Logging, Reporting, Log-Analyse und Logserver ... - Securepoint

HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3

HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3 

Inhalt 

1 Securepoint Logserver ................................................................................................... 3 

2 Logserver für eine Securepoint Appliance einrichten ...................................................... 4 

2.1 Logserver an der Appliance registrieren .................................................................. 4 

2.2 Syslogserver auf der Appliance angeben ................................................................ 6 

3 Installation Logserver ..................................................................................................... 7 

3.1 Installation auf einem Windows-Rechner von Securepoint CD-ROM ....................... 7 

3.2 Logserver Grundkonfiguration ................................................................................. 8 

4 Logserver Datenbankverwaltung ...................................................................................11 

4.1 Einrichtung der Datenbank .....................................................................................11 

4.2 Datenbank Archivierung .........................................................................................12 

4.3 Log File Manager verwenden .................................................................................12 

5 Reporting und Alarmierung durch den Logserver ..........................................................13 

5.1 Logserver Alarmierung ...........................................................................................13 

5.2 Logserver Reporting ...............................................................................................14 

5.3 Logserver Ereignis Reporting .................................................................................15 

6 Dienstauswahl ...............................................................................................................16 

7 Netzwerkkonfiguration ...................................................................................................17 

8 Fehlerbehandlung .........................................................................................................18 

2


1 Securepoint Logserver 

Ein wichtiger Teil der Funktionen der Securepoint Security Appliance sind Logging, Reporting 

und Log-Analyse. Die Log-Datei beinhaltet das automatisch erstellte Protokoll bestimmter 

Aktionen und Prozesse auf einer Securepoint Security Appliance. 

Securepoint Logserver 

Die Aufgaben des Securepoint Logservers ist das Sammeln und Sichern von Log-Daten von 

Securepoint-Systemen. Der Logserver bietet ebenfalls Alarmierungsfunktionen. Die Appliance 

kommuniziert über das Syslog-Protokoll (siehe RFC 3164 und 3195) mit dem Securepoint 

Logserver. Da das Protokoll Syslog verwendet wird, kann die Securepoint die Logdaten auch 

auf einen beliebigen anderen SysLogserver speichern. Jedoch kann in diesem Fall der Securepoint 

Syslog Client die Daten nicht für die grafische Auswertung abrufen. Im Folgenden 

wird die Konfiguration des Securepoint Logservers beschrieben. 

Abb. 1 Logserver, historische Log-Daten und Live-Log-Daten 

Es werden keine Log-Daten mehr auf der Firewall zwischengespeichert. Möchte man auf 

Loginformationen in der Vergangenheit zugreifen, so wird ein Logserver benötigt. 

Die Firewall schickt per syslog (Port 514 UDP) die Loginformationen an den Logserver. Dazu 

muss nur die IP des Logservers eingetragen werden. 

Um an die Logdaten zu gelangen, muss dem Manager mittgeteilt werden, wo diese abgelegt 

sind. Die Kommunikation zwischen Manager und Logserver findet über SSH (Port 22 TCP) 

statt. Auf dem Logserver läuft ein SSH-Deamon an dem man sich mit dem Windows- Benutzerkonto 

authentifiziert. 

Hinweis: Bei der Authentifizierung am Logserver muss Groß- und Kleinschreibung beachtet 

werden! 

3


2 Logserver für eine Securepoint Appliance einrichten 

2.1 Logserver an der Appliance registrieren 

Damit ein Logserver Daten von Securepoint Security Appliances sammeln kann, müssen die 

Appliances wissen, wohin sie die Daten senden müssen. Tragen Sie deshalb zuerst einen 

Logserver bei Ihrer Appliance ein. 

‣ Starten Sie einen Securepoint Security Manager über: Start -> Programme -> Securepoint 

2007nx -> Security Manager und geben Sie Ihr Container-Passwort ein. 

‣ Bestätigen Sie die Eingabe mit dem Button OK. 

