howto: logging, reporting, log-analyse und logserver ... · pdf filehowto: logging, reporting,...
Post on 06-Feb-2018
242 Views
Preview:
TRANSCRIPT
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
2
Inhalt
1 Securepoint Logserver ................................................................................................... 3
2 Logserver für eine Securepoint Appliance einrichten ...................................................... 4
2.1 Logserver an der Appliance registrieren .................................................................. 4
2.2 Syslogserver auf der Appliance angeben ................................................................ 6
3 Installation Logserver ..................................................................................................... 7
3.1 Installation auf einem Windows-Rechner von Securepoint CD-ROM ....................... 7
3.2 Logserver Grundkonfiguration ................................................................................. 8
4 Logserver Datenbankverwaltung ...................................................................................11
4.1 Einrichtung der Datenbank .....................................................................................11
4.2 Datenbank Archivierung .........................................................................................12
4.3 Log File Manager verwenden .................................................................................12
5 Reporting und Alarmierung durch den Logserver ..........................................................13
5.1 Logserver Alarmierung ...........................................................................................13
5.2 Logserver Reporting ...............................................................................................14
5.3 Logserver Ereignis Reporting .................................................................................15
6 Dienstauswahl ...............................................................................................................16
7 Netzwerkkonfiguration ...................................................................................................17
8 Fehlerbehandlung .........................................................................................................18
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
3
1 Securepoint Logserver
Ein wichtiger Teil der Funktionen der Securepoint Security Appliance sind Logging, Repor-
ting und Log-Analyse. Die Log-Datei beinhaltet das automatisch erstellte Protokoll bestimm-
ter Aktionen und Prozesse auf einer Securepoint Security Appliance.
Securepoint Logserver
Die Aufgaben des Securepoint Logservers ist das Sammeln und Sichern von Log-Daten von
Securepoint-Systemen. Der Logserver bietet ebenfalls Alarmierungsfunktionen. Die Applian-
ce kommuniziert über das Syslog-Protokoll (siehe RFC 3164 und 3195) mit dem Securepoint
Logserver. Da das Protokoll Syslog verwendet wird, kann die Securepoint die Logdaten auch
auf einen beliebigen anderen SysLogserver speichern. Jedoch kann in diesem Fall der Secu-
repoint Syslog Client die Daten nicht für die grafische Auswertung abrufen. Im Folgenden
wird die Konfiguration des Securepoint Logservers beschrieben.
Abb. 1 Logserver, historische Log-Daten und Live-Log-Daten
Es werden keine Log-Daten mehr auf der Firewall zwischengespeichert. Möchte man auf
Loginformationen in der Vergangenheit zugreifen, so wird ein Logserver benötigt.
Die Firewall schickt per syslog (Port 514 UDP) die Loginformationen an den Logserver. Dazu
muss nur die IP des Logservers eingetragen werden.
Um an die Logdaten zu gelangen, muss dem Manager mittgeteilt werden, wo diese abgelegt
sind. Die Kommunikation zwischen Manager und Logserver findet über SSH (Port 22 TCP)
statt. Auf dem Logserver läuft ein SSH-Deamon an dem man sich mit dem Windows- Benut-
zerkonto authentifiziert.
Hinweis: Bei der Authentifizierung am Logserver muss Groß- und Kleinschreibung beachtet
werden!
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
4
2 Logserver für eine Securepoint Appliance einrichten
2.1 Logserver an der Appliance registrieren
Damit ein Logserver Daten von Securepoint Security Appliances sammeln kann, müssen die
Appliances wissen, wohin sie die Daten senden müssen. Tragen Sie deshalb zuerst einen
Logserver bei Ihrer Appliance ein.
Starten Sie einen Securepoint Security Manager über: Start -> Programme -> Secu-
repoint 2007nx -> Security Manager und geben Sie Ihr Container-Passwort ein.
Bestätigen Sie die Eingabe mit dem Button OK.
