Test: Ipswitch-Suite
Ereignisse fest im Griff
Für Windows-Administratoren gehört der Blick in die Event Logs und Ereignisanzeigen auf ihren Servern und Client-Systemen zu den Standardaufgaben. Leider wird diese Überwachung sehr schnell unübersichtlich und fast unmöglich, wenn die Zahl der Systeme ansteigt. Eine Softwaresuite mit unterschiedlichen Programmen kann Abhilfe schaffen.
Für Windows-Administratoren gehört der Blick in die Event Logs und Ereignisanzeigen auf ihren Servern und Client-Systemen zu den Standardaufgaben. Leider wird diese Überwachung sehr schnell unübersichtlich und fast unmöglich, wenn die Zahl der Systeme ansteigt. Eine Softwaresuite mit unterschiedlichen Programmen kann Abhilfe schaffen.
Ipswitch ist vielen IT-Profis wohlbekannt: Nicht nur durch ihre Server- und Client-Programme aus der WS_FTP-Familie, die bei der Arbeit rund um den Dateitransfer helfen, sondern ganz besonders auch wegen der Whatsup-Gold-Programme, die rund um das IT-Management und vielfach speziell um die Netzwerkverwaltung herum angesiedelt sind.
Zum IT-Management gehören auch die vier Programme, die der Hersteller unter dem Namen Whatsup Event Log Management Suite zusammenfasst. Die Bezeichnung täuscht dabei allerdings etwas, da diese Lösungen ursprünglich nicht aus der Entwicklungsabteilung von Ipswitch, sondern von der amerikanischen Firma Dorian Software Creations stammen. Diese wurde Anfang des Jahres 2010 durch die Network Management Division von Ipswitch übernommen. Die vier Produkte der Suite sind:
Event Analyst – dient dazu Ereignisse herauszufiltern und zu untersuchen,
Event Rover – dient zu Analyse der Event-Daten in Echtzeit (auch forensisch),
Event Archiver – zentrale Sammlung und Speicherung der Ereignisdaten und
Event Alarm – dient zur Überwachung vorher definierter Ereignisse.
Wir haben uns für diesen Test die auf der Web-Seite des Herstellers zur Verfügung stehenden Versionen der Programme heruntergeladen. Diese können 30 Tage weitgehend uneingeschränkt genutzt werden. Eine Einschränkung betrifft dabei die Wiederherstellung von beschädigten Log-Dateien durch Event Rover: Der Hersteller erlaubt bei der Testversion nur eine Wiederherstellung der ersten 64 KByte der Datei, vollständig klappt dies dann nur mit der lizenzierten
Version.
Vier Produkte:
Installation und Einsatz
Wer in der englischen Version von Wikipedia unter dem Begriff Softwaresuite nachschlägt, findet dort eine relative knappe Definition, die von einer „Sammlung von Programmen, die mit einander in Verbindung stehen und eine mehr oder minder einheitliche Schnittstelle für den Anwender bieten“ redet. Viel treffender könnte man eigentlich das Konglomerat, das hier angeboten wird, nicht beschreiben. So fällt schon beim Download auf, dass es sich viel weniger um ein einheitliches Paket, als um vier einzelne Programme des gleichen Herstellers handelt. Drei der vier Programme melden sich bei Installation zudem nach wie vor als Dorian-Software. Nur den Event Rover hat man bei Ipswitch schon unter die Whatsup-Fittiche genommen, und auch nur diese Software richtet sich unter dem Namen Whatsup auf dem Windows-System ein. Die anderen drei Programme legen jeweils eine Programmgruppe unter dem eigenen Namen auf dem Rechner an.
Dies ist für einen Profi sicher kein Problem, kann er die Programme doch problemlos selbst in einer Programmgruppe zusammenführen – aber es ist auch nicht das, was er von einer Softwaresuite erwartet. Weiteres Ärgernis bei der Installation: Bei allen vier Programmen erscheint bei der Installation für jedes der drei anderen ein Fenster mit Werbung und der Aufforderung, doch auch dieses zu erwerben. So führt der Administrator dann insgesamt zwölf zusätzliche völlig unnötige Klicks aus, nur um die „Suite“ auf den Rechner zu bekommen. Davon abgesehen konnten wir die Programme in unserem Testszenario sowohl auf einem Windows 7 Ultimate System in der x64-Version als auch einem Rechner unter Windows Server 2008 R2 problemlos installieren und im Betrieb nehmen.
Allen vier Programmen ist ebenfalls gemein, dass sie im Moment nur und ausschließlich in 32-Bit-Versionen und in englischer Sprache zur Verfügung stehen. Bevor wir aber weiter in die Betrachtung der Programme und ihrer Fähigkeiten einsteigen, ist es notwendig, kurz die Hintergründe für ihren Einsatz zu
erläutern.
