Als Loganalyse (engl. loganalysis) bezeichnet man den Versuch, über regelbasierte Systeme, Abhängigkeiten und Auffälligkeiten in einer Logdatei zu filtern, diese zu bewerten und auszugeben.
Durch diese Filterung lassen sich Vorkommnisse die nicht als „normal“ gelten finden und der Administrator kann dann entscheiden, ob hier ein Angriff stattgefunden hat oder nicht.
‐ Loganalyse ist einer der am wenigsten beachteten Aspekte von Einbruchserkennung.
Heutzutage hat jeder Desktop ein Antivirusprogramm, Firmen mit mehreren Firewalls und selbst Endbenutzer kaufen die neuesten Security Tools. Doch wer überwacht die Mengen an Informationen
welche die Programme generieren? Wer überwacht die Authentifizierungslogs von Email‐ und Webservern?
Eine Vielzahl von Angriffen hätte nie stattgefunden(oder hätte früher gestoppt werden können), wenn Administratoren sich um die Überwachung Ihrer Logdateien gekümmert hätten. ‐(Cid)
Da es verschiedene Arten der Loganalyse gibt, so zum Beispiel Firewall‐Loganalyse, Webserver‐Loganalyse, FTP‐Loganalyse usw., konzentriert sich diese Ausarbeitung auf Firewall‐Loganalyse im Kontext von IT‐Sicherheit.
Inhaltsverzeichnis
Begriffsbestimmung
Logdatei
Loganalyse
Loganalyse - Werkzeuge
Testumgebung
Testaufbau
Grafische Darstellung Testaufbau
SnortALog
Allgemein
Installation
Konfiguration
Funktionsweise
Fwlogwatch Allgemein
Installation
Konfiguration
Funktionsweise
Fazit
Weitere Loganalysis Tools
ACID (Analysis Console for Intrusion Databases)
Anhänge
Anhang 1 (Logfile von Snort)
Anhang 2 (Ausgabe SnortALog)
Anhang 3 (Konfigurationdatei Fwlogwatch)
Zielsetzung & Themen
Die Arbeit verfolgt das Ziel, verschiedene Werkzeuge zur Logdateianalyse im Kontext der IT-Sicherheit zu evaluieren und ihre praktische Anwendbarkeit sowie Funktionalitäten in einer Testumgebung zu vergleichen.
- Grundlagen der Logdatei-Analyse und deren Relevanz für die Einbruchserkennung.
- Testaufbau mittels virtueller Maschinen und Snort als Intrusion Detection System.
- Detaillierte Analyse und Konfiguration der Tools SnortALog und Fwlogwatch.
- Vergleichende Untersuchung der Leistungsfähigkeit und Ausgabemöglichkeiten.
- Diskussion weiterer relevanter Loganalyse-Werkzeuge wie ACID.
Auszug aus dem Buch
Loganalyse
Als Loganalyse (engl. loganalysis) bezeichnet man den Versuch, über regelbasierte Systeme, Abhängigkeiten und Auffälligkeiten in einer Logdatei zu filtern, diese zu bewerten und auszugeben.
Durch diese Filterung lassen sich Vorkommnisse die nicht als „normal“ gelten finden und der Administrator kann dann Entscheiden, ob hier ein Angriff stattgefunden hat oder nicht.
- Loganalyse ist einer der am wenigsten beachteten Aspekte von Einbruchserkennung. Heutzutage hat jeder Desktop ein Antivirusprogramm, Firmen mit mehreren Firewalls und selbst Endbenutzer kaufen die neuesten Security Tools. Doch wer überwacht die Mengen an Informationen welche die Programme generieren. Noch schlimmer, wer überwacht die Authentifizierungslogs von Email- und Webservern?
Eine Vielzahl von Angriffen hätte nie stattgefunden(oder hätte früher gestoppt werden können) wenn Administratoren sich um die Überwachung Ihrer Logdateien gekümmert hätten. - (Cid)
Da es verschiedene Arten der Loganalyse gibt, so zum Beispiel Firewall-Loganalyse, Webserver-Loganalyse, FTP-Loganalyse usw., konzentriert sich diese Ausarbeitung auf Firewall-Loganalyse im Kontext von IT-Sicherheit.
Zusammenfassung der Kapitel
Begriffsbestimmung: Definition von Logdateien und der Bedeutung der Loganalyse für die moderne IT-Sicherheit.