Abb. 2 Container Kennwort eingeben
Anmelden an der Appliance
Durch Doppelklick auf das Firewall-Objekt auf der Auswahlleiste oder mit Klick der
rechten Maustaste auf das Firewall-Objekt sowie Auswahl des Menüpunktes Verbin-
den wird eine Verbindung zur ausgewählten Appliance hergestellt.
Klicken Sie nun mit der rechten Maustaste auf ein vorhandenes rotes Firewall-Symbol
im linken Fenster des Security Managers und wählen Sie „Eigenschaften“. Für diese
Appliance wird dem Manager ein Logserver angegeben, von dem er die Logdaten ab-
rufen kann.
Achtung: Sollte kein Firewall-Symbol vorhanden sein, haben Sie noch keine Appliance für
den Security Manager eingerichtet – dies müssen Sie vorher tun.
Abb. 4 mit Firewall verbinden Abb. 3 Eigenschaften anzeigen lassen
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
5
In den Eigenschaften der Firewall stehen Ihnen zwei Folder zur Verfügung: Firewall
und Logserver.
Wechseln Sie auf den Folder Logserver und geben Sie folgende Daten ein:
Aktivieren Sie External Logging.
Tragen Sie nun die IP-Adresse des Rechners ein, auf dem der Logservers läuft.
Geben Sie ebenfalls Login und Passwort inkl. der Passwortbestätigung ein, damit
sich die Appliance auf dem Logserver authentisieren kann. Diese Login-Daten sind
entweder der lokale Benutzer oder Benutzer aus der Windows-Domäne, der beim
Logserver eingetragen ist.
Abb. 5 Logserver Daten angeben
Eingabefelder
Adresse IP-Adresse des Logservers
Port Port auf dem der Logserver erreichbar ist (default 22 ssh-Port).
Login Auf dem Logserver konfigurierter Benutzername. Dies ist ein lokaler
Windows-User oder Domain-User auf dem Rechner des Logservers.
Passwort Passwort des konfigurierten Benutzers (Windows-User bzw. Domain-
Passwort)
Bestätigung Passwort bestätigen
Beachten Sie: Unter Logserver wird ein Securepoint Logserver, auf die die Appliance alle
Logdaten ablegt, angegeben. Nur wenn hier alle Daten richtig angegeben werden, kann die
Logfile-Auswertung über den Securepoint Security Manager verwendet werden.
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
6
2.2 Syslogserver auf der Appliance angeben
Sie müssen auf der Appliance einstellen, auf welchen IPs sie ihre Syslog-Pakete schicken
soll.
klicken Sie auf das Icon Netzwerk.
Gehen Sie auf den Folder Server-Einstellungen.
Klicken Sie bei Logging-Server auf Hinzufügen.
Abb. 6 Logserver IP-Adresse hinzufügen
Tragen Sie in das Dialog-Fenster die IP des Logservers ein.
Speichern Sie Ihre Konfiguration über OK.
Werden mehrere IPs angegeben, schickt die Firewall zu allen IPs die Lognachrichten.
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
7
3 Installation Logserver
3.1 Installation auf einem Windows-Rechner von Securepoint CD-ROM
Der Securepoint Logserver muss auf einem Microsoft Windows Betriebssystem installiert
werden. Der Logserver befindet sich auf der CD-ROM im Folder: /programs/logserver.exe.
Starten Sie dieses Programm zur Installation unter Windows. Nach der Installation läuft der
Logserver als Dienst im Hintergrund.
Abb. 7 Übersicht installierter Dienste und deren Status
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
8
3.2 Logserver Grundkonfiguration
Konfigurationsoberfläche des Logservers starten
Nach der Installation kann über den angelegten Link im Startmenü die Konfigurationsoberflä-
che des Logservers gestartet werden.