Abb. 2 Container Kennwort eingeben 

Anmelden an der Appliance 

Abb. 4 mit Firewall verbinden 

Abb. 3 Eigenschaften anzeigen lassen 

‣ Durch Doppelklick auf das Firewall-Objekt auf der Auswahlleiste oder mit Klick der 

rechten Maustaste auf das Firewall-Objekt sowie Auswahl des Menüpunktes Verbinden 

wird eine Verbindung zur ausgewählten Appliance hergestellt. 

‣ Klicken Sie nun mit der rechten Maustaste auf ein vorhandenes rotes Firewall-Symbol 

im linken Fenster des Security Managers und wählen Sie „Eigenschaften“. Für diese 

Appliance wird dem Manager ein Logserver angegeben, von dem er die Logdaten abrufen 

kann. 

Achtung: Sollte kein Firewall-Symbol vorhanden sein, haben Sie noch keine Appliance für 

den Security Manager eingerichtet – dies müssen Sie vorher tun. 

4


‣ In den Eigenschaften der Firewall stehen Ihnen zwei Folder zur Verfügung: Firewall 

und Logserver. 

Wechseln Sie auf den Folder Logserver und geben Sie folgende Daten ein: 

‣ Aktivieren Sie External Logging. 

‣ Tragen Sie nun die IP-Adresse des Rechners ein, auf dem der Logservers läuft. 

‣ Geben Sie ebenfalls Login und Passwort inkl. der Passwortbestätigung ein, damit 

sich die Appliance auf dem Logserver authentisieren kann. Diese Login-Daten sind 

entweder der lokale Benutzer oder Benutzer aus der Windows-Domäne, der beim 

Logserver eingetragen ist. 

Abb. 5 Logserver Daten angeben 

Eingabefelder 

Adresse 

Port 

Login 

Passwort 

Bestätigung 

IP-Adresse des Logservers 

Port auf dem der Logserver erreichbar ist (default 22 ssh-Port). 

Auf dem Logserver konfigurierter Benutzername. Dies ist ein lokaler 

Windows-User oder Domain-User auf dem Rechner des Logservers. 

Passwort des konfigurierten Benutzers (Windows-User bzw. Domain- 

Passwort) 

Passwort bestätigen 

Beachten Sie: Unter Logserver wird ein Securepoint Logserver, auf die die Appliance alle 

Logdaten ablegt, angegeben. Nur wenn hier alle Daten richtig angegeben werden, kann die 

Logfile-Auswertung über den Securepoint Security Manager verwendet werden. 

5


2.2 Syslogserver auf der Appliance angeben 

Sie müssen auf der Appliance einstellen, auf welchen IPs sie ihre Syslog-Pakete schicken 

soll. 

‣ klicken Sie auf das Icon Netzwerk. 

‣ Gehen Sie auf den Folder Server-Einstellungen. 

‣ Klicken Sie bei Logging-Server auf Hinzufügen. 

Abb. 6 Logserver IP-Adresse hinzufügen 

‣ Tragen Sie in das Dialog-Fenster die IP des Logservers ein. 

‣ Speichern Sie Ihre Konfiguration über OK. 

Werden mehrere IPs angegeben, schickt die Firewall zu allen IPs die Lognachrichten. 

6


3 Installation Logserver 

3.1 Installation auf einem Windows-Rechner von Securepoint CD-ROM 

Der Securepoint Logserver muss auf einem Microsoft Windows Betriebssystem installiert 

werden. Der Logserver befindet sich auf der CD-ROM im Folder: /programs/logserver.exe. 

Starten Sie dieses Programm zur Installation unter Windows. Nach der Installation läuft der 

Logserver als Dienst im Hintergrund. 

Abb. 7 Übersicht installierter Dienste und deren Status 

7


3.2 Logserver Grundkonfiguration 

Konfigurationsoberfläche des Logservers starten 

Nach der Installation kann über den angelegten Link im Startmenü die Konfigurationsoberfläche 

des Logservers gestartet werden. 

‣ Klicken Sie hierzu auf: Start -> Programme -> Securepoint 2007nx-> Logserver 

Benutzer für den Logserver anlegen 

Unter der Benutzerverwaltung werden entweder lokale Benutzer oder Benutzer aus der Windows-Domäne 

angegeben, die sich zu dem Logserver verbinden dürfen. Die hier angegebenen 

Benutzer müssen über Adminrechte verfügen. 