Loganalyse - Werkzeuge: Identifikation relevanter Softwarelösungen zur Analyse von Logfiles aus verschiedenen Quellen.
Testumgebung: Beschreibung der verwendeten virtuellen Infrastruktur unter Ubuntu sowie der eingesetzten Sicherheitskomponenten.
Testaufbau: Erläuterung des Versuchsaufbaus durch Portscans und gezielte Angriffe zur Generierung aussagekräftiger Logdateien.
SnortALog: Detaillierte Darstellung der Funktionsweise, Installation und Konfiguration von SnortALog zur Erstellung von Berichten.
Fwlogwatch Allgemein: Vorstellung des Tools Fwlogwatch, dessen Modi und Integrationsmöglichkeiten in Netzwerksicherheitsumgebungen.
Fazit: Abschließender Vergleich der getesteten Werkzeuge hinsichtlich Funktionalität, Portabilität und Bedienbarkeit.
Weitere Loganalysis Tools: Kurze Erwähnung ergänzender Softwarelösungen, insbesondere ACID.
Anhänge: Bereitstellung der erzeugten Rohdaten und Konfigurationsbeispiele zur Dokumentation der Tests.
Schlüsselwörter
Loganalyse, Logdatei, IT-Sicherheit, Snort, SnortALog, Fwlogwatch, Intrusion Detection, Firewall, Datamining, Ubuntu, Portscan, Netzwerkangriffe, Berichterstellung, ACID, Sicherheitsüberwachung
Häufig gestellte Fragen
Was ist das grundlegende Thema dieser Seminararbeit?
Die Arbeit befasst sich mit der Analyse von Logdateien als kritischem Aspekt der IT-Sicherheit, speziell im Hinblick auf den Einsatz spezialisierter Tools zur Auswertung von Firewall-Logs.
Welche Tools stehen im Zentrum der Untersuchung?
Die zentralen Themenfelder sind die Evaluierung von SnortALog und Fwlogwatch im Hinblick auf deren Konfiguration und Nutzen bei der Sicherheitsüberwachung.
Welches primäre Ziel verfolgt der Autor?
Das Ziel ist es, aufzuzeigen, wie Administratoren durch automatisierte Loganalyse-Werkzeuge effizienter Anomalien erkennen und auf Sicherheitsbedrohungen reagieren können.
Welche wissenschaftliche Methode kommt zum Einsatz?
Es wird eine empirische Testmethode angewandt, bei der in einer kontrollierten virtuellen Umgebung (Ubuntu mit Snort) gezielte Angriffe (Portscans, Exploits) provoziert und die resultierenden Logfiles mit den Testobjekten analysiert werden.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil gliedert sich in die theoretische Begriffsbestimmung, den Aufbau der Testumgebung, die detaillierte Vorstellung und Konfiguration der ausgewählten Analyse-Software sowie eine vergleichende Bewertung.
Welche Schlüsselbegriffe charakterisieren die Arbeit?
Die Arbeit wird maßgeblich durch Begriffe wie Loganalyse, Snort, Firewall-Sicherheit und die automatisierte Auswertung von Sicherheitsereignissen geprägt.
Wie unterscheidet sich die Konfiguration von SnortALog von Fwlogwatch?
SnortALog erfordert keine komplexe Konfiguration und zeichnet sich durch eine geringe Einarbeitungszeit aus, während Fwlogwatch eine umfangreichere, teils kompliziertere Konfiguration auf der Kommandozeile erfordert.
Warum konnte der Realtime-Modus von Fwlogwatch nicht vollständig getestet werden?
Die Tests scheiterten teilweise daran, dass die Snort-Logdateien in einem spezifischen Format vorliegen mussten, welches in der Testumgebung nicht in der erforderlichen Weise zur Verfügung stand.
Was ist die Schlussfolgerung bezüglich des produktiven Einsatzes?
Der Autor empfiehlt trotz des initialen Aufwands bei der Paketinstallation den Einsatz von SnortALog aufgrund der mächtigen Funktionen zur grafischen Aufbereitung und Berichterstellung.
- Citar trabajo
- Dominic Hurm (Autor), 2009, Loganalysis Tools für Datamining in Logfiles, Múnich, GRIN Verlag, https://www.grin.com/document/143112
