Moderne Systeme generieren eine enorme Menge an Protokolldaten. In vielen Umgebungen wird jedes einzelne Ereignis, ob relevant oder nicht, irgendwo protokolliert. Normalerweise werden diese Protokolle lokal gespeichert, was sinnvoll ist, da sie eng mit ihrer Quelle verbunden sind. Jedoch, wenn man Fehler beheben und deren Ursachen finden muss, bedeutet das oft, dass mehrere Protokolldateien auf unterschiedlichen Geräten analysiert werden müssen. Wäre es nicht praktisch, wenn alle Protokolle von allen Geräten an einem zentralen Ort gesammelt würden? Das ist das Grundprinzip der Protokollverwaltung und sie bietet noch viel mehr Vorteile, wie Sie gleich erfahren werden. In diesem Artikel stellen wir die besten Systeme für das Log-Management vor.
Zunächst klären wir, was Protokollverwaltung überhaupt ist. Wie Sie sehen werden, kann dies viel mehr sein als die reine Zentralisierung von Protokolldaten. Dann betrachten wir die Protokollierungsprotokolle, die unerlässlich für die Protokollverwaltung sind. Wir werden Syslog-Server von Protokollverwaltungssystemen abgrenzen, was nicht immer einfach ist. Anschließend diskutieren wir Sicherheitsinformations- und Ereignismanagement-Systeme (SIEM), da diese oft mit der Protokollverwaltung verwechselt werden. Am Ende stellen wir Ihnen acht der besten Protokollverwaltungssysteme vor.
Was ist Protokollverwaltung?
Bevor wir über Protokollverwaltung sprechen können, müssen wir klären, was ein Protokoll ist. Einfach gesagt, ist ein Protokoll die automatisch erstellte und zeitgestempelte Dokumentation von Ereignissen, die für ein bestimmtes System relevant sind. Jedes Mal, wenn ein Ereignis in einem System auftritt, wird ein Protokoll erstellt. Verschiedene Systeme protokollieren unterschiedliche Ereignisse, und viele Systeme geben Administratoren die Möglichkeit, zu konfigurieren, welche Ereignisse protokolliert werden sollen.
Protokollverwaltung bezieht sich auf die Prozesse und Richtlinien, die verwendet werden, um die Erzeugung, Übertragung, Analyse, Speicherung, Archivierung und letztendliche Entsorgung großer Mengen von Protokolldaten zu steuern und zu vereinfachen. Die Protokollverwaltung beinhaltet typischerweise ein zentralisiertes System, in dem Protokolle aus verschiedenen Quellen zusammengeführt werden.
Doch Log-Management ist mehr als nur die Protokollsammlung. Der Management-Aspekt ist der wichtigste. Protokollverwaltungssysteme verfügen über vielfältige Funktionen, wobei das Sammeln von Protokollen nur eine davon ist.
Sobald Protokolle von einem Protokollverwaltungssystem empfangen werden, müssen sie in ein einheitliches Format „übersetzt“ werden. Verschiedene Systeme formatieren Protokolle unterschiedlich und integrieren unterschiedliche Daten in ihre Protokolle. Einige beginnen ein Protokoll mit Datum und Uhrzeit, andere mit einer Ereignisnummer. Einige enthalten nur eine Protokoll-ID, während andere eine detaillierte Textbeschreibung des Ereignisses bieten. Log-Management-Systeme sorgen unter anderem dafür, dass alle gesammelten Protokolleinträge in einem konsistenten Format vorliegen. Dies erleichtert die spätere Suche und Ereigniskorrelation.
Apropos Suche und Korrelation: Dies sind weitere wesentliche Funktionen vieler Protokollverwaltungssysteme. Einige verfügen über leistungsstarke Suchmaschinen, mit denen Administratoren präzise finden, wonach sie suchen. Korrelationsfunktionen gruppieren automatisch zugehörige Ereignisse, selbst wenn sie aus unterschiedlichen Quellen stammen. Die Art und Weise, wie verschiedene Protokollverwaltungssysteme diese Aufgaben erfüllen, ist ein wichtiges Unterscheidungsmerkmal.
Protokollierungsprotokolle
Die Protokollverwaltung wäre ohne Protokollierungsprotokolle deutlich schwieriger, wenn nicht sogar unmöglich. Diese Protokolle definieren, welche Daten in Protokolle aufgenommen werden sollen, wie sie formatiert und wie sie zwischen Systemen übertragen werden sollen.