Klicken Sie hierzu auf: Start -> Programme -> Securepoint 2007nx-> Logserver
Benutzer für den Logserver anlegen
Unter der Benutzerverwaltung werden entweder lokale Benutzer oder Benutzer aus der Win-
dows-Domäne angegeben, die sich zu dem Logserver verbinden dürfen. Die hier angegebe-
nen Benutzer müssen über Adminrechte verfügen.
Vorgehensweise:
Klicken Sie auf Benutzerverwaltung und auf den Button Hinzufügen. Ein neues Dia-
log-Fenster öffnet sich.
Legen Sie nun einen Benutzer aus der Domäne oder dem lokalen Rechner an, indem
Sie ihn aus der Liste auswählen und auf Hinzufügen klicken. Der neue Benutzer wird
in der Tabelle „erlaubte Benutzer“ abgelegt.
Abb. 8 Benutzerverwaltung des Logservers
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
9
Security Manager zur Anbindung an den Logserver anlegen
Neben der Benutzerabfrage wird festgelegt, welche IP-Adressen sich zu dem Logserver ver-
binden dürfen. Es müssen beide Kriterien erfüllt sein, damit eine Verbindung zum Abrufen
und Auswerten der Logdaten stattfinden kann.
Unter Erlaubte Securepoint Manager werden die IP-Adressen oder Netze von Securi-
ty Managern festgelegt, die sich zum Logserver verbinden dürfen.
Abb. 9 Berechtigung für Security Manager anlegen
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
10
Appliance anlegen, die dem Logserver Log-Daten senden dürfen
Securepoint Appliance werden IP-Adressen von Appliances festgelegt, die sich zum Logser-
ver verbinden dürfen.
Abb. 10 Zugriff für Securepoint Appliance erlauben
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
11
4 Logserver Datenbankverwaltung
Die Datenbankverwaltung ist in die Bereiche Verwaltung und Archivierung unterteilt.
Unter dem Bereich Datenbankverwaltung wird definiert, wie lange Daten aufbewahrt werden
sollen und wie viel Speicherplatz die Logdaten maximal belegen dürfen. Ebenfalls wird Ihnen
hier dargestellt, wie stark die Datenbank schon gefüllt ist.
Der Bereich Datenbankarchivierung bietet Ihnen die Möglichkeit die Datenbank in gewählten
Intervallen in einem gesonderten Ordner komprimiert zu speichern.
Unter dem Bereich Log File Manager können Sie Logdateien nach Archivierungsdaten su-
chen und anschließend löschen.
Abb. 11 Datenbankverwaltung und -archivierung
4.1 Einrichtung der Datenbank
Unter dem Eintrag Aufbewahrungszeit der Einträge können Sie entscheiden, wie alt die Ein-
träge in der aktuellen Datenbank sind. Wenn Sie die Datenbankeinträge archivieren möch-
ten, sollten Sie bedenken, dass Sie die Vorhaltezeit nicht kleiner wählen als die Archivie-
rungsintervalle. Wählen Sie z.B. als Aufbewahrungszeit 1 Tag und als Archivierungsintervall
wöchentlich, dann werden alle 7 Tage nur die Logeinträge der letzten 24 Stunden archiviert,
weil ältere Einträge schon gelöscht wurden.
Das Prüfungsintervall bestimmt das Intervall in Minuten, in dem geprüft wird, ob die maxima-
le Datenbankgröße überschritten wird und ob Einträge vorliegen, die älter als die eingetrage-
ne Vorhaltezeit sind.
Die Maximale Größe der Datenbank wir in Megabyte angegeben und muss mindestens 10
Megabyte groß sein. Bedenken Sie die Größe der Datenbank in Abhängigkeit der Vorhalte-
zeit und der geloggten Dienste und Appliances festzulegen.
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
12
Der Pfad der Datenbank legt den Ordner fest, in dem die Datenbank abgelegt wird.
Die Anzeige Derzeitige Datenbankgröße zeigt Ihnen den Füllstand der Datenbank an.
Mit dem Button Datenbank löschen, können Sie den Inhalt der aktuellen Datenbank löschen.
