| Die Protokollierung verschiedenster Ereignisse ist
eine der wichtigsten Aufgaben eines leistungsfähigen
Betriebssystems, speziell bei Netzwerken. Nur auf diese Weise ist
es möglich, Informationen für verschiedene Untersuchungen und
Diagnosen festzuhalten. Unter Linux werden alle Systemereignisse
umfassend aufgezeichnet und können mit verschiedenen Tools
bearbeitet und analysiert werden.
|
 |
| Etliche Systeme zur Unterstützung der
Netzwerksicherheit basieren auf der Auswertung dieser Protokolle,
die auf Anomalien und auffällige Eintragungen untersucht werden.
|
|
| Logsurfer |
Das Programm Logsurfer (http://www.cert.dfn.de/eng/logsurf
in neuem Fenster) überwacht textbasierte Logdateien in Echtzeit und bietet sehr
mächtige Funktionen:
- Das Programm kann jede Textdatei (auch die Standardeingabe)
verarbeiten.
- Zur Untersuchung der Dateien werden zwei reguläre
Ausdrücke verwendet, von denen der erste zutreffen muss und
der zweite nicht zutreffen darf.
- Während viele Analysetools zeilenorientiert arbeiten, kann
Logsurfer mehrere Zeilen im Kontext betrachten.
- Logsurfer bietet dynamische Regeln und erlaubt mehrere
Aktionen pro Regel.
Insgesamt ist Logsurfer eines der leistungsfähigsten Programme
zur automatischen Analyse von Protokollen und unter einer Lizenz
von DFN-CERT kostenlos verfügbar.
|
|
| Fwlogwatch |
| Ein speziell für die Auswertung von
Firewallprotokollen konzipiertes System ist Fwlogwatch, das die
Analyse ebenfalls in Echtzeit ausführt und unter der GPL frei
erhältlich ist.
|
|
| Fwlogwatch verarbeitet viele Protokollformate wie
Linux ipchains und iptables, ipfilter von Solaris, BSD, Irix und
HP-UX, Cisco IOS und PIX, Windows CP Firewall und Snort. Das
Programm verarbeitet auch mit gzip komprimierte Dateien, führt
die Namensauflösung selbständig durch und erstellt automatisch
oder interaktiv Berichte im Textformat oder als HTML-Seiten. Zur
Überwachung des Dienstes steht ein Web-Interface zur Verfügung. |
|
| Das Programm kann auch im Echtzeitmodus
Protokolldateien überwachen und Benachrichtigungen per E-Mail
oder WinPopUp versenden sowie über eine Webseite den aktuellen
Status berichten. |
|
| Logwatch |
| Logwatch ist eine Sammlung von Perl-Programmen zur
Überwachung von Protokolldateien. Es erzeugt automatisch
Zusammenfassungen der Protokolle in unterschiedlicher
Detaillierung (man kann zwischen high, med und low wählen) und
für verschiedene Zeiträume (today, yesterday, all). Im
Normalfall werden die Berichte per E-Mail an den Administrator
ausgeliefert.
|
|
| LogSentry |
| Das Programm LogSentry ist Teil der TriSentry Suite
von Psionic, die wir bei der Abwehr von Scanner-Angriffen
behandelt haben. Dieses Werkzeug ist eine Weiterentwicklung des
Tools logcheck und unter der GPL-Lizenz frei verfügbar.
|
|
| Logsentry durchsucht Protokolldateien nach
bestimmten Schlüsselwörtern und meldet alle Zeilen, welche diese
Schlüsselwörter enthalten oder umgekehrt jene Zeilen, in denen
die Schlüsselwörter nicht vorkommen. |
|
| Scanlogd |
| Das Programm Scanlogd läuft als Dämon,
überprüft permanent die Systemprotokolle nach möglichen
Portscans und meldet entdeckte Scans über den Syslog-Mechanismus
des Betriebssystems.
|
System