Syslog ist wahrscheinlich das am weitesten verbreitete Protokollierungsprotokoll. Es wurde in den frühen 1980er Jahren entwickelt und ist zum De-facto-Standard für Unix-ähnliche Systeme geworden. Einer der größten Vorteile von Syslog ist die Trennung der Software, die Protokolle erzeugt, von dem System, das sie speichert, und der Software, die sie meldet und analysiert. Die Verwendung von Syslog vereinfacht die Protokollverwaltung erheblich. Viele Nicht-Unix-Geräte wie Switches, Router und andere Netzwerkgeräte verschiedener Hersteller nutzen eine Syslog-Variante.
Microsoft Windows verwendet, wie zu erwarten, ein anderes Protokollierungssystem. Dies könnte daran liegen, dass Windows-Betriebssysteme und -Anwendungen Protokolle erzeugen, die oft wesentlich mehr Informationen enthalten, als Syslog zulässt. Glücklicherweise bieten die Windows Event Collector-Funktionen eine Möglichkeit, Ereignisse von Windows-Hosts zu empfangen, damit diese von Protokollverwaltungssystemen genutzt werden können.
Unabhängig vom verwendeten Protokollierungsprotokoll ist es ein wichtiger Teil der Protokollverwaltung, Geräte so zu konfigurieren, dass sie ihre Protokolle an das Verwaltungssystem senden. Dies unterscheidet sich von anderen Tools wie Netzwerküberwachungssystemen, bei denen das Tool Daten von den Hosts abruft.
Protokollserver vs. Protokollverwaltung
Da Syslog auf jedem Unix-ähnlichen System seit langem verfügbar ist, wird es oft als Protokollserver verwendet, wobei ein einzelner Computer Syslog-Daten von mehreren anderen empfängt. Obwohl die zentrale Speicherung von Protokollen eindeutige Vorteile bietet, ist dies noch keine Protokollverwaltung.
Um den Namen „Log Management System“ zu verdienen, muss ein Produkt zumindest einige fortgeschrittene Funktionen bieten. Laut Wikipedia umfasst die Protokollverwaltung folgende Funktionen: Protokollsammlung, zentrale Protokollaggregation, langfristige Protokollspeicherung und -aufbewahrung, Protokollrotation, Protokollanalyse, Protokollsuche und Berichterstellung. Protokollserver bieten oft nur die Protokollerfassung und -speicherung und selten mehr. Jedes der Log-Management-Systeme in unserer Top-Liste bietet mindestens einige der fortgeschritteneren Funktionen.
Was ist mit SIEM-Systemen?
Eine weitere bekannte Technologie, die oft mit Protokollen in Verbindung gebracht und mit Protokollverwaltungssystemen verwechselt wird, ist Security Information and Event Management (SIEM). Obwohl es eng mit der Protokollverwaltung verbunden ist, ist es doch etwas Anderes. Einige Produkte, die als Protokollverwaltungssysteme beworben werden, sind eigentlich SIEM-Systeme, während einige grundlegende SIEM-Systeme nicht viel mehr als Protokollverwaltungssysteme sind.
Die Hauptursache dieser Verwirrung ist, dass Protokollverwaltung, oder zumindest die Protokollanalyse, eine wichtige Komponente von SIEM-Systemen ist. SIEM-Systeme heben die Protokollverwaltung auf eine neue Ebene, indem sie dem Prozess Intelligenz hinzufügen. Diese Systeme führen Protokollanalysen mit dem Ziel durch, Sicherheitsprobleme zu erkennen. Sie suchen beispielsweise nach fehlgeschlagenen Anmeldeversuchen, die auf einen unbefugten Zugriffsversuch hindeuten könnten. Diese Systeme scannen Protokolleinträge automatisch auf ungewöhnliche Aktivitäten.
SIEM-Systeme haben mehr mit IT-Sicherheit als mit IT-Management zu tun, und während einige umfangreiche Protokollverwaltungsfunktionen enthalten, können viele auch ein externes Protokollverwaltungssystem nutzen. Es ist nicht ungewöhnlich, dass beide Systeme parallel betrieben werden.
Die beste Protokollverwaltungssoftware
Nachdem wir nun ein gemeinsames Verständnis darüber haben, was Protokollverwaltung ist und was nicht, werfen wir einen Blick auf die verfügbaren Optionen. Wir haben den Markt nach den besten Protokollverwaltungssystemen durchsucht. Wir haben festgestellt, dass es viele davon gibt und viele davon sehr gut sind. Da wir aber nur begrenzt Platz haben, stellen wir die acht interessantesten Systeme vor.