Vorgehensweise: 

‣ Klicken Sie auf Benutzerverwaltung und auf den Button Hinzufügen. Ein neues Dialog-Fenster 

öffnet sich. 

‣ Legen Sie nun einen Benutzer aus der Domäne oder dem lokalen Rechner an, indem 

Sie ihn aus der Liste auswählen und auf Hinzufügen klicken. Der neue Benutzer wird 

in der Tabelle „erlaubte Benutzer“ abgelegt. 

Abb. 8 Benutzerverwaltung des Logservers 

8


Security Manager zur Anbindung an den Logserver anlegen 

Neben der Benutzerabfrage wird festgelegt, welche IP-Adressen sich zu dem Logserver verbinden 

dürfen. Es müssen beide Kriterien erfüllt sein, damit eine Verbindung zum Abrufen 

und Auswerten der Logdaten stattfinden kann. 

‣ Unter Erlaubte Securepoint Manager werden die IP-Adressen oder Netze von Security 

Managern festgelegt, die sich zum Logserver verbinden dürfen. 

Abb. 9 Berechtigung für Security Manager anlegen 

9


Appliance anlegen, die dem Logserver Log-Daten senden dürfen 

Securepoint Appliance werden IP-Adressen von Appliances festgelegt, die sich zum Logserver 

verbinden dürfen. 

Abb. 10 Zugriff für Securepoint Appliance erlauben 

10


4 Logserver Datenbankverwaltung 

Die Datenbankverwaltung ist in die Bereiche Verwaltung und Archivierung unterteilt. 

Unter dem Bereich Datenbankverwaltung wird definiert, wie lange Daten aufbewahrt werden 

sollen und wie viel Speicherplatz die Logdaten maximal belegen dürfen. Ebenfalls wird Ihnen 

hier dargestellt, wie stark die Datenbank schon gefüllt ist. 

Der Bereich Datenbankarchivierung bietet Ihnen die Möglichkeit die Datenbank in gewählten 

Intervallen in einem gesonderten Ordner komprimiert zu speichern. 

Unter dem Bereich Log File Manager können Sie Logdateien nach Archivierungsdaten suchen 

und anschließend löschen. 

Abb. 11 Datenbankverwaltung und -archivierung 

4.1 Einrichtung der Datenbank 

Unter dem Eintrag Aufbewahrungszeit der Einträge können Sie entscheiden, wie alt die Einträge 

in der aktuellen Datenbank sind. Wenn Sie die Datenbankeinträge archivieren möchten, 

sollten Sie bedenken, dass Sie die Vorhaltezeit nicht kleiner wählen als die Archivierungsintervalle. 

Wählen Sie z.B. als Aufbewahrungszeit 1 Tag und als Archivierungsintervall 

wöchentlich, dann werden alle 7 Tage nur die Logeinträge der letzten 24 Stunden archiviert, 

weil ältere Einträge schon gelöscht wurden. 

Das Prüfungsintervall bestimmt das Intervall in Minuten, in dem geprüft wird, ob die maximale 

Datenbankgröße überschritten wird und ob Einträge vorliegen, die älter als die eingetragene 

Vorhaltezeit sind. 

Die Maximale Größe der Datenbank wir in Megabyte angegeben und muss mindestens 10 

Megabyte groß sein. Bedenken Sie die Größe der Datenbank in Abhängigkeit der Vorhaltezeit 

und der geloggten Dienste und Appliances festzulegen. 

11


Der Pfad der Datenbank legt den Ordner fest, in dem die Datenbank abgelegt wird. 

Die Anzeige Derzeitige Datenbankgröße zeigt Ihnen den Füllstand der Datenbank an. 

Mit dem Button Datenbank löschen, können Sie den Inhalt der aktuellen Datenbank löschen. 

Beachten Sie: Sichern Sie Ihre Eingaben durch Betätigen des Speichern Buttons. 

