terreActive
HomeUnser AngebotKundenNewsÜber terreActive  
   
Unser Angebot / Produkte

tacLOG - zentrale Analyse von Logfiles

Beschreibung
Logdateien und Logmanagement führen in vielen Unternehmen ein Schattendasein. Bereits in mässig grossen Netzwerken erzeugen die Anwendungen täglich grosse Mengen an Logdateien, aber kaum ein Administrator findet die Zeit, diese auf Hinweise punkto Unregelmässigkeiten oder Probleme hindeuten zu untersuchen. Dies hat drei wesentliche Gründe:
  • Die schiere Menge an Logdateien erschwert eine planvolle Auswertung
  • Es fehlt an den nötigen Kenntnissen, Einträge zu erkennen, die auf Anomalien hindeuten
  • Die Logdateien sind auf die einzelnen Systeme verstreut, was den Zugang zu ihnen erschwert
Das ist bedauerlich, denn die Logdateien gut gewarteter Systeme und Anwendungen geben - bei richtiger Interpretation - oft schon frühzeitig Hinweise auf Sicherheits- und Konfigurationsprobleme. Werden diese übersehen oder ignoriert, entsteht daraus nicht selten eine Situation, die nur mit grossem Zeit- und Kosteneinsatz wieder in den Griff zu bekommen ist.
Im oben beschriebenen Umfeld werden Logdateien gerne als Problem empfunden, dessen man sich entledigen muss. So beschränkt sich dann der Umgang mit den Logdateien darauf, sie periodisch zu löschen, um Problemen mit schwindendem Festplattenplatz aus dem Weg zu gehen. Fast überflüssig zu erwähnen, dass dadurch leicht wichtige Informationen zur Fehlerbehebung oder gar Beweise verlorengehen, falls der Angriff unbemerkt bleibt.
Kundennutzen
Ein zentraler Loghost, idealerweise in Verbindung mit einer automatisierten Auswertung und Verdichtung der eingehenden Logdaten, dient dazu, dieses wenig befriedigende Szenario zu umgehen:

Zentrale Sammlung und Archivierung
Logdaten werden nicht mehr dezentral auf den einzelnen Systemen gehalten, sondern an einen zentralen Loghost geschickt. Bereits durch diese einfache Massnahme werden einige der genannten Probleme gelöst und der Grundstein zu Log Management gesetzt:
  • Plattenplatz-Management ist nur noch auf dem zentralen Loghost erforderlich, was den Aufwand zur Systemadministration senkt.
  • Auf die Logdateien kann zentral zugegriffen werden. Das Einloggen auf verschiedene Systeme entfällt ebenso wie beispielsweise ein Verteilen von Skripten oder Anwendungen zur Auswertung der Dateien.
Gleichzeitig kann an dieser Stelle auch eine regelmässige Archivierung des angefallenen Materials auf einfache Weise durchgeführt werden.

Automatisierte Sichtung
Liegen die Logdaten erst einmal zentral vor, so ist der nächste logische Schritt an dieser Stelle auch eine automatisierte Sichtung zu implementieren, die diese Dateien zeitnah oder periodisch auf ungewöhnliche Einträge hin untersucht. Wird eine Auffälligkeit entdeckt, erfolgt eine Eskalation.
Ein solcher Mechanismus entlastet den Systemadministrator erheblich und sorgt gleichzeitig dafür, dass keine wesentlichen Meldungen verloren gehen.
Leistungsumfang

Übersicht
tacLOG erfüllt alle Kriterien, die an ein modernes Log-Management gestellt werden. Eine mehrstufige, skalierbare Architektur sorgt dafür, dass das System für Unternehmen jeder Grössenordnung einsetzbar ist. Events und Alerts sind frei konfigurierbar. Ein komfortables GUI sorgt für einen kontrollierten Remote-Zugriff und unterstützt den Administrator bei der Konfiguration.
Wie für terreActive-Lösungen typisch, verbindet tacLOG bewährte Produkte aus der Open Source Bewegung mit Eigenentwicklungen und integriert diese zu einer Lösung, die allen Ansprüchen gerecht wird. tacLOG nutzt die besten Eigenschaften von herausragenden Komponenten wie Apache, syslog-ng, Perl und Secure Shell und verbindet sie in einem herausragenden Produkt.

Architektur
tacLOG ist zweistufig konzipiert. Auf der ersten Ebene nimmt der tacLOG Proxy die Logdaten der Systeme entgegen. Bereits bei ihrer Ankunft werden die Daten automatisch gesichtet (near realtime inspection).
Interessante Datensätze erzeugen Events, die an den tacLOG Central weitergeleitet werden. Ein tacLOG Proxy ist in der Lage, Logdaten von mehreren hundert Systemen entgegenzunehmen, zu sichten und zu archivieren.
Der tacLOG Central nimmt die Events beliebig vieler tacLOG Proxies entgegen. Er ist für die weitere Verdichtung und Korrelation der Daten zuständig: ein oder mehrere Events können hier zusammengefasst werden und einen Alert generieren. Diese Alerts bilden also das Kondensat der ursprünglichen Logdaten und eignen sich beispielsweise zur Einspeisung in ein Alarmierungs- oder Ticketing System.

Das Bild zeigt die tacLOG Systemarchitektur:
tacLOG Proxy und tacLOG Central sind logische Komponenten, die auch auf ein und demselben physischen System installiert werden können - eine ideale Lösung im KMU-Bereich! Weitere Informationen zum Überwachungsmodul finden Sie hier.

