Zum Inhalt springen

Ereignissen auf der Spur

Sicherheit: EventTracker – Prisms Log-Management-System ist ein leicht bedienbares und hoch skalierbares Programm zur Verwaltung und Analyse von Ereignis-Protokoll-Informationen.

Autor:Redaktion connect-professional • 3.11.2008 • ca. 2:10 Min

Daten sammeln, Daten durchgraben, aus Daten Berichte erzeugen. Dies sind die Schlüsselfunktionen der Log-Daten-Analyse. Mit Version 6.0 ihres Eventtracker-Log-Managers vereinfacht Prism Microsystems alle drei Funktionen. Zu den neuen Features des Produkts gehören eine verteilte Collection-Architektur, die einen Einsatz in geographisch verteilten Organisationen erlaubt, erweitertes Daten-Mining, erweitere Berichterzeugung und Unterstützung von XML sowie Windows-2003-Ereignisformaten.

Network Computing testete Eventtracker in ihren Real-World Labs und war beeindruckt. Prisms Produkt ist gleichwertig mit denen von Loglogic, Q1 Labs oder Splunk. Einige Features sind wunderbar einfach, beispielsweise die Verteilung von Agenten an Windows-Server: Hosts finden, darauf zeigen, klicken, fertig. Der Agent installiert sich und beginnt, Ereignisse zurück an den Collector zu senden. Syslog-Hosts hinzuzufügen ist ebenso einfach.

Verteilte Event-Log-Collectors, Collection-Points genannt, sind Eventtracker-Server, die Ereignisse planmäßig an den Master-Collection-Server weiterleiten. Die Ereignisdateien sind komprimiert, um die Menge der über das WAN zu übertragenden Daten zu reduzieren. Und da Eventtracker nach Anzahl der berichtenden Server lizenziert wird und nicht je Collector oder Managementstation, können sich Organisationen ihr Log-Collection-System nach belieben aufbauen, ohne sich Sorgen über zusätzliche Kosten machen zu müssen.

Um die zum Master-Collector gesendeten Ereignisse zu filtern, wurden im Test Agenten so konfiguriert, dass sie spezifische Benachrichtigungen, beispielsweise Windows-Sicherheitsereignisse, zu einem bestimmten Collector sendeten. Dieser Controller leitete dann ausgewählte Ereignisse zum Master weiter. Management und Daten-Mining waren außerdem direkt auf den Eventtracker-Collection-Points durchführbar.

Mit dem Eintreffen der ersten Ereignisse begann die Untersuchung der Such- und Berichtsfähigkeiten des Systems. Die neue Benutzerschnittstelle gleicht der Microsoft-Managementkonsole, womit sie Windows-Administratoren gleich vertraut erscheint. Klicks auf Hosts, Gruppen oder Ereignistypen schränkte Ereignisse auf genau diese Selektion ein. Eine prima Fähigkeit – für den, der weiß, wonach er sucht.

<b>Fortgeschrittene Untersuchung</b>

Eventtracker konzentriert sich mehr auf die Berichtserstellung und definiert Queries statt intuitiver Suche. Um beispielsweise ein spezifisches DHCP-Ereignis zu finden, ist eine Suche nach allen DHCP-Ereignissen innerhalb einer bestimmten Periode durchzuführen. Anschließend können die Parameter angepasst werden. Prism nennt diesen Prozess »Advanced Forensics« – das Durchgraben der Suchresultate unter Verwendung regulärer Ausdrücke und Schlüsselwörter in einer separaten Dialogbox. Allerdings ist eine Anpassung der Parameter nur einmal möglich. Wer die Suche weiter begrenzen möchte, muss die Anpassung immer wieder neu eingeben.

Eines der nützlichsten Features von Eventtracker ist Prisms integrierte Event-Knowledge-Base. Für jedes erkannte Ereignis liefert Eventtracker sinnvolle Beschreibungen und zusätzliche Ressourcen, so dass jeder Administrator verstehen kann, was ein Ereignis bedeutet. Prisms Knowledge-Base ist öffentlich, aber die Integration in Eventtracker ist natürlich prima.

Berichte sind nützlich, um zu zeigen, dass ein aktives Monitoring durchgeführt wird. Ausführbar sind sie bei Bedarf oder nach Zeitplan. Die Version 6.0 kommt mit einigen vordefinierten Berichten für Operationen, Sicherheitsereignisse und reguläre Compliance. Der Administrator selektiert einfach den Typ, fügt den Ziel-Host hinzu, erzeugt Filter, beispielsweise für spezifische Benutzer, und auf geht’s. Administratoren erhalten auf Wunsch Benachrichtigungen via E-Mail oder RSS-Feed.

Eventtracker 6.0 repräsentiert eine starke Balance zwischen Log-Aggregation und Daten-Mining. Ein Setup mit 50 überwachten Servern kostet rund 15000 Dollar einschließlich aller Module.

dj@networkcomputing.de

Das könnte Sie auch interessieren
KI
Münchner KI-Spezialist stellt Lösung vor KI-Anwendung soll erklärbare Daten liefern
N.Howe
Kontrolle der mobilen Datenströme  Sicherheit von mobilen Daten nicht unterbewerten
Storage
Accelerate-Konferenz in Las Vegas Pure Storage erweitert Angebot
T.Berghoff
Ungeschützt unterwegs - besser nicht Zwei Drittel der Urlauber gefährden ihre digitale Sicherheit
Medizin
Medizinische Bilddaten besser speichern Pure Storage: Evergreen//One for Medical Imaging vorgestellt
KI
Gastbeitrag zur Zukunft von KI Daten, Regeln und Talente sind gefragt
Quanten
Commvault stellt neue Funktionen vor Post-Quanten-Kryptografie im Fokus
Healthcare
Pflegepersonalbemessungsverordnung Nicht mehr exceln bis der Arzt kommt
Mehr passende Artikel
Apple Watch Series 9
Von wegen CO2-neutral Gericht stoppt Apple-Werbung wegen Greenwashing
Internet, Anwendungen übers Internet, Datentransfer
Schnelles Netz für alle Standorte Glasfaser: Bundesweite Vermarkter im Tarifcheck
GfK-Distributionsexpertin Tatjana Wismeth
NIQ/GfK-Analystin im Interview „Distribution bleibt letztendlich ein People Business“
Messe Berlin, Smart Country Convention 2024
Impulse für Verwaltung und Regionen Smart Country Convention: Digitalisierung im öffentlichen Sektor
Online-Shopping_schlechte_Laune_Bild_fizkes_shutterstock_2144529603.jpg
Widerruf bei Online-Käufen wird erleichtert Der Widerrufbutton kommt
Weiter zur Startseite