4.2 Datenbank Archivierung 

Unter Ordner für Archivierung legen Sie den Pfad fest, unter dem die komprimierten Logdateien 

abgelegt werden. Mit dem Button Auswählen, können sie das Dateisystem in Baumstruktur 

durchsuchen. 

In der Dropdownbox wird das Archivierungsintervall festgelegt. 

Beachten Sie: Sichern Sie Ihre Eingaben durch Betätigen des Speichern Buttons. 

Abb. 12 Datenbankarchivierung 

4.3 Log File Manager verwenden 

Der Log File Manager ist dafür gedacht, alte Archivierungsdateien zu löschen. Dafür wählen 

Sie unter Anfangs- und Enddatum ein Zeitraum aus, in dem sie archivierte Dateien suchen. 

Werden Archive des betreffenden Zeitraums gefunden, können Sie sich eine Liste der gefundenen 

Dateien anzeigen lassen. 

Mit Betätigen des Löschen Buttons löschen Sie die gefundenen Archive. 

Abb. 13 Log File Manager 

12


5 Reporting und Alarmierung durch den Logserver 

5.1 Logserver Alarmierung 

Angriffe, die von dem Intrusion Detection System (IDS) erkannt werden, kann der Logserver 

sofort per E-Mail oder über den Windows Nachrichtendienst melden. Wird der Windows 

Nachrichtendienst verwendet, erscheint die Meldung direkt auf dem Bildschirm des angegebenen 

Rechners. Zum Versenden der E-Mails, kann ein Mailserver angegeben werden, falls 

der Rechner selber keine E-Mails verschicken kann. 

Beachten Sie: Der Windows Nachrichtendienst kann nur verwendet werden, wenn dieser 

auf beiden Systemen (LogServer und Host) aktiviert ist. 

Abb. 14 Alarmierungseinstellungen vornehmen 

13


5.2 Logserver Reporting 

Falls ein oder mehrere Administratoren tägliche Reports bekommen sollen, müssen ihre E- 

Mail-Adressen hinterlegt werden. Wie auch bei der Alarmierung, kann ein Mailserver angegeben 

werden. Die Reports enthalten html-Seiten mit den wichtigsten Informationen/Statistiken 

zu den Interfaces, Alarmierungen, IDS, Malware und Proxy. 

Mit dem Button Test Mail, können Sie prüfen, ob Ihre Einstellungen korrekt sind. 

Abb. 15 Reporting-Einstellungen vornehmen 

14


5.3 Logserver Ereignis Reporting 

Der Logserver kann auch bei vordefinierten Ereignissen eine E-Mail oder eine Meldung über 

den Windows Nachrichtendienst senden. 

Hierzu betätigen Sie den Button Hinzufügen und der Dialog Ereignis öffnet sich. 

Eingabefelder 

Ereignisname 

Aktiviert 

Regex 

Methode 

Nachricht 

Geben Sie dem Ereignis einen aussagekräftigen Namen. 

Mit dieser Checkbox können Sie definierte Ereignisse von der Meldung 

ausnehmen. 

Hier wird ein regulärer Ausdruck erwartet, nach dem die Datenbank 

durchsucht werden soll. 

Benachrichtigungsmethode: NET SEND oder E-Mail 

Wünschen Sie beide Methoden, müssen Sie zwei Ereignisse anlegen. 

Text, der in der E-Mail erscheinen soll oder den der Nachrichtendienst 

anzeigen soll. 

E-Mail-Adressen, der Empfänger. 

E-Mails 

NET SEND Hosts IP-Adresse der Empfänger. 

OK Button Speichert das Ereignis in der Liste. 

Abb. 16 Ereignisse definieren 

15


6 Dienstauswahl 

Mit dieser Funktion kann der Logserver so konfiguriert werden, dass nur bestimmte Meldungen 

protokolliert werden. 

Für jede überwachte Appliance können individuell zu loggende Meldungen eingestellt werden. 

‣ Markieren Sie die gewünschte Appliance im der Tabelle Liste der Hosts. 

