Als Loganalyse (engl. loganalysis) bezeichnet man den Versuch, über regelbasierte Systeme, Abhängigkeiten und Auffälligkeiten in einer Logdatei zu filtern, diese zu bewerten und auszugeben.
Durch diese Filterung lassen sich Vorkommnisse die nicht als „normal“ gelten finden und der Administrator kann dann entscheiden, ob hier ein Angriff stattgefunden hat oder nicht.
‐ Loganalyse ist einer der am wenigsten beachteten Aspekte von Einbruchserkennung.

Heutzutage hat jeder Desktop ein Antivirusprogramm, Firmen mit mehreren Firewalls und selbst Endbenutzer kaufen die neuesten Security Tools. Doch wer überwacht die Mengen an Informationen
welche die Programme generieren? Wer überwacht die Authentifizierungslogs von Email‐ und Webservern?

Eine Vielzahl von Angriffen hätte nie stattgefunden(oder hätte früher gestoppt werden können), wenn Administratoren sich um die Überwachung Ihrer Logdateien gekümmert hätten. ‐(Cid)

Da es verschiedene Arten der Loganalyse gibt, so zum Beispiel Firewall‐Loganalyse, Webserver‐Loganalyse, FTP‐Loganalyse usw., konzentriert sich diese Ausarbeitung auf Firewall‐Loganalyse im Kontext von IT‐Sicherheit.

Extracto

Inhaltsverzeichnis

Begriffsbestimmung

Logdatei
Loganalyse

Loganalyse - Werkzeuge
Testumgebung

Testaufbau

SnortALog

Allgemein
Installation
Konfiguration
Funktionsweise

Fwlogwatch

Allgemein
Installation
Konfiguration
Funktionsweise

Fazit
Weitere Loganalysis Tools

ACID (Analysis Console for Intrusion Databases)

Zielsetzung und Themenschwerpunkte

Die Seminararbeit befasst sich mit dem Thema Loganalyse-Tools im Kontext der IT-Sicherheit. Ziel ist es, einen Einblick in die Funktionsweise und Anwendung dieser Werkzeuge zu geben und deren Relevanz für die Erkennung von Angriffen auf IT-Systeme zu verdeutlichen.

Begriffsbestimmung und Bedeutung von Logdateien und Loganalyse in der IT-Sicherheit
Vorstellung verschiedener Loganalyse-Tools und deren Funktionsweise
Praktische Anwendung der Tools in einer Testumgebung
Bewertung der Effektivität der Loganalyse-Tools für die Erkennung von Angriffen

Zusammenfassung der Kapitel

Begriffsbestimmung: Dieses Kapitel definiert die Begriffe Logdatei und Loganalyse und erläutert ihre Bedeutung im Kontext der IT-Sicherheit. Besondere Aufmerksamkeit wird auf die Logdateien gelegt, die von Intrusion Detection Systems (IDS), Firewalls und anderen Sicherheitssystemen erzeugt werden.
Loganalyse - Werkzeuge: Das Kapitel stellt eine Auswahl von Loganalyse-Tools vor, die in der IT-Sicherheit eingesetzt werden. Die Tools werden nach ihren Funktionalitäten und Einsatzbereichen kategorisiert.
Testumgebung: Hier wird die Testumgebung vorgestellt, die für die Evaluierung der Loganalyse-Tools verwendet wurde. Die Umgebung umfasst eine virtuelle Maschine mit Ubuntu 9.04 und einem Snort-System für die Erzeugung von Logdateien.
SnortALog: Dieses Kapitel bietet eine detaillierte Analyse des Tools SnortALog. Es werden die Installation, Konfiguration und Funktionsweise des Tools erläutert.
Fwlogwatch: Ähnlich dem Kapitel zu SnortALog, wird das Tool Fwlogwatch detailliert vorgestellt. Die Installation, Konfiguration und Funktionsweise des Tools werden umfassend beschrieben.

Schlüsselwörter

Loganalyse, IT-Sicherheit, Logdatei, Firewall-Loganalyse, Snort, SnortALog, Fwlogwatch, ACID, Intrusion Detection System (IDS), Angriffserkennung, Datamining, Sicherheitstools.

Häufig gestellte Fragen

Was versteht man unter Loganalyse in der IT-Sicherheit?

Loganalyse ist das Filtern und Bewerten von Logdateien mittels regelbasierter Systeme, um Abhängigkeiten und Auffälligkeiten zu finden, die auf einen Angriff hindeuten könnten.

Warum ist die Überwachung von Logfiles so wichtig?

Viele Angriffe könnten früher gestoppt werden, wenn Administratoren die von Firewalls, IDS und Servern generierten Informationen konsequent auswerten würden.

Welche Tools zur Firewall-Loganalyse werden vorgestellt?

Die Arbeit analysiert detailliert die Werkzeuge SnortALog und Fwlogwatch sowie die Analysis Console for Intrusion Databases (ACID).

Was ist die Aufgabe von SnortALog?

SnortALog ist ein Tool zur Analyse und Visualisierung der Logdaten des Intrusion Detection Systems "Snort", um Sicherheitsereignisse besser interpretierbar zu machen.

Wie funktioniert Fwlogwatch?

Fwlogwatch analysiert Firewall-Logdateien, generiert Berichte und kann bei erkannten Anomalien Warnmeldungen ausgeben oder sogar aktive Gegenmaßnahmen einleiten.

Kann Loganalyse einen Einbruch verhindern?

Sie ist ein wesentlicher Teil der Einbruchserkennung (Intrusion Detection), da sie hilft, laufende Angriffe zu identifizieren und Schwachstellen im Nachhinein zu analysieren.

Final del extracto de 47 páginas - subir

Detalles

Título: Loganalysis Tools für Datamining in Logfiles
Universidad: University of Applied Sciences Karlsruhe
Curso: Dataminig für die IT Sicherheit
Calificación: 1,3
Autor: Dominic Hurm (Autor)
Año de publicación: 2009
Páginas: 47
No. de catálogo: V143112
ISBN (Ebook): 9783640546213
ISBN (Libro): 9783640546183
Idioma: Alemán
Etiqueta: Logminig IT Sicherheit Logminig Tools Snort a Log fwlogwatch Logdaten Dataminig
Seguridad del producto: GRIN Publishing Ltd.

Citar trabajo: Dominic Hurm (Autor), 2009, Loganalysis Tools für Datamining in Logfiles, Múnich, GRIN Verlag, https://www.grin.com/document/143112

Loganalysis Tools für Datamining in Logfiles