Protokolldateien, Dateiformate
und aktuelle Windows-Systeme
Standardmäßig sind auf einem Windows-Server immer drei Protokolldateien zu finden: das Anwendungs-, das System- und das Sicherheitsprotokoll. Alle Anwendungen und Dienste auf diesem System verwenden dabei die Anwendungsprotokolldatei, während Gerätetreiber die Systemprotokolldatei für ihre Zwecke einsetzen. Dies gilt natürlich ebenso auf den Windows-Client-Systemen. Das System generiert Erfolgs- und Fehlerüberwachungsereignisse im Sicherheitsprotokoll, wenn diese Überwachung aktiviert ist. Wenn – was sicher im professionellen Einsatz häufiger der Fall ist – noch andere Anwendungen wie beispielsweise der Verzeichnisdienst Active Directory auf dem Server installiert wurden, sind mit großer Wahrscheinlichkeit noch weitere Standardprotokolldateien vorhanden.
Zudem können die Systembetreuer auch selbstdefinierte Protokolldateien auf einem lokalen oder auch Remote-Computer erstellen. Geht man nun von einer nicht allzu großen Firma aus, die 20 Server-Systeme in Betrieb hat, auf denen im Durchschnitt jeweils fünf verschiedenen Log-Dateien 24 Stunden am Tag mit Ereignisdaten gefüllt werden, so kann man sich schnell die Dimension der zu verwaltenden Daten ausmalen.
Erschwerend kommt hinzu, dass Microsoft mit dem Erscheinen von Windows Vista und dem Windows Server 2008 ein neues, erweitertes Dateiformat für die Protokolldateien eingeführt hat. Das alte EVT-Format, das schon seit Windows NT 4 für die Log-Dateien zum Einsatz kam, wurde durch das neue EVTX-Format ersetzt. Neben neuen Ereigniseigenschaften (Event Properties) lassen sich mit diesem Format jetzt auch so genannte Kanäle zur Ausgabe von Ereignissen verwenden. Zusätzlich unterstützt das Dateiformat nun die Speicherung im XML-Format.
Diese Änderungen können besonders in Systemumgebungen, in denen sowohl ältere als auch neue Windows-Systeme zum Einsatz kommen, zu einem zusätzlichen Arbeitsaufwand bei der Bearbeitung, Verwaltung und Auswertung dieser Log-Dateien führen. Es zwar möglich, mit dem in die MMC (Microsoft Management Console) integrierten Event-Viewer eines aktuellen Windows-Systems (Bild 1) eine alte EVT-Datei vom einem XP-System zu öffnen; allerdings weist die Software dann darauf hin, dass eine bessere Navigation in dieser Datei sowie eine Analyse im neuen EVTX-Format möglich seien und bietet eine Konvertierung an.
Das Kommandozeilenwerkzeug wevtutil.exe stellt ebenfalls eine Konvertierung zur Verfügung und kann zudem auch zur Analyse und Manipulation der Ereignisprotokolle verwendet werden. Allerdings stellen sich diese beiden Standardoptionen von Windows in der täglichen Praxis weder als einfach noch als besonders praktisch heraus.
Welches Modul kann was:
Einsatz in der Praxis
Gerade in Bezug auf die zuvor geschilderte Problematik der unterschiedlichen Dateiformate bei den Protokolldateien verhalten sich die Dorian-Produkte vorbildlich: Durch eine Technik, die der Hersteller als Log-Refiner bezeichnet, wird eine Angleichung und Normalisierung der unterschiedlichen Datenformate (und unterschiedlichen Event-IDs) auf ein Format vorgenommen. So können Administratoren die Log-Dateien auch in Netzen, in denen ältere und aktuelle Windows-Versionen zusammen arbeiten, zentral analysieren und verwalten.
Wir haben zunächst den Event Analyst installiert und getestet. Über dieses Programm kann der Systembetreuer nach bestimmten Ereignissen in den Log-Dateien suchen, diese filtern und auch exportieren. Die dabei zur Verfügung stehende Möglichkeit, entsprechende Events über verschiedene Logs zu sammeln, zu analysieren und dann einen entsprechenden Report daraus zu gestalten (Bild 2), hat uns bei diesem Programm ganz besonders gut
gefallen.
