Compliance und Sicherheit

Log-Management: Wichtige gesetzliche Pflicht für Unternehmen

Herausforderungen eines zentralen Log-Managements

Bei einem Log-Management muss sich ein Unternehmen zunächst mit den verschiedenen Geräten auseinandersetzen, auf denen die Log-Daten liegen. Denn diese laufen in der Praxis unter den unterschiedlichsten Betriebssystemen und nutzen unterschiedlichste Log-Verfahren. An dieser Stelle hilft das etablierte und branchenweit akzeptierte Syslog-Protokoll (RFC 3164, 3195 und 5424) dabei, plattformübergreifend Log-Informationen einzusammeln und an eine zentrale Sammelstelle zu transportieren.

Der Markt bietet in diesem Bereich viele unterschiedliche Lösung an, die teilweise auch als Open-Source-Versionen verfügbar und Bestandteil einiger Linux-Distributionen sind. Im Vergleich zu Linux-Systemen behandeln Windows-Plattformen Log-Einträge anders. Denn Windows schreibt seine Log-Informationen nicht in eine Textdatei, sondern im Binärformat in sein Ereignisprotokoll. Um auch diese Daten in eine Syslog-Infrastruktur einbinden zu können, haben verschiedenen Hersteller hierfür entsprechende Windows-Agenten entwickelt. Diese lesen das Ereignisprotokoll regelmäßig aus und leiten die Log-Informationen dann per Syslog an den zentralen Log-Server im Unternehmen weiter. Andere Geräte wie beispielsweise Switches oder Router können von Haus aus Syslog-Nachrichten absetzen. Dazu muss der Administrator dort lediglich einen Server oder Syslog-Relay konfigurieren, der die Meldungen entgegennimmt.

Details: Ein zentrales Log-Management sammelt alle weltweiten Log-Informationen eines Unternehmens. (Quelle: BalaBit)
Details: Ein zentrales Log-Management sammelt alle weltweiten Log-Informationen eines Unternehmens. (Quelle: BalaBit)

Eine Herausforderung, insbesondere bei der späteren Analyse von Log-Daten, sind unterschiedliche Zeitstempel und Nachrichtenformate der einzelnen Meldungen. So verzichten beispielsweise einige Log-Systeme bei der Angabe von Datum und Uhrzeit auf das Jahr oder die Zeitzone, was eine spätere Korrelation der Meldungen mit denen anderer Systeme erschwert. Hier können entsprechende Syslog-Implementationen helfen, die den Zeitstempel jeder Log-Nachricht beim Transport etwa in das einheitliche Format des ISO-Standards 8601 konvertieren. Wer ganz auf Nummer sicher gehen möchte, kann zudem eine externe Timestamping Authority (TSA) einbinden (siehe hierzu auch RFC 3161), die für alle Log-Meldungen einen vertrauenswürdigen Zeitstempel liefert.