Beachten Sie: Sichern Sie Ihre Eingaben durch Betätigen des Speichern Buttons.
4.2 Datenbank Archivierung
Unter Ordner für Archivierung legen Sie den Pfad fest, unter dem die komprimierten Logda-
teien abgelegt werden. Mit dem Button Auswählen, können sie das Dateisystem in Baum-
struktur durchsuchen.
In der Dropdownbox wird das Archivierungsintervall festgelegt.
Beachten Sie: Sichern Sie Ihre Eingaben durch Betätigen des Speichern Buttons.
Abb. 12 Datenbankarchivierung
4.3 Log File Manager verwenden
Der Log File Manager ist dafür gedacht, alte Archivierungsdateien zu löschen. Dafür wählen
Sie unter Anfangs- und Enddatum ein Zeitraum aus, in dem sie archivierte Dateien suchen.
Werden Archive des betreffenden Zeitraums gefunden, können Sie sich eine Liste der ge-
fundenen Dateien anzeigen lassen.
Mit Betätigen des Löschen Buttons löschen Sie die gefundenen Archive.
Abb. 13 Log File Manager
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
13
5 Reporting und Alarmierung durch den Logserver
5.1 Logserver Alarmierung
Angriffe, die von dem Intrusion Detection System (IDS) erkannt werden, kann der Logserver
sofort per E-Mail oder über den Windows Nachrichtendienst melden. Wird der Windows
Nachrichtendienst verwendet, erscheint die Meldung direkt auf dem Bildschirm des angege-
benen Rechners. Zum Versenden der E-Mails, kann ein Mailserver angegeben werden, falls
der Rechner selber keine E-Mails verschicken kann.
Beachten Sie: Der Windows Nachrichtendienst kann nur verwendet werden, wenn dieser
auf beiden Systemen (LogServer und Host) aktiviert ist.
Abb. 14 Alarmierungseinstellungen vornehmen
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
14
5.2 Logserver Reporting
Falls ein oder mehrere Administratoren tägliche Reports bekommen sollen, müssen ihre E-
Mail-Adressen hinterlegt werden. Wie auch bei der Alarmierung, kann ein Mailserver ange-
geben werden. Die Reports enthalten html-Seiten mit den wichtigsten Informatio-
nen/Statistiken zu den Interfaces, Alarmierungen, IDS, Malware und Proxy.
Mit dem Button Test Mail, können Sie prüfen, ob Ihre Einstellungen korrekt sind.
Abb. 15 Reporting-Einstellungen vornehmen
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
15
5.3 Logserver Ereignis Reporting
Der Logserver kann auch bei vordefinierten Ereignissen eine E-Mail oder eine Meldung über
den Windows Nachrichtendienst senden.
Hierzu betätigen Sie den Button Hinzufügen und der Dialog Ereignis öffnet sich.
Eingabefelder
Ereignisname Geben Sie dem Ereignis einen aussagekräftigen Namen.
Aktiviert Mit dieser Checkbox können Sie definierte Ereignisse von der Meldung
ausnehmen.
Regex Hier wird ein regulärer Ausdruck erwartet, nach dem die Datenbank
durchsucht werden soll.
Methode Benachrichtigungsmethode: NET SEND oder E-Mail
Wünschen Sie beide Methoden, müssen Sie zwei Ereignisse anlegen.
Nachricht Text, der in der E-Mail erscheinen soll oder den der Nachrichtendienst
anzeigen soll.
E-Mails E-Mail-Adressen, der Empfänger.
NET SEND Hosts IP-Adresse der Empfänger.
OK Button Speichert das Ereignis in der Liste.
Abb. 16 Ereignisse definieren
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
16
6 Dienstauswahl
Mit dieser Funktion kann der Logserver so konfiguriert werden, dass nur bestimmte Meldun-
gen protokolliert werden.
Für jede überwachte Appliance können individuell zu loggende Meldungen eingestellt wer-
den.
