Die Flut der Logfiles im Blick behalten

11. Dezember 2014 von Holger Schmieder

Ein Logserver ist lediglich die Zentralisierung aller wichtigsten Logs an einem Punkt. Wenn man sich allerdings betrachtet, was an diesem Punkt alles auflaufen kann, wird schnell der Umfang der dortigen Informationen klar  – hier ein paar Beispiele:

Eine durchschnittliche Firewall schreibt ca. 2.000.000 Logeinträge täglich

Ein Windows Server schreibt ca. 120.000 Logeinträge täglich

Ein Linux-System schreibt ca. 80.000 Logeinträge täglich

Ein Netzwerk-Switch protokolliert ca. 10.000 Einträge täglich

Konsolidierung und Analyse sind wichtig

Natürlich kann man sich die Zeit nehmen und die einzelnen Logfiles analysieren – so man diese Zeit täglich findet. Einfacher ist allerdings der Einsatz eines intelligenten Analyse- und Auswertungswerkzeuges. Der Markt bietet eine große Anzahl solcher Systeme an – leider sind nur wenige davon vom typischen Mittelstand finanzierbar.

Das wir uns für solche Anforderungen gern unseres Linux-Know-hows und der Open Source Community bedienen, können wir eine Lösung empfehlen, die mit Ihren Anforderungen mitwachsen kann: OCTOPUSSY. Hinter diesem netten Namen verbirgt sich ein System, das sich in keinster Weise hinter dem von Branchengrößen verstecken muss:

Der Octopussy Syslog-Server befindet sich an zentraler Stelle in Ihrem Netzwerk. Alle Systeme, die irgendeine Form von Logfiles schreiben, übertragen diese dorthin. Da Octopussy ausschließlich Sylog Infos verarbeitet, sind für manche Systeme kleine Agenten notwendig, die das properitäre Format des jeweiligen Systems in Standard Syslog umwandeln. Meist sind aber auch hierfür Open Source Module verfügbar, die durch unser Serviceteam entsprechend angepasst und eingerichtet werden können.

In der Weboberfläche des Syslog-Servers werden nun alle Logs erfasst. Neue Logeinträge werden automatisch gelernt. Die Administratoren sind nun in der Lage, Meldungen zu kategorisieren und zu gewichten. Diese Einstufung ermöglicht im Anschluss die Definition von Alerting-Bedingungen. Für unbekannte Loginformationen lassen sich neue Templates erstellen, so dass auch solche Daten effizient ausgewertet werden können.

Das System kommt bereits mit einer Reihe von Hersteller-Templates wie Linux und Windows, Cisco, ClamAV, Cyrrus, Cyclades, Dell, Exim, F5, Fortinet, IBM, IronPort, Juniper, MacOSX, MySQL, Netscreen, Netflow, Xen u.v.m. Mehr Informationen finden Sie in unserem Whitepaper.

Wie bewältigen Sie die Flut der Logfiles?

Zurück zur Übersicht