Bundesamt für Sicherheit in der Informationstechnik

M 3.90 Allgemeine Grundlagen für die zentrale Protokollierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die meisten IT-Systeme innerhalb eines Informationsverbundes können so konfiguriert werden, dass sie Protokolldaten über verschiedene Ereignisse wie Dateizugriffe erzeugen. Diese enthalten wichtige Informationen, die dabei helfen können, Hard- und Softwareprobleme sowie Ressourcenengpässe festzustellen und zu lokalisieren. Des Weiteren werden Protokolldaten auch für die Erkennung von Sicherheitsproblemen und Angriffen verwendet. Um einen Gesamtüberblick über einen Informationsverbund zu erhalten, kann ein zentraler Protokollierungsserver eingesetzt werden, der die unterschiedlichen Protokolldaten zusammenführt, diese analysiert und überwacht.

Aufbau Protokolldateien

Jede Protokolldatei enthält grundsätzlich neben den erfassten Ereignissen immer Datum und Uhrzeit als zentrale Informationen. Je nach protokollerzeugendem System können diese unterschiedlich angeordnet sein. Uhrzeit und Datum sind für eine zentrale Protokollierung besonders wichtig (siehe M 4.227 Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation ).

Zentralisierung

Um die Übersicht zu erhöhen und die gesammelten Daten leichter weiter verarbeiten zu können, werden die Protokolldaten aller involvierten Komponenten häufig über einen sicheren Kanal an einen zentralen Server übertragen. Wenn ein zentraler Protokollierungsserver eingesetzt wird, muss er über ausreichend Speicherkapazität verfügen, um die Protokollmeldungen des Informationsverbunds ablegen zu können.

Zur Übertragung von Status-, Fehler-, Alarm- und sonstigen Meldungen von Servern und Netzkomponenten an den Protokollierungsserver kann beispielsweise syslog verwendet werden. Mit syslog wird einerseits das Protokoll und andererseits auch das Programm bezeichnet, um Ereignismeldungen zu generieren, entgegenzunehmen, weiterzuleiten oder zu speichern. Prinzipiell erfolgt die Übertragung von syslog-Meldungen im Klartext. Erst durch das Tunneling über SSL oder SSH werden die Protokollmeldungen im Netz verschlüsselt übertragen.

Nicht jede einzelne mögliche Protokollierungsmeldung soll gesammelt und später auch ausgewertet werden. Häufig enthalten unterschiedliche Protokolldateien identische Informationen und liefern somit denselben Zusammenhang, der auf ein bestimmtes Ereignis schließen lässt. Deshalb werden redundante Daten zu einem Datensatz zusammengefasst, um die große Menge an Protokollinformationen zu verringern (Aggregation). Die Herausforderung hierbei liegt in der vorher notwendigen Normalisierung der unterschiedlichen Formate, in denen die Protokolldaten zur Verfügung stehen.

Normalisierung

Die zusammengefassten, unterschiedlichen Meldungen müssen für die spätere Auswertung in ein einheitliches Format umgewandelt (normalisiert) werden, da es keinen einheitlichen Standard für Format und Übertragungsprotokoll gibt. Durch die Normalisierung können die unterschiedlichen Protokoll-Formate, wie syslog, Microsoft Eventlog, SNMP, Netflow oder IPFIX aneinander angepasst und anschließend ausgewertet werden. Eine Normalisierung lässt sich mithilfe eines einfachen Skripts oder mit komplexen Applikationen durchführen.

Aggregation

Der nächste Schritt zur Vorverarbeitung ist die Aggregation. Hier werden Protokollmeldungen mit identischem Inhalt zu einem Datensatz zusammengefasst. Oft werden vom gleichen System mehrmals hintereinander identische Protokollmeldungen erzeugt, was einen geringeren Informationswert für die nachfolgenden Meldungen bedeutet. Aus diesem Grund wird nur die erste Protokolldatei weiterverarbeitet. Allerdings ist es wichtig, die erste Protokollmeldung um die Anzahl der aufgetretenen redundanten Ereignisse zu ergänzen, um die Häufigkeit der identischen Protokollmeldungen feststellen zu können.

Filterung

Neben Normalisierung und Aggregation wird für eine sinnvolle zentrale Protokollierung auch eine Filter-Funktion benötigt. Durch eine Filterung können je nach Einsatzzweck irrelevante Daten möglichst frühzeitig ausgesondert und somit vom weiteren Verarbeitungsprozess ausgeschlossen werden. In erster Linie sind die Protokolldaten der sicherheitsrelevanten IT-Systeme interessant. Die Anwendungsprotokolldaten, die dazu dienen, eine ordnungsgemäße Benutzung der jeweiligen Anwendungen zu überwachen, werden erst danach betrachtet. Aus Sicht der Verfügbarkeit sind hingegen regelmäßig abgefragte Monitoring-Informationen über den Betrieb der Systeme relevant. Dazu gehören die Erreichbarkeit der Systeme über das Netz oder Fehlermeldungen aus den Betriebssystemen, die auf Probleme hindeuten.

Auswertung

Das Ziel der Protokolldatenauswertung ist es, Probleme beim IT-Betrieb und Angriffe auf ein IT-System möglichst schnell erkennen zu können. Dafür müssen die Komponenten in Echtzeit überwacht werden. Die Analyse zeigt neben Sicherheitsereignissen und Fehlern auch Informationen über die aktuelle Auslastung auf. Bei der Auswertung von Protokolldaten ist auf eine aussagekräftige Darstellung der Ergebnisse in einer leistungsfähigen Benutzeroberfläche und auf die Unterstützung bei der Erstellung von Berichten zu achten. Ereignisse werden bei den meisten Systemen automatisiert aufgefunden, allerdings sollte eine Aussage darüber, ob ein realer Angriff vorliegt, durch einen Administrator bestätigt werden. Für diese Aufgabe müssen die Administratoren ausreichend geschult sein und durch sinnvolle Analysesysteme unterstützt werden.

Alarmierung

Gesammelte Protokolldaten können ein IT-Frühwarnsystem bei der Aufgabe unterstützen, bestehende Arbeitsabläufe und Datenflüsse zu überwachen und eine Schnittstelle für die Alarmierung bereitzuhalten. Die Alarmierung von wichtigen Ereignissen sollte über verschiedene Arten der Benachrichtigung wie E-Mail oder SMS erfolgen können. Um eine sinnvolle Alarmierung durchführen zu können, ist es wichtig, die Anzahl der Fehlalarme zu reduzieren. Ein wichtiger Aspekt hierbei ist, dass die Schwellwerte realistisch eingestellt und an die Gegebenheiten des Informationsverbundes angepasst werden.

Archivierung

Wenn Protokolldaten dauerhaft gespeichert werden sollen, muss geprüft werden, welche gesetzlichen oder vertraglichen Aufbewahrungsfristen dafür gelten. Um die Nachvollziehbarkeit von Aktionen zu gewährleisten, kann eine Mindestspeicherdauer vorgeschrieben sein, aus Datenschutzgründen kann es auch eine Löschungspflicht geben (siehe auch M 2.110 Datenschutzaspekte bei der Protokollierung ).

Stand: 13. EL Stand 2013