Logdateien verwalten mit Graylog 3.0

Der Logdaten-Versteher

Praktisch jeder IT-Hersteller speichert Logs in seinem eigenen Format und nicht immer sind diese über entsprechende Schnittstellen leicht zugänglich oder gar auswertbar. Diese Aufgabe übernehmen Logmanagementsysteme, die die Logdateien von IT-Systemen an zentraler Stelle sammeln und so eine Auswertung über Systemgrenzen hinweg erlauben. Mit Graylog steht schon länger ein leistungsfähiges Logmanagementsystem auf Open-Source-Basis zur Verfügung.
Eine stillstehende IT kostet Firmen bares Geld, dabei können die Gründe für einen Ausfall vielfältig sein. Im Juni dreht sich der Schwerpunkt im ... (mehr)

Graylog wurde im Jahr 2011 als Open-Source-Projekt in Hamburg gestartet und bietet seit 2016 auch eine kommerzielle Enterprise-Version des Systems an. Der Hauptsitz von Graylog befindet sich zwischenzeitlich in Houston im US-Bundesstaat Texas. Eigenen Angaben zu Folge verzeichnet das Unternehmen heute weltweit über 35.000 Installationen seiner Software. Graylog dient Systemadministratoren als zentrale Instanz für das Sammeln von Logfiles, die in Firewalls, Routern, Switchen, Servern und anderen Systemen anfallen.

Graylog speichert die Logs in einem Elasticsearch-Cluster und erleichtert mit einem leistungsfähigen Such- und Analysewerkzeug das schnelle Durchforsten auch sehr umfangreicher Datenbestände. Damit eignet sich Graylog nicht nur als sicherer zentraler Speicher für Protokollmeldungen aller Art, sondern vor allem auch für die Suche nach bestimmten Systemereignissen oder Hinweisen, die auf Angriffe oder andere Bedrohungen hindeuten. Mitte Februar hat Graylog die Verfügbarkeit der neuen Version 3.0 bekanntgegeben, mit der eine Reihe neuer Features eingeführt wurden.

Logdatenmanagement vs. SIEM

Die Grenze zwischen reinen Logmanagementsystemen und SIEM-(Security Information and Event Management)-Systemen ist mittlerweile fließend. Liegt der Schwerpunkt bei den Logmanagementsystemen eher auf dem Einsammeln und Archivieren sämtlicher Logfiles, haben SIEM-Systeme die Security-relevanten Logfiles im Fokus. Auf dem SIEM-System werden die Logfiles mit Hilfe einer Abfragesprache dann auf sicherheitsrelevante Ereignisse (Indicator of compro-mise, IOC) durchsucht. Bei einem Treffer generiert das SIEM-System einen Alarm zur Information des Administrationspersonals. Graylog kann nach dieser Definition also als Logmanagementsystem mit SIEM-Qualitäten bezeichnet werden.

Graylog ist vollständig in Java geschrieben, zur Installation wird daher Oracle Java SE 8 beziehungsweise

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019