‣ Klicken Sie auf Bearbeiten und wählen einen Dienst aus der Dropdownliste. 

‣ Betätigen Sie dann Hinzufügen. 

‣ Wiederholen Sie diese Vorgehensweise ggf. für mehrere Dienste. 

Beachten Sie: Wenn Sie keine Dienste auswählen, werden alle Meldungen protokolliert. 

Abb. 17 überwachte Dienste auswählen 

16


7 Netzwerkkonfiguration 

In dem Dialog Netzwerkkonfiguration können Sie die Port Einstellungen des Logservers konfigurieren. 

Abb. 18 Netzwerkkonfiguration 

Eingabefelder 

SSH Server Port 

Syslog Server Port 

Binde Syslog Port an 

alle IP-Adresse 

Binde Syslog Port 

an definierte IP- 

Adressen 

Ändert den SSH Port des Logservers. 

Ändert den Syslog Port des Logservers. 

Der Logserver horcht über den angegebenen Syslog Port auf allen 

IP-Adressen. 

Der Logserver horcht über den angegebenen Syslog Port auf eine 

spezielle IP-Adresse. 

17


8 Fehlerbehandlung 

Problem mögliche Ursache Behebung 

Der Logserver läuft 

nicht bzw. nimmt keine 

Daten auf. 

Der Logserver Dienst ist 

nicht gestartet. 

Überprüfen Sie den Status des Logserver 

Dienstes und starten den 

Dienst ggf. 

Sie finden den Logserver Dienst auf 

dem Logserver Rechner unter Start 

Alle Programme Verwaltung 

Dienste 

E-Mail oder Report 

wird nicht zugestellt 

Der Logserver lauscht nicht 

auf dem Port 514. 

Ist ein Mailserver angegeben? 

Ist der Mailserver richtig 

angegeben? 

Ist der Logserver zum Versand 

berechtigt? 

Führen Sie in der Windows Konsole 

(Start Ausführen, Eingabe: cmd, 

Button OK) 

netstat –n –a aus. 

Unter dem Protokoll udp sollte der 

Port 514 mit aufgeführt sein. 

Der Port kann im Logserver unter dem 

Punkt Netzwerkkonfiguration geändert 

werden. 

Nein: 

Der Logserver ermittelt den Mailserver 

anhand des Domainnamens. Soll die 

E-Mail in das Internet versendet werden, 

muss der Logserver für die 

Dienste DNS und SMTP auf der Firewall 

freigeschaltet sein. 

Im Logserver kann im Bereich Reporting 

als Test der Einstellungen eine 

Testmail versendet werden. 

Außerdem muss über den Konsolen 

Befehl telnet ip-des-mailservers 25 

der Mailserver erreichbar sein. 

Mit folgenden Konsolenbefehlen können 

Sie eine Testmail versenden: 

helo meinedomain.de 

mail from:logserver@meinedomain.de 

rcpt to:empfänger@meinedomain.de 

data 

TextFürDieTestmail 

. 

(Der Punkt in der letzten Zeile beendet 

den Text!) 

Wird auf diese Art die Mail nicht versendet, 

überprüfen Sie die Konfiguration 

des Mailservers. 

18


Problem mögliche Ursache Behebung 

Im Security Manager 

kann der Logserver 

nicht angesprochen 

werden. 

Der Logserver kann nicht 

über SSH Port 22 angesprochen 

werden. 

Prüfung mit dem Konsolenbefehl 

telnet ip-des-logservers 22 

Verläuft die Prüfung negativ, blockiert 

eventuell eine Firewall auf dem Rechner 

des Logservers die Verbindung. 

Der Logserver SSH Port 

liegt nicht auf 22. 

Der Benutzer hat keine 

Admin-Rechte. 

Der Port kann im Logserver unter dem 

Punkt Netzwerkkonfiguration geändert 

werden. 

Überprüfen Sie, ob Sie sich über einen 

SSH-Client (z.B. PuTTY) mit Ihrem 

Windows-Benutzer zum Logserver 

verbinden können. 

19

Logging, Reporting, Log-Analyse und Logserver ... - Securepoint

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?