Wie Log-Management-Systeme funktionieren

Ein anwenderfreundliches Log-Management-System sollte in drei Stufen arbeiten:

1. Normalisieren

2. Auswerten

3. Korrelieren

1. Normalisieren: Der englische Begriff "Normalisation" bezeichnet die Strukturierung und Konsolidierung von unterschiedlichen Log-Formaten. Dabei darf der Inhalt der Log-Datei nicht verändert werden. Der technische Hintergrund: Viele Systeme schreiben ihre Logs in eigenen Formaten, einige liefern CSV-ähnliche Textdateien. Windows legt seine Logs im Binärformat im Ereignisprotokoll ab. Devices liefern oft nur SNMP-Traps im eigenständigen Format. Das Syslog-Protokoll ist ein etabliertes und standardisiertes Protokoll zur Log-Übermittlung, das häufig genutzt werden kann. Größter Nachteil ist die unverschlüsselte Übertragung im Klartext, was wiederum Regularien wie PCI bei sensiblen Daten untersagen.

Die Normalisierung, also die Übersetzung vom eigenständigen Log-Format in ein einheitliches Format, muss sicherstellen, dass die Log-Informationen in keinster Weise verändert werden. Die normalisierten Log-Dateien werden mit einheitlichem Zeitstempel (z. B. UTC=Universal Time Coordinated) zentral gespeichert. Die Speicherung muss dabei lückenlos, manipulations-, revisions- und ausfallsicher erfolgen. Die Log-Dateien dürfen also nach der Erfassung nicht mehr verändert, sondern nur noch ausgewertet werden. Um sicherzugehen, dass alle Logs gespeichert werden, muss das System redundant ausgelegt sein und gegebenenfalls alle Meldungen mit einer fortlaufenden Nummer versehen werden.

2. Auswerten: Die Auswertung der Dateien ist neben der Speicherung meist ein integrierter Bestandteil einer Log-Management-Lösung. Einzelne Log-Dateien können auf relevante Fehlercodes überprüft werden. Oft sind hier "Übersetzungen" integriert. Der Fehlercode 530 im Eventlog sagt beispielsweise aus, dass sich ein Anwender außerhalb der erlaubten Anmeldezeiten einloggen wollte. Abhängig von der Position des Mitarbeiters im Unternehmen kann dies eventuell auf einen versuchten "Einbruch" hinwiesen. Ein Fehlercode 675 würde für den Administrator bedeuten, dass jemand versucht, sich an einem bereits gesperrten Anmeldekonto anzumelden.

Das ist ein Indiz, dass ein ehemaliger Mitarbeiter versucht, sich noch weiterhin Zugang zum Netzwerk zu verschaffen oder seine Zugangsdaten von Kollegen missbraucht werden, um Spuren zu verwischen. Diese einfachen Beispiele aus dem Eventlog zeigen die Möglichkeiten der Auswertung von Log-Dateien und die Vorteile dadurch. Daneben lassen sich auch von Applikationen und Hardware-Devices Performance- oder Temperaturdaten auslesen und analysieren. Hohe Antwortzeiten von Webseiten können ein Problem des Webauftritts aufzeigen. Hohe Temperaturen oder eine hohe Prozessorauslastung bei Servern über einen gewissen Zeitraum sind Indikatoren für eine zu geringe Dimensionierung der Hardware. Erst die in einer Log-Management- oder SIEM-Lösung enthaltene Analyse kann aufgrund gewisser Fehlermeldungen oder Parameter Alarme auslösen, Benachrichtigungen oder Mails senden oder die Daten an den Support oder Helpdesk weiterleiten.

3. Korrelieren: Die Korrelation, laut Wikipedia die "Königsdisziplin" der Logdateianalyse, macht den Nutzen von Log-Management besonders deutlich. Hierbei werden Log-Informationen aus unterschiedlichen Quellen analysiert und ausgewertet. Zusatz-Parameter wie der zeitliche Zusammenhang fließen in die Auswertung mit ein. Ein einfaches Beispiel mag den Nutzen der Korrelation verdeutlichen: Wenn Anwender sich remote mit einem falschen Passwort an einer geschützten Website anmelden, sind die daraus resultierenden Informationen im Ereignisprotokoll und im Router an sich nicht erwähnenswert. Mehrere falsche Anmeldungen innerhalb einer Minute hingegen können ein Indiz für eine versuchte Attacke sein.

Die Korrelation im SIEM erkennt diese Attacke quasi in Echtzeit und alarmiert die Verantwortlichen oder unterbricht die Verbindung der Website zum öffentlichen Netz, um so die Attacken zu unterbinden. Es ist aus Anwendersicht wünschenswert, dass die wichtigsten Grundregeln von der Log-Management- respektive SIEM-Lösung mitgeliefert werden, da die Erstellung von Regeln zur Log-Korrelation durchaus einige Zeit in Anspruch nimmt. Mithilfe des Log-Managements lassen sich auch die Compliance-Anforderungen überwachen und vordefinierte Regeln erleichtern.