Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Praxis: Log-Files von Firewall-Systemen auswerten

Sprechen Ihre »Traffic-Allowed«-Logs mit Ihnen?

Praxis: Log-Files von Firewall-Systemen auswerten

19. Mai 2010, 13:26 Uhr | Bernd Reder
Fortsetzung des Artikels von Teil 2

Erstellen von Trendberichten zu Netzaktivitäten

Ein Log-Management dient dazu, die Firewall-Log-Daten zu konsolidieren und einem SIEM-System zuzuführen.
Ein Log-Management dient dazu, die Firewall-Log-Daten zu konsolidieren und einem SIEM-System zuzuführen.

Um Netzwerk-Aktivitäten besser beurteilen zu können, schaffen Trendanalysen auf Basis von Traffic-Allowed-Logs eine valide Entscheidungsgrundlage: Wer spricht mit wem? Welches Protokoll wird genutzt? Wie viele Bytes werden gesendet und empfangen?

Berichte dieser Art liegen meist als Top-N-Listen vor. Die Daten können aber auch in grafischer Form dargestellt werden, etwa aufgeschlüsselt nach Ländern. Das lässt sich mithilfe einer Geo-IP-Datenbank bewerkstelligen.

Der Administrator sieht dann beispielsweise auf einer Landkarte, welche Länder für Verkehrsspitzen verantwortlich sind, sprich aus welchen Regionen besonders häufig auf einen Server oder eine Web-Site zugegriffen wird.

Die Optimierung von Firewall-Richtlinien ist entscheidend für eine leistungsfähige Paket-Filterung. Das ist vor allem in Hochgeschwindigkeitsnetzen ein wichtiger Faktor.

TALs enthalten die ID der Filter-Regeln, die dem Traffic entsprechen. Dies kann im Gegenzug dazu genutzt werden, die Regeln zu klassifizieren und so die Netzleistung zu optimieren.

Alle hier beschriebenen Anwendungen verbessern die Sicherheitsprozesse und können mithilfe einer Lösung für das Security-Information-and-Event-Management (SIEM) automatisiert werden, die Korrelationen zu Netzwerk-Komponenten herstellt.

Jedoch ist für diese Art von Korrelationen eine leistungsfähige und verlässliche Infrastruktur für das Sammeln von Log-Daten erforderlich. Diese Lösung muss in der Lage sein, Logs zu filtern, zu analysieren und diese an Korrelations-Engines weiterzuleiten.

Diese Log-Infrastruktur muss zudem die nötige Skalierbarkeit und Speicherkapazität aufweisen, um die großen Datenmengen verarbeiten zu können, welche Traffic-Allowed-Logs darstellen. Denn solche Log-Sammlungen können leicht auf mehrere Tera- oder gar Petabyte anwachsen.

Der beste Weg, um Logs zum Sprechen zu bringen, besteht darin, mit einem Log-Management zu starten, darauf ein SIEM-System aufzubauen und dieses dann weiterzuentwickeln.

Der Autor: Andy Morris ist Product-Marketing-Director bei Loglogic.

  1. Praxis: Log-Files von Firewall-Systemen auswerten
  2. Verbindungen überprüfen
  3. Erstellen von Trendberichten zu Netzaktivitäten

Lesen Sie mehr zum Thema

LogLogic GmbH
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu LogLogic GmbH

Autonomes Penetration Testing

Angreifen und angreifen lassen

Riverbed: Automatisierung für das…

Kosten für den IT-Betrieb senken

UiPath-Umfrage zur Generation Automatisierung

Mit Business Automation die Belegschaft entlasten

Red Hat veröffentlicht Enterprise Linux 9.2 und…

Verstärkte Linux-Automatisierung in der Hybrid-Cloud

Beschäftigte und Daten schützen

Sichere Zugriffe sind nur der Anfang

Matchmaker+
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH
KONZEPTUM GmbH

KONZEPTUM GmbH
Vodia Networks GmbH

Vodia Networks GmbH
EKINOPS Deutschland GmbH

EKINOPS Deutschland GmbH
HP Deutschland GmbH

HP Deutschland GmbH
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH