Als Loganalyse (engl. loganalysis) bezeichnet man den Versuch, über regelbasierte Systeme, Abhängigkeiten und Auffälligkeiten in einer Logdatei zu filtern, diese zu bewerten und auszugeben.
Durch diese Filterung lassen sich Vorkommnisse die nicht als „normal“ gelten finden und der Administrator kann dann entscheiden, ob hier ein Angriff stattgefunden hat oder nicht.
‐ Loganalyse ist einer der am wenigsten beachteten Aspekte von Einbruchserkennung.
Heutzutage hat jeder Desktop ein Antivirusprogramm, Firmen mit mehreren Firewalls und selbst Endbenutzer kaufen die neuesten Security Tools. Doch wer überwacht die Mengen an Informationen
welche die Programme generieren? Wer überwacht die Authentifizierungslogs von Email‐ und Webservern?
Eine Vielzahl von Angriffen hätte nie stattgefunden(oder hätte früher gestoppt werden können), wenn Administratoren sich um die Überwachung Ihrer Logdateien gekümmert hätten. ‐(Cid)
Da es verschiedene Arten der Loganalyse gibt, so zum Beispiel Firewall‐Loganalyse, Webserver‐Loganalyse, FTP‐Loganalyse usw., konzentriert sich diese Ausarbeitung auf Firewall‐Loganalyse im Kontext von IT‐Sicherheit.
Inhaltsverzeichnis
- Begriffsbestimmung
- Logdatei
- Loganalyse
- Loganalyse - Werkzeuge
- Testumgebung
- Testaufbau
- SnortALog
- Allgemein
- Installation
- Konfiguration
- Funktionsweise
- Fwlogwatch
- Allgemein
- Installation
- Konfiguration
- Funktionsweise
- Fazit
- Weitere Loganalysis Tools
- ACID (Analysis Console for Intrusion Databases)
Zielsetzung und Themenschwerpunkte
Die Seminararbeit befasst sich mit dem Thema Loganalyse-Tools im Kontext der IT-Sicherheit. Ziel ist es, einen Einblick in die Funktionsweise und Anwendung dieser Werkzeuge zu geben und deren Relevanz für die Erkennung von Angriffen auf IT-Systeme zu verdeutlichen.
- Begriffsbestimmung und Bedeutung von Logdateien und Loganalyse in der IT-Sicherheit
- Vorstellung verschiedener Loganalyse-Tools und deren Funktionsweise
- Praktische Anwendung der Tools in einer Testumgebung
- Bewertung der Effektivität der Loganalyse-Tools für die Erkennung von Angriffen
Zusammenfassung der Kapitel
- Begriffsbestimmung: Dieses Kapitel definiert die Begriffe Logdatei und Loganalyse und erläutert ihre Bedeutung im Kontext der IT-Sicherheit. Besondere Aufmerksamkeit wird auf die Logdateien gelegt, die von Intrusion Detection Systems (IDS), Firewalls und anderen Sicherheitssystemen erzeugt werden.
- Loganalyse - Werkzeuge: Das Kapitel stellt eine Auswahl von Loganalyse-Tools vor, die in der IT-Sicherheit eingesetzt werden. Die Tools werden nach ihren Funktionalitäten und Einsatzbereichen kategorisiert.
- Testumgebung: Hier wird die Testumgebung vorgestellt, die für die Evaluierung der Loganalyse-Tools verwendet wurde. Die Umgebung umfasst eine virtuelle Maschine mit Ubuntu 9.04 und einem Snort-System für die Erzeugung von Logdateien.
- SnortALog: Dieses Kapitel bietet eine detaillierte Analyse des Tools SnortALog. Es werden die Installation, Konfiguration und Funktionsweise des Tools erläutert.
- Fwlogwatch: Ähnlich dem Kapitel zu SnortALog, wird das Tool Fwlogwatch detailliert vorgestellt. Die Installation, Konfiguration und Funktionsweise des Tools werden umfassend beschrieben.
Schlüsselwörter
Loganalyse, IT-Sicherheit, Logdatei, Firewall-Loganalyse, Snort, SnortALog, Fwlogwatch, ACID, Intrusion Detection System (IDS), Angriffserkennung, Datamining, Sicherheitstools.
- Quote paper
- Dominic Hurm (Author), 2009, Loganalysis Tools für Datamining in Logfiles, Munich, GRIN Verlag, https://www.grin.com/document/143112