1. SolarWinds Papertrail
SolarWinds ist ein bekannter Name im Bereich der Netzwerkmanagement-Tools. Das Unternehmen existiert seit fast 20 Jahren und hat uns einige der besten Tools für die Bandbreitenüberwachung und NetFlow-Analyse geliefert. SolarWinds ist auch bekannt für seine kostenlosen Tools, die spezifische Bedürfnisse von Netzwerkadministratoren abdecken, wie z.B. einen Subnetzrechner oder einen Syslog-Server.
Vor einigen Jahren übernahm SolarWinds Papertrail, ein beliebtes Protokollverwaltungssystem. Es aggregiert Protokolldateien aus einer Vielzahl von beliebten Produkten wie Apache oder MySQL sowie Ruby on Rails-Apps, verschiedenen Cloud-Hosting-Diensten und anderen Standard-Textprotokolldateien. Papertrail-Benutzer können dann über die webbasierte Suchoberfläche oder die Befehlszeilentools diese Dateien durchsuchen, um Fehler und Leistungsprobleme zu diagnostizieren. Papertrail lässt sich auch in andere SolarWinds-Produkte wie Librato und Geckoboard integrieren, um Ergebnisse grafisch darzustellen.
Papertrail ist ein Cloud-basiertes Software-as-a-Service (SaaS)-Angebot von SolarWinds. Es ist einfach zu implementieren, zu verwenden und zu verstehen. Und es bietet Ihnen in wenigen Minuten einen klaren Überblick über all Ihre Systeme. Das Tool verfügt über eine sehr effektive Suchmaschine, die sowohl gespeicherte als auch Streaming-Protokolle durchsuchen kann und dies blitzschnell erledigt.
Papertrail ist in mehreren Plänen verfügbar, einschließlich eines kostenlosen Plans. Dieser ist allerdings etwas eingeschränkt und erlaubt nur 100 MB Protokolle pro Monat. Im ersten Monat werden jedoch 16 GB Protokolle zugelassen, was einer kostenlosen 30-Tage-Testversion entspricht. Bezahlte Pläne beginnen bei 7 $/Monat für 1 GB/Monat an Protokollen, 1 Jahr Archivierung und 1 Woche Indexierung. Die Rauschfilterung des Tools verhindert das Speichern unnötiger Protokolle.
2. SolarWinds Log & Event Manager (KOSTENLOSE TESTVERSION)
Unser nächster Eintrag ist ein weiteres Produkt von SolarWinds, der SolarWinds Log & Event Manager. Im Gegensatz zu unserem vorherigen Eintrag ist dies ein lokal installiertes Produkt. Es ist auch viel mehr als nur ein Log-Management-System. Viele der erweiterten Funktionen dieses Produkts ordnen es in die SIEM-Kategorie ein. Es verfügt beispielsweise über Echtzeit-Korrelation und Echtzeit-Korrektur.
Hier eine Übersicht über die Hauptmerkmale des SolarWinds Log & Event Manager. Es eliminiert Bedrohungen schnell durch die sofortige Erkennung verdächtiger Aktivitäten und automatisierte Reaktionen. Es kann auch Untersuchungen zu Sicherheitsereignissen und Forensik zur Minderung und Einhaltung von Vorschriften durchführen. Apropos Compliance: Dank seiner auditgeprüften Berichterstattung für HIPAA, PCI DSS und SOX, unter anderem, können Sie dies nachweisen. Dieses Tool bietet auch Dateiintegritätsüberwachung und USB-Geräteüberwachung, zwei Funktionen, die weit über das hinausgehen, was wir üblicherweise in Protokollverwaltungssystemen sehen.
Die Preise für den SolarWinds Log & Event Manager beginnen bei 4.585 $ für bis zu 30 überwachte Knoten. Lizenzen für bis zu 2500 Knoten können erworben werden, was das Produkt hochskalierbar macht. Und um zu überprüfen, ob das Produkt für Sie geeignet ist, steht eine kostenlose 30-Tage-Testversion mit vollem Funktionsumfang zur Verfügung.
3. ipswitch Log Management Suite
Die Log Management Suite ist ein Tool von Ipswitch, dem gleichen Unternehmen, das uns WhatsUp Gold, ein sehr bekanntes Netzwerküberwachungstool, geliefert hat. Es ist ein automatisiertes Tool, das Systemprotokolle, Windows-Ereignisse und W3C/IIC-Protokolle sammelt, speichert, archiviert und sichert. Darüber hinaus werden Sie durch die kontinuierliche Protokollüberwachung auf verdächtige Aktivitäten aufmerksam gemacht.
Häufig geprüfte Ereignisse wie Zugriffsrechte und Datei-, Ordner- und Objektprivilegien können verfolgt und bei Bedarf Warnmeldungen generiert werden. Diese können auch für die Erstellung von Compliance-Berichten für HIPAA-, SOX-, FISMA-, PCI-, MiFID- oder Basel II-Compliance verwendet werden. Das Tool kann Ihre Rohprotokolldaten in aussagekräftige Informationen für Manager oder IT-Sicherheitsteams umwandeln, dank seiner Funktionen zum automatischen Filtern, Korrelieren, Berichten und Konvertieren.
Preisinformationen für die Log Management Suite sind bei Ipswitch nicht einfach verfügbar. Das Produkt kann entweder direkt vom Herausgeber oder über das Reseller-Netzwerk von Ipswitch erworben werden. Eine kostenlose Testversion ist ebenfalls verfügbar.
4. ManageEngine EventLog Analyzer
ManageEngine, ein weiterer bekannter Name unter Netzwerkadministratoren, bietet ein hervorragendes Protokollverwaltungssystem namens ManageEngine EventLog Analyzer. Das Produkt sammelt, verwaltet, analysiert, korreliert und durchsucht Protokolldaten aus über 700 Quellen mit einer Kombination aus agentenloser und agentenbasierter Protokollerfassung und Protokollimport.
Geschwindigkeit ist eine der Stärken des ManageEngine EventLog Analyzer. Es kann Protokolldaten mit beeindruckenden 25.000 Protokollen/Sekunde verarbeiten und Angriffe in Echtzeit erkennen. Es kann auch eine schnelle forensische Analyse durchführen, um die Auswirkungen eines Verstoßes zu reduzieren. Die Überwachungsfunktionen des Systems erstrecken sich auf die Protokolle von Netzwerkperimetergeräten, Benutzeraktivitäten, Serverkontoänderungen, Benutzerzugriffe und mehr, und helfen Ihnen so, Sicherheitsüberwachungsanforderungen zu erfüllen.
Der ManageEngine EventLog Analyzer ist in einer funktionsreduzierten kostenlosen Edition erhältlich, die nur 5 Protokollquellen unterstützt, oder in einer Premium-Edition, die bei 595 US-Dollar beginnt und je nach Anzahl der Geräte und Anwendungen variiert. Eine kostenlose, voll funktionsfähige 30-Tage-Testversion ist ebenfalls verfügbar.
5. Nagios Log Server
Nagios ist vor allem für seine hervorragende Netzwerküberwachungssoftware bekannt, aber sein Log-Server ist möglicherweise genauso interessant. Er trägt den passenden Namen Nagios Log Server und bietet eine zentralisierte Protokollverwaltung, -überwachung und -analyse. Der Nagios Log Server vereinfacht die Suche in Ihren Protokolldaten. Sie können auch Warnungen einrichten, um über potenzielle Bedrohungen benachrichtigt zu werden. Darüber hinaus verfügt die Software über eine integrierte Hochverfügbarkeit und Failover. Die einfachen Einrichtungsassistenten helfen Ihnen, Server schnell so zu konfigurieren, dass alle Protokolldaten gesendet werden, und können innerhalb von Minuten mit der Überwachung Ihrer Protokolle beginnen.
Mit dem Nagios Log Server können Sie Protokollereignisse mit wenigen Klicks auf allen Servern korrelieren. Außerdem können Sie Protokolldaten in Echtzeit anzeigen, sodass Sie Probleme analysieren und lösen können, sobald sie auftreten. Das Produkt zeichnet sich durch beeindruckende Skalierbarkeit aus und wird Ihre Anforderungen auch bei wachsendem Unternehmen erfüllen. Zudem können Nagios Log Server-Instanzen zu einem Überwachungscluster hinzugefügt werden, sodass Sie schnell mehr Leistung, Geschwindigkeit, Speicherplatz und Zuverlässigkeit hinzufügen können.
Der Einzelinstanzpreis für den Nagios Log Server beträgt 3.995 US-Dollar, und obwohl keine kostenlose Testversion verfügbar zu sein scheint, steht eine kostenlose Online-Demo zur Verfügung, falls Sie das Produkt lieber aus erster Hand erleben möchten.
