Teil 1 - Was bringt Logging und Monitoring?Security Logging and MonitoringTeil 3 - Das notwenige Übel – Monitoring von Events

Teil 2 - Die Basis – Logging von Events

Autor: Johannes Schmidt, MCSEboard.de

Um ein Security Monitoring durchführen zu können, ist es notwendig relevante Events von den Systemen loggen zu lassen. Das klingt soweit vermutlich für jeden einleuchtend - bis zu dem Zeitpunkt, zu dem man versucht, festzulegen welche Events relevant sind. Als absolutes Grundset an Events würde ich dabei die failed logon’s auf allen Ebenen (Betriebssystem, Datenbank etc) festlegen. Des Weiteren sollten die Events über abgestützte bzw. beendete Systemdienste mit in das Logging aufgenommen werden. Je nach den zur Verfügung stehenden Systemressourcen könnte man als Erweiterung auch noch Events, wie z. B. fehlgeschlagene Objektzugriffe im Active Directory bzw. auf Filesystemebene hinzufügen. Leider erzeugt das Logging auf die zuletzt genannten Events ein sehr hohes Datenvolumen und setzt daher voraus, dass genügend Speicherkapazität für das Logging zur Verfügung steht.

Bei der Wahl des Speicherplatzes sollte man sich immer für eine zentrale Speicherung von Events entscheiden, um die Manipulation der Logs durch die Schadsoftware oder den Benutzer zu verhindern. Diese Funktion wird durch sogenannte Agents auf den zu überwachenden Systemen geleistet (z. B. MOM Agent oder Tivoli Agent).

 

© MCSEboard.de, Johannes Schmidt

Teil 1 - Was bringt Logging und Monitoring?Security Logging and MonitoringTeil 3 - Das notwenige Übel – Monitoring von Events