Systeembeheerders gebruiken logfiles vooral om aan troubeshooting te doen. Maar logs bevatten nog zoveel meer informatie, dat het zonde zou zijn daar niets mee te doen. Log management helpt je security en compliance audits uit te voeren en problemen te voorkomen in plaats van ze te verhelpen. We bekijken drie tools: GFI EventsManager 2010, OSSEC en Splunk.
De servers in bedrijven houden journaals bij: logboeken van alle activiteiten. Beheerders bekijken die als er wat fout gaat, in de hoop dat het logboek de oorzaak weergeeft zodat ze dat snel kunnen oplossen. Maar zolang alles goed gaat, worden logs vaak straal genegeerd. Desondanks bevatten dergelijke logs een ware goudmijn aan informatie. Het verzamelen of vergaren van de data in de logfiles en die dan analyseren kan op zijn minst nuttige statistische informatie opleveren. Maar je kunt er ook beveiligingskwetsbaarheden mee opsporen, applicaties mee bewaken en de prestaties mee meten zonder extra belasting, zoals eerder gezegd fouten opsporen (troubleshooting), en – last but not least – policy compliance auditing (reglementnalevingsaudits). Dat laatste speelt ook mee bij wettelijk vastgelegde eisen: als je aan bepaalde beveiligingsvoorwaarden moet voldoen om samen te werken met of ict-opdrachten te vervullen voor de overheid, om maar iets te noemen, dan moet je dat doorgaans bewijzen via zo'n nalevingsaudit. En daarvoor dient logbeheersoftware dus. Het helpt je bij één of meer van deze taken.
Beveiligingsauditing
Wat ons betreft is een van de voornaamste reden om aan loganalyse te doen, het opsporen van beveiligingsproblemen. Zeker bij Windows-systemen, maar veiligheid mag uiteraard ook niet veronachtzaamd worden op Linux-platformen. Uiteraard zijn foutenopsporing en applicatie- en prestatiebewaking ook belangrijk, maar de meeste bedrijven besteden hier sowieso al aandacht aan. Als een bedrijf nu nog geen logbeheersoftware heeft draaien, dan is dat vaak om dat er onvoldoende of geen aandacht geschonken is aan veiligheidsbewaking en bijhorende nalevingscontroles.
Geteste producten
In dit artikel bekijken we drie producten voor logbeheer: GFI EventsManager 2010, OSSEC en Splunk. Wat voor functionaliteit bieden ze? Zijn ze effectief geschikt voor compliance auditing? Wijzen ze ons op met name veiligheidsproblemen bij het analyseren van logfiles van Windows en Linux systemen?
Testmethode
We testten met twee live servers: een Windows Server 2003 met Exchange Server 2003 plus een Linux server met daarop een Apache webserver met php en een mysql database. Die systemen draaiden enkele maanden live voor mailverwerking en als webserver zonder dat er aandacht geschonken was aan hun beveiliging. Alles werd standaard geïnstalleerd en geconfigureerd, zonder extra beveiligingsmaatregelen. De Exchange server werd wel ingesteld om alleen maar post te aanvaarden van een welbepaalde cloudspamfilter en zijn uitgaande post alleen maar af te leveren aan een smtp-relay. Zo konden we ondanks het gebrek aan strikte beveiliging toch voorkomen dat deze Exchange server gekaapt zou worden voor spamverzending. De Linux server draait Ubuntu Server en host een op WordPress blogsoftware gebaseerde website.
Als we zelf de logs van deze twee servers handmatig nalopen, valt ons op dat er aardig wat waarschuwingen over allerlei problemen instaan. Maakt de logbeheersoftware ons duidelijk wat er scheelt en wat we moeten doen om de problemen op te lossen? Hoe beter de software dit kan, hoe beter deze de beheerder van dienst kan zijn. Kan de software een echt policy compliance rapport aanmaken? Volgens de betrokken ISO-normen? We hebben dit allemaal bekeken. Omdat de tools sterk verschillen qua functionaliteit en werking en bovendien normaal constant in de achtergrond draaien, hebben we geen snelheidsmetingen verricht omdat die nietszeggend zouden zijn.
ALGEMENE CONCLUSIE
Als je de sterkste oplossing vanuit het standpunt van beveiliging zoekt, moet je ongetwijfeld OSSEC hebben. Dat is immers ook een volledig inbraakdetectiesysteem. Het is verder vrijwel onbeperkt uitbreidbaar. En het is gratis. Qua gebruiksvriendelijkheid scoort OSSEC echter zeer laag.
GFI EventsManager is veel gebruiksvriendelijker, maar focust heel erg op Windows. We zien dat dus vooral zitten in Windows-centrische omgevingen, hoewel het ook overweg kan met eventueel aanwezige Linux-servers. Splunk heeft echter geen van de nadelen van GFI en OSSEC en biedt ook een indrukwekkende functionaliteit.
De kern
* Logs bevatten een schat aan informatie.
* Logbeheer-tools helpen bij het voorkomen van netwerkproblemen.
DE SERIE
Deel 1: Loggegevens bevatten schat aan informatie (publicatiedatum maandag 28 februari)
Deel 2: GFI EventsManager 2010 (publicatiedatum donderdag 3 maart)
Deel 3: OSSEC (publicatiedatum maandag 7 maart)
Deel 4: Splunk (publicatiedatum donderdag 10 maart)