6. Alert Logic Log Manager
Der Hauptfokus von Alert Logic liegt auf Sicherheit und Compliance. Da die Protokollverwaltung eng mit beidem verbunden ist, ist es nicht überraschend, dass das Unternehmen den Alert Logic Log Manager anbietet. Dieses Cloud-basierte Tool bietet eine automatisierte und einheitliche Protokollverwaltung für alle Ihre Umgebungen. Es sammelt, aggregiert und durchsucht Protokolldaten von Cloud-, Server-, Anwendungs-, Sicherheits- und Netzwerkressourcen.
Der Alert Logic Log Manager umfasst Protokollüberwachung und -analyse sowie Protokollprüfung, die live von menschlichen Analysten durchgeführt wird. Die Experten von Alert Logic warnen Sie an 365 Tagen im Jahr vor potenziellen Bedrohungsaktivitäten. Der Service hilft auch, die Protokollprüfungsanforderungen von SOC 2, HIPAA und SOX zu erfüllen und die Last der Protokollprüfung und Ereignisverfolgung zu reduzieren, um PCI/DSS 10.6, 10.6.1 und 10.6.3 einzuhalten.
Preisinformationen für den Alert Logic Log Manager sind nicht ohne weiteres im Internet verfügbar, und Sie müssen sich an den Vertrieb von Alert Logic wenden, um ein formelles Angebot zu erhalten. Eine kostenlose Testversion ist ebenfalls nicht verfügbar, aber eine kostenlose Demo kann vereinbart werden, wenn Sie sich an Alert Logic wenden.
7. LogDNA
Das im Jahr 2015 gegründete LogDNA ist ein vergleichsweise neues Unternehmen in diesem Bereich. Das Unternehmen behauptet, dass „LogDNA das schnellste, intuitivste und kostengünstigste Log-Management-System ist“. Alles beginnt mit der Installation, die nur wenige Minuten dauert, bevor Sie mit der Überwachung Ihrer Protokolle beginnen können. Unabhängig davon, wie Protokolle erzeugt und übertragen werden, stehen Hunderte von benutzerdefinierten Integrationsschemata zur Verfügung, um Protokolle an einem einzigen Ort zu zentralisieren.
LogDNA kann je nach Wunsch cloudbasiert oder selbst gehostet werden. Es ist hochgradig skalierbar und kann Hunderttausende von Protokollen pro Sekunde und Dutzende von Terabytes pro Kunde und Tag in absoluter Sicherheit mit Echtzeit-Protokollanalyse verarbeiten. Das Unternehmen und seine Produkte sind SOC2-, PCI- und HIPAA-konform und Privacy Shield-zertifiziert.
Mit seinem einfachen Pay-per-GB-Preismodell, das Verträge und feste Datenbudgets eliminiert, hat das Unternehmen eine der niedrigsten Gesamtbetriebskosten. Es sind mehrere Abonnementpläne mit zunehmenden Funktionen verfügbar. Der Plan der untersten Stufe ist kostenlos und die kostenpflichtigen Pläne variieren je nach Aufbewahrungsdauer und Anzahl der Benutzer zwischen 1,50 $/GB/Monat und 3 $/GB/Monat. Eine kostenlose, voll funktionsfähige 14-Tage-Testversion ist ebenfalls verfügbar.
8. Graylog
Das letzte System auf unserer Liste ist das Produkt Graylog. Das Produkt bietet viele interessante Features. Das Tool analysiert und erweitert Protokolle und Ereignisdaten aus allen Datenquellen. Die Verarbeitungspipelines ermöglichen eine gewisse Flexibilität beim Routing, Blacklisting, Modifizieren und Erweitern von Nachrichten in Echtzeit. Graylog durchsucht Terabytes von Protokolldaten, um wichtige Informationen zu entdecken und zu analysieren. Dank seiner leistungsstarken Suchsyntax finden Sie genau das, wonach Sie suchen.
Mit Graylog können Sie Dashboards erstellen, um Metriken zu visualisieren und Trends an einem zentralen Ort zu beobachten. Sie können Feldstatistiken, Schnellwerte und Diagramme von der Suchergebnisseite verwenden, um tiefer in die Datenanalyse einzusteigen. Das System hat auch die Möglichkeit, Aktionen auszulösen oder Benachrichtigungen bei Ereignissen wie fehlgeschlagenen Anmeldeversuchen, Ausnahmen oder Leistungseinbußen auszugeben.
Graylog ist entweder als kostenlose Open-Source-Version mit eingeschränkten Funktionen und Support oder als Enterprise-Version mit erweiterten Funktionen und uneingeschränktem Support erhältlich. Eine Testlizenz kann ebenfalls beantragt werden, wenn Sie den Graylog Vertrieb kontaktieren.