Konfiguration
Die Regeln zur Erzeugung von Events und Alerts bilden das Kernstück der automatischen Sichtung der Logdaten. tacLOG ist bereits mit einem reichhaltigen Regelsatz zur Analyse gängiger System- und Anwendungslogs vorkonfiguriert. Anders als bei gängigen Host Intrusion Detection Systemen (HIDS) liegt der Fokus bei tacLOG aber nicht allein auf sicherheitsrelevanten Vorkommnissen. Vielmehr wird zusätzlich auch auf das Erkennen von Konfigurations- und Nutzerproblemen grossen Wert gelegt. Der Nutzen des Systems lässt sich durch die Einbindung eigener Regeln noch weiter erhöhen. Dies erfolgt durch eine einfache Regelsprache, die Einfachheit mit grösstmöglicher Flexibilität verbindet. Nicht nur der Inhalt der Logmeldungen sondern auch ihre Häufigkeit und zeitliche/räumliche Verteilung können einbezogen werden.

Das Bild zeigt die tacLOG Webschnittstelle
Graphische Oberfläche
tacLOG bietet eine https-basierende, graphische Oberfläche, die den Nutzer bei allen Aspekten der täglichen Arbeit unterstützt. Die Oberfläche umfasst:
  • Einheitliche Sicht auf tacLOG Proxy und tacLOG Central Server in einer integrierten Umgebung.
  • Sicht der einzelnen Nutzer auf Daten kann feingranulär beschränkt werden.
  • Unterstützung der manuellen Sichtung von Log-/Event- und Alertdaten durch konfigurierbare Filter.
  • Möglichkeit der Speicherung individueller Filter.
  • Integrierte Hilfe zu den angezeigten Events und Alerts.
  • Umfangreiche statistische Auswertungsmöglichkeiten.
  • Möglichkeit des Exports gefilterter Datensätze.
Hierbei handelt es sich nur um einige der wesentlichen Vorzüge. Als weiteres Highlight ist zu nennen, dass sich die Oberfläche durch Verwendung von Cascading Style Sheets dem Corporate Design Ihres Unternehmens anpassen lässt.
In Fällen, in denen höchste Performanz gefordert ist, kann das GUI von den Logging-Engines getrennt werden.
Fazit
tacLOG bietet eine skalierbare, kostengünstige, mächtige und flexible Loghost Lösung für alle Unternehmen, die in Logdaten mehr sehen, als nur ein plattenfüllendes Ärgernis. Von seinen Leistungen kann ein KMU mit einer all-in-one Installation (tacLOG Proxy/tacLOG Central auf einem System) ebenso profitieren, wie ein multinationales Unternehmen mit verteilten Proxies. Die Features auf einen Blick:

Plattform
  • SunOS 5.8
  • Appliances auf Linux-Basis (terreActive tacPAB Distribution erhältlich)
Archivierung
  • Zentrale Ablage der Systemlogs auf Proxy
  • Zentrale Ablage der Events/Alerts auf Central
  • Vollautomatisches, mehrstufiges Disk-Space Management
Auswertung
  • Vorkonfigurierte Regeldateien für zahlreiche Anwendungen und das Betriebssystem
  • Definition eigener Regeln möglich
  • Statistische Auswertungen für Events/Alerts
Clients jedes Systems mit syslog Funktionalität, insbesondere
  • Windows 95/98/NT/2000/XP
  • alle Unix basierenden Systeme
  • Router (Cisco u.a.)
  • AS/400, OS/390 und andere mehr
GUI
  • Einrichtung einzelner Nutzer mit eigenem Login
  • Online Zugriff auf alle Log/Event/Alertdaten, konfigurierbare Sicht pro Nutzer
  • Manuelle Auswertung der Dateien durch Filter, z.B. zur Unterstützung der Generierung eigener Regeln
  • Speicherung von Filtern auf Nutzerbasis
  • Hilfefunktionen
  • Ressourcenbeschränkung für einzelne Nutzer möglich
  • GUI kann an CD angepasst werden
Sicherheit
  • Jegliche Kommunikation zwischen Systemkomponenten ist durch starke Kryptografie geschützt
  • Aktionen/Zugriffe einzelner Nutzer auf Logdateien sind jederzeit nachvollziehbar
  Factsheet tacLOG (235 KB)
  Factsheet tacLOG CCM (125 KB)

SitemapKontaktRechtlichesEnglish Version

Suchen:

Partnerschaft mit HP
terreActive erweitert ihr Angebot mit HP-Servern

splunk Partnerschaft
Unser Angebot.
Unsere nächsten Trainings 1./2. September 2010.


tacLOG-Trainings
nächster Termin: Mittwoch, 8. September & Donnerstag, 9. September 2010
Hier erfahren Sie mehr.

Security Breakfast Zürich, 9. September 2010
Splunk - Listen to your Logs - Erfahrung aus der Praxis, Lösungsansätze, Live-Demo

Kanton Aargau, Stadt Aarau & Ringier AG
Interviews >>

Wir suchen Verstärkung!
Unsere offenen Stellen.

Managed Security Services
Wir sorgen für den reibungslosen Betrieb.
 
zurückdrucken
  copyright 2010 terreActive Webdesign by MySign