Bei der Installation fragt das Programm zunächst, ob es innerhalb einer Arbeitsgruppe oder Domäne arbeiten soll (alle vier Programme greifen problemlos auf das Active Directory zu) und wie die Computersysteme gesucht werden sollen. Auch das entsprechende Nutzerkonto, mit dessen Rechten der vom Tool installiert Dienst auf dem Rechner aktiv ist, muss hier angegeben werden. Wir mussten exakt den gleichen Dialog auch bei der Installation der drei anderen Programme durchlaufen und jeweils die entsprechenden Werte eingeben. In einer Suite sollte solche Daten einmal für alle Programme erfasst werden, denn damit wird den Administratoren viel unnötige Arbeit erspart.
Das Analyst-Programm ist besonders stark darin, Protokolldateien über alle Rechner eines Netzes (oder auch nur von ausgesuchten Systemen) einzusammeln und auszuwerten. Dabei haben uns vor allen Dingen die umfangreichen Filtermöglichkeiten überzeugt: Der Administrator kann aus einer großen Anzahl bereits vordefinierter Filter wählen oder selbst seinen Anforderungen entsprechende Filter anlegen. Neben den so genannten Basic Filters stehen auch noch Advanced Filters zur Verfügung, die jedoch nur auf Daten angewendet werden können, die in einer Datenbank abgespeichert sind. Das System unterstützt dabei Access, SQL Server und Oracle. Mit der Software werden auch entsprechende Hilfetexte auf dem System installiert, die die Zusammenarbeit mit den Datenbanken (hier besonders Microsofts SQL-Server) erläutern.
Im nächsten Schritt haben wir einen Blick auf den Event Rover geworfen: War der Analyst hauptsächlich für die Untersuchung gespeicherter Daten gedacht, ist der „Vagabund“ darauf ausgerichtet, auf aktiven Systemen in den Protokolldateien nach Daten zu suchen. Das heißt aber nicht, dass man mit diesem Werkzeug keine gespeicherten Protokolldateien bearbeiten könnte. Ganz im Gegenteil hat der Hersteller hier mit der Loghealer-Technik eine Möglichkeit geschaffen, auch beschädigte Log-Dateien zu bearbeiten (Bild 4). In unserem Test haben wir dazu einfach eine Reihe von Events aus dem Sicherheitsprotokoll der Ereignisanzeige in eine EVTX-Datei abgespeichert. Diese wurde dann in einer einfachen Attacke mittels eines Editors beschädigt und wieder abgespeichert. Der Rover erkannte bei Start die Beschädigung (Bild 3) und stellte dann, da es sich nur um die Evaluierungsversion handelte, den ersten Teil der Datei wieder her. Das Besondere dabei: Dieses Programm überschreibt die beschädigte Datei nicht, sondern legt automatisch eine reparierte Kopie an. So steht die ursprüngliche beschädigte Datei für weitere forensische Untersuchungen zur Verfügung.
Zu den weiteren Besonderheiten des Event Rovers zählt auch die Möglichkeit, Suchmuster für den Check der Protokolldateien zu definieren. Dabei hilft der so genannte Incident Manager, mit dessen Hilfe der Administrator festlegen kann, wie ein Ereignis aussehen soll, nach dem er suchen will. Dabei kann es sich beispielsweise um eine Reihe von vergeblichen Anmeldeversuchen innerhalb eines sehr kurzen Zeitraums an einem System handeln, was auf einen versuchten Brute-Force-Angriff hindeuten kann. Einige solcher Incidents sind bereits vordefiniert und zeigen dem Administrator, wie er diese anlegen und verwalten kann.
Das dritte Programm in der Suite ist der Event Archiver: Er sammelt die Protokolldateien von verschiedenen Servern und Workstations ein (Bild 5) und speichert sie in einer Datenbank ab. Dabei nutzt das Programm auch einen Assistenten, der den Systemverwalter Schritt für Schritt durch die Konfiguration der verschiedenen Systeme und Log-Dateien leitet. Auf diese Weise ist es beispielsweise möglich, die Protokolldateien automatisch zu löschen, nachdem die Daten in der Datenbank abgespeichert wurden. Dies kann sich gerade in großen Systemumgebungen als sehr praktisch erweisen, in denen die Größe dieser Dateien schnell ansteigt. Wie bei den anderen Programmen der Suite ist es auch hier ein echter Vorteil, dass das Tool auf die beiden unterschiedlichen Formate der Protokolldateien problemlos zugreifen und diese einheitlich behandeln kann. Dies ist zwar auch mithilfe des Event-
Viewers aus der MMC der Windows-7- und Windows-Server-2008-Systeme innerhalb der MMC möglich, erfordert aber viel zusätzliche Handarbeit durch den
Administrator.
