Fazit
Sicherheit, Vertraulichkeit und Authentizität
Der Einsatz von TCP als Transportprotokoll (RFC 3195) garantiert zwar, dass keine Meldungen mehr auf dem Übertragungsweg verloren gehen. Allerdings ist so noch nicht sichergestellt, dass bei Überlastung oder Ausfall eines Relays oder Servers der Syslog-Sender keine Nachrichten verwirft. Hier kann eine intelligente Flusskontrolle in Verbindung mit einer intelligenten Zwischenspeicherung Abhilfe leisten. In einer Syslog-Infrastruktur speichert dabei ein Relay alle empfangenen Nachrichten auf Festplatte, wenn dessen Zielserver gerade nicht erreichbar ist. Wenn sich die Kapazität seines Puffers dem Ende zuneigt, nimmt er zudem keine weiteren Meldungen mehr von Sendern entgegen. Verfügen diese ebenfalls über diese Mechanismen, werden die Meldungen dann dort zwischengespeichert.
Die Vertraulichkeit der Übertragung von Syslog-Nachrichten kann man durch den Einsatz der SSL-Verschlüsselung während der Übertragung sicherstellen. Kommen bei SSL zur Authentifizierung zudem X.509-Zertifikate zum Einsatz, können auch keine fremden Quellen einen Kollektor oder Server mit gefälschten Nachrichten überfluten.
Um Administratoren die Analyse von Syslog-Nachrichten zu erleichtern, kann es weiterhin sinnvoll sein, diese nicht in Textdateien, sondern in einer relationalen Datenbank abzulegen. In den zunehmend heterogenen IT-Umgebungen kommt weiterhin oft der Wunsch auf, auch Windows-Server in eine Syslog-Infrastruktur mit einzubeziehen. Von Haus aus unterstützt Windows Syslog nicht, sondern speichert entsprechende Informationen in einem lokalen Ereignisprotokoll, dem so genannten Event-Log. Spezielle Syslog-Agenten für Windows können die Informationen jedoch vor dort auslesen und per Syslog an einen zentralen Server schicken.
Einige dieser erweiterten Funktionen lassen sich mit Syslog-ng und weiteren Open-Source-Mitteln abbilden. Andere Features haben Anbieter kommerzieller Syslog-Server in ihren Applikationen umgesetzt.
Insbesondere im Rahmen der Compliance-Diskussionen im Umfeld des Sarbanes-Oxley-Acts, von Basel II, des PCI-Data-Security-Standards oder des Health-Insurance-Portability-and-Accountability-Acts (HIPAA) erhält die Verwaltung von Logdaten eine erhöhte Aufmerksamkeit in Unternehmen. Denn die Zentralisierung aller Protokollinformationen aller Systeme kann Organisationen dabei helfen nachzuweisen, dass ihre Systeme und Daten nicht manipuliert wurden, keine Daten verloren gegangen sind und keine unberechtigten Personen auf Daten zugegriffen haben.
Um dies revisionssicher zu bewerkstelligen, muss jedoch der gesamte Weg einer Syslog-Nachricht von ihrer Entstehung bis zu ihrer verschlüsselten Speicherung vor Datenverlust und Manipulation geschützt sein. Im Schadensfall helfen zentrale Logdaten dann, ein Ereignis schnell zu rekonstruieren und entsprechende Maßnahmen daraus abzuleiten. Vielleicht ist das auch der Grund für das erneute Interesse der IETF an Syslog und die dort wieder auflebende Arbeit an der Standardisierung und Erweiterung des Protokolls.
Balázs Scheidler,
Geschäftsführer der Balabit Deutschland und Entwickler von Syslog-ng
