Klartext, was wiederum Regularien wie PCI bei sensiblen Daten untersagen.

Die Normalisierung, also die Übersetzung vom eigenständigen Log-Format in ein einheitliches Format, muss sicherstellen, dass die Log-Informationen auf keinen Fall verändert werden. Die normalisierten Log-Dateien werden mit einheitlichem Zeitstempel (zum Beispiel UTC=Universal Time Coordinated) zentral gespeichert. Die Speicherung muss dabei lückenlos, manipulations-, revisions- und ausfallsicher erfolgen. Die Log-Dateien dürfen also nach der Erfassung nicht mehr verändert, sondern nur noch ausgewertet werden. Um sicherzugehen, dass alle Logs gespeichert werden, muss das System redundant ausgelegt sein, und gegebenenfalls müssen alle Meldungen mit einer fortlaufenden Nummer versehen werden.

2. Auswerten: Die Auswertung der Dateien ist neben der Speicherung meist ein integrierter Bestandteil einer Log-Management-Lösung. Einzelne Log-Dateien können auf relevante Fehlercodes überprüft werden. Oft sind hier "Übersetzungen" integriert. Der Fehlercode 530 im Eventlog sagt beispielsweise aus, dass sich ein Anwender außerhalb der erlaubten Anmeldezeiten einloggen wollte. Abhängig von der Position des Mitarbeiters im Unternehmen kann dies eventuell auf einen versuchten "Einbruch" hinwiesen.

Ein Fehlercode 675 würde für den Administrator bedeuten, dass jemand versucht, sich an einem bereits gesperrten Anmeldekonto anzumelden. Das ist ein Indiz, dass ein ehemaliger Mitarbeiter versucht, sich noch weiterhin Zugang zum Netzwerk zu verschaffen, oder dass seine Zugangsdaten von Kollegen missbraucht werden, um Spuren zu verwischen. Diese einfachen Beispiele aus dem Eventlog zeigen die Möglichkeiten der Auswertung von Log-Dateien und die daraus resultierenden Vorteile. Daneben lassen sich auch von Applikationen und Hardware-Devices Performance- oder Temperaturdaten auslesen und analysieren.

Lange Antwortzeiten von Webseiten können ein Problem des Webauftritts aufzeigen. Hohe Temperaturen oder eine starke Prozessorauslastung bei Servern über einen bestimmten Zeitraum sind Indikatoren für eine zu geringe Dimensionierung der Hardware. Erst die in einer Log-Management- oder SIEM-Lösung enthaltene Analyse kann aufgrund bestimmter Fehlermeldungen oder Parameter Alarm auslösen, Benachrichtigungen oder Mails senden oder die Daten an den Support oder Helpdesk weiterleiten.

Durchblick: Log-Management-Software wie LogInspect bietet auch die Möglichkeit, Logfile-Analysen in allen möglichen Varianten zu visualisieren.
Durchblick: Log-Management-Software wie LogInspect bietet auch die Möglichkeit, Logfile-Analysen in allen möglichen Varianten zu visualisieren.
Foto: ProSoft

3. Korrelieren: Die Korrelation, laut Wikipedia die "Königsdisziplin" der Log-Datei-Analyse, macht den Nutzen von Log-Management besonders deutlich. Hierbei werden Log-Informationen aus unterschiedlichen Quellen analysiert und ausgewertet. Zusatzparameter wie der zeitliche Zusammenhang fließen in die Auswertung mit ein. Ein einfaches Beispiel verdeutlicht den Nutzen der Korrelation:

Wenn Anwender sich remote mit einem falschen Passwort an einer geschützten Website anmelden, sind die daraus resultierenden Informationen im Ereignisprotokoll und im Router an sich nicht erwähnenswert. Mehrere falsche Anmeldungen innerhalb einer Minute hingegen können ein Indiz für eine versuchte Attacke sein. Die Korrelation im SIEM erkennt diese Attacke quasi in Echtzeit und alarmiert die Verantwortlichen oder unterbricht die Verbindung der Website zum öffentlichen Netz, um so die Attacken zu unterbinden.

Es ist aus Anwendersicht wünschenswert, dass die wichtigsten Grundregeln von der Log-Management- respektive SIEM-Lösung mitgeliefert werden, da das Erstellen von Regeln zur Log-Korrelation durchaus einige Zeit in Anspruch nimmt. Mithilfe des Log-Managements lassen sich auch die Compliance-Anforderungen überwachen und vordefinierte Regeln erleichtern.