Ein weiterer Vorteil des Event Archivers, der ebenfalls die tägliche Arbeit der Systembetreuer deutlich erleichtern kann: Wenn es die Richtlinien im Firmennetzwerk erlauben, kann die Software die Protokolldateien auch in einem verteilten WAN-Netzwerk einsammeln und archivieren. Da die Menge der archivierten Daten sehr schnell wachsen wird, kann der Systembetreuer eine Grenze festlegen, ab der die Protokolldateien automatisch in ein anderes Verzeichnis wandern. Dort lassen sie sich anschließend lokal mit den anderen Tools untersuchen und bearbeiten.
Auch das vierte Werkzeug aus der Suite installiert einen eigenen Windows-Dienst, der auf dem System aktiv ist. Dieses Tool heißt Event Alarm und meldet dem Administrator, wenn bestimmte Ereignisse in Windows-Logs oder Syslog-Dateien auftreten. Ganz wichtig beim Einsatz dieses Programms: Es muss im Kontext eines lokalen Administrators bei der Installation auf einer Maschine und mit den Rechten eines OU- oder Domänenadministrators arbeiten, wenn es innerhalb einer Domäne beziehungsweise einer Organisationseinheit verwendet werden soll.
Wer mithilfe dieser Lösung aktive Vista- und Windows-Server-2008-Systeme überwachen will, muss sie allerdings mindestens auf einem System installieren, das selbst unter Windows Vista läuft. Ist Event Alarm auf einem Windows Server 2003 oder 2000 installiert, kann er seine Funktionen nicht ausführen. Folgerichtig rät der Hersteller in den mitgelieferten Hilfedateien auch dazu, den Alarm Viewer immer auf einem passenden Server-System zu installieren.
Dies bedeutet für den praktischen Einsatz, dass Administratoren in einem größeren Netz beispielsweise eine Version des Alarmprogramms auf einem Windows 2003 Server installiert haben sollten, wenn sie eine Gruppe solcher Server überwachen wollen. Auch die nötigen Firewall-Einstellungen auf den aktuellen Windows-Systemen behandelt die mitgelieferte Hilfe sehr ausführlich, da die verschärften Sicherheitsrichtlinien ab Windows Vista hier einige Eingriffe des Systembetreuers erfordern, ehe er die Anwendung einsetzen kann.
Wie es bei derartigen Programmen üblich ist, bietet die Software eine ganze Reihe von Alarmierungsmöglichkeiten an, die neben dem E-Mail-Versand auch Pop-up-Meldungen im Netzwerk, Broadcast-Meldungen an Administratoren, die ein mitgeliefertes Programm (Event Alarm Listener Console) verwenden, und Pager-Meldungen beinhalten. Für den E-Mail-Versand benötigt die Lösung allerdings einen SMTP-Server im Netzwerk, über den es die Meldungen weiterleitet. Als weitere Besonderheit hebt der Hersteller hervor, dass die Lösung sowohl mit einem Remote-
Agenten als auch ohne diese Software via Remote-Zugriff auf entfernte Systeme zugreifen kann. Bei den möglichen Alarmen kann der Administrator zwischen über 100 vordefinierten Auslösern auswählen, aber über ein so genanntes Rapid Configuration Tool Alarmierungseinstellungen auch selbst konfigurieren.
Fazit
Alle vier Programme führen ihre Aufgaben so aus, wie es der Hersteller verspricht. Hat man sich erst einmal an die etwas altertümlichen Oberflächen (im Stil der frühen NT-4-Lösungen) gewöhnt, so stellt auch die Bedienung kein Problem dar. Herausragend sind dabei unserer Einschätzung nach ohne Zweifel die beiden Programme Event Analyst und Event Rover. Der Analyst konnte dabei vor allen Dingen mit umfangreichen Reporting-Fähigkeiten glänzen, die es dem Administrator schnell und übersichtlich erlauben, Berichte in diversen gängigen Formaten zu erstellen. Beim Event Rover war es dann ganz besonders die Loghealer-Funktion, die überzeugen konnte. Ein Werkzeug, das nicht nur die Reparatur beschädigter Protokolldaten ermöglicht, sondern umsichtiger Weise auch die beschädigte Datei unangetastet lässt und so eine forensische Analyse ermöglicht, kann bei vielen Gelegenheiten sehr hilfreich sein.
Wenn es Ipswitch gelingt, die vier Module wirklich zu einer einheitlichen Suite zu vereinigen, sodass die Zielgruppe der Administratoren bei Installation und Betrieb nicht durch unnötige Wiederholungen und fehlende Integration der einzelnen Produkte untereinander aufgehalten wird, könnten sich diese Programme schnell großer Beliebtheit erfreuen. Eine moderne Oberfläche oder besser noch die Integration in die MMC, wie es andere System-Tools bereits vormachen, könnte ebenfalls einen positiven Effekt bei der Akzeptanz erzielen.
Lesen Sie mehr zum Thema