Markieren Sie die gewünschte Appliance im der Tabelle Liste der Hosts.
Klicken Sie auf Bearbeiten und wählen einen Dienst aus der Dropdownliste.
Betätigen Sie dann Hinzufügen.
Wiederholen Sie diese Vorgehensweise ggf. für mehrere Dienste.
Beachten Sie: Wenn Sie keine Dienste auswählen, werden alle Meldungen protokolliert.
Abb. 17 überwachte Dienste auswählen
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
17
7 Netzwerkkonfiguration
In dem Dialog Netzwerkkonfiguration können Sie die Port Einstellungen des Logservers kon-
figurieren.
Abb. 18 Netzwerkkonfiguration
Eingabefelder
SSH Server Port Ändert den SSH Port des Logservers.
Syslog Server Port Ändert den Syslog Port des Logservers.
Binde Syslog Port an
alle IP-Adresse
Der Logserver horcht über den angegebenen Syslog Port auf allen
IP-Adressen.
Binde Syslog Port
an definierte IP-
Adressen
Der Logserver horcht über den angegebenen Syslog Port auf eine
spezielle IP-Adresse.
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
18
8 Fehlerbehandlung
Problem mögliche Ursache Behebung
Der Logserver läuft
nicht bzw. nimmt keine
Daten auf.
Der Logserver Dienst ist
nicht gestartet.
Überprüfen Sie den Status des Log-
server Dienstes und starten den
Dienst ggf.
Sie finden den Logserver Dienst auf
dem Logserver Rechner unter Start
Alle Programme Verwaltung
Dienste
Der Logserver lauscht nicht
auf dem Port 514.
Führen Sie in der Windows Konsole
(Start Ausführen, Eingabe: cmd,
Button OK)
netstat –n –a aus.
Unter dem Protokoll udp sollte der
Port 514 mit aufgeführt sein.
Der Port kann im Logserver unter dem
Punkt Netzwerkkonfiguration geändert
werden.
E-Mail oder Report
wird nicht zugestellt
Ist ein Mailserver angege-
ben?
Nein:
Der Logserver ermittelt den Mailserver
anhand des Domainnamens. Soll die
E-Mail in das Internet versendet wer-
den, muss der Logserver für die
Dienste DNS und SMTP auf der Fire-
wall freigeschaltet sein.
Ist der Mailserver richtig
angegeben?
Ist der Logserver zum Ver-
sand berechtigt?
Im Logserver kann im Bereich Repor-
ting als Test der Einstellungen eine
Testmail versendet werden.
Außerdem muss über den Konsolen
Befehl telnet ip-des-mailservers 25
der Mailserver erreichbar sein.
Mit folgenden Konsolenbefehlen kön-
nen Sie eine Testmail versenden: helo meinedomain.de
mail from:logserver@meinedomain.de
rcpt to:empfänger@meinedomain.de
data
TextFürDieTestmail
.
(Der Punkt in der letzten Zeile been-
det den Text!)
Wird auf diese Art die Mail nicht ver-
sendet, überprüfen Sie die Konfigura-
tion des Mailservers.
HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3
19
Problem mögliche Ursache Behebung
Im Security Manager
kann der Logserver
nicht angesprochen
werden.
Der Logserver kann nicht
über SSH Port 22 angesp-
rochen werden.
Prüfung mit dem Konsolenbefehl telnet ip-des-logservers 22
Verläuft die Prüfung negativ, blockiert
eventuell eine Firewall auf dem Rech-
ner des Logservers die Verbindung.
Der Logserver SSH Port
liegt nicht auf 22.
Der Port kann im Logserver unter dem
Punkt Netzwerkkonfiguration geändert
werden.
Der Benutzer hat keine
Admin-Rechte.
Überprüfen Sie, ob Sie sich über ei-
nen SSH-Client (z.B. PuTTY) mit Ih-
rem Windows-Benutzer zum Logser-
ver verbinden können.
top related