take care of your logs

take care of your logs
was, warum und wieso eigentlich

View Slide

Jan Doberstein
( @jalogisch )
17+ Jahre IT Administrator
Support Engineer bei Graylog
( @graylog2 )

View Slide

Was sind Logs?

View Slide

– Wikipedia
„Eine Logdatei enthält das automatisch
geführte Protokoll aller oder bestimmter
Aktionen von Prozessen auf einem
Computersystem.“

View Slide

– Wikipedia
„ Außer dem Betriebssystem selbst schreiben
meist Hintergrundprogramme (z. B. ein E-Mail-
Server, ein Proxyserver und anderes) in
Logdateien, um Aktionsmeldungen,
Fehlermeldungen und Hinweise persistent
(dauernd) oder temporär verfügbar zu halten.
Ähnliches gilt für Installationsprogramme,
Firewalls, Virenscanner und dergleichen. “

View Slide

Logs geben die Möglichkeit
Dinge zu einem späteren
Zeitpunkt nachzuvollziehen

View Slide

Aug 16 18:18:19 d8.jalogis.ch sshd[26944]: fatal: Unable
to negotiate a key exchange method [preauth]
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: reverse
mapping checking getaddrinfo for hn.kd.ny.adsl
[222.138.139.252] failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Invalid user
admin from 222.138.139.252
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]:
input_userauth_request: invalid user admin [preauth]
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Connection
closed by 222.138.139.252 [preauth]

View Slide

View Slide

ohne Logs ist
schlecht.

View Slide

lokales Sammeln
• Linux ( syslog / journald )
• Windows ( Eventlog )

View Slide

lokales Sammeln
root@d8:/var/log# grep -v "fatal: Unable to negotiate a key exchange
method" auth.log | grep -v „pam_unix(cron:session)“ auth.log
Aug 16 18:12:18 d8.jalogis.ch sshd[26930]: Connection closed by
45.114.50.54 [preauth]
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: reverse mapping checking
getaddrinfo for hn.kd.ny.adsl [222.138.139.252] failed - POSSIBLE BREAK-
IN ATTEMPT!
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Invalid user admin from
222.138.139.252
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: input_userauth_request:
invalid user admin [preauth]
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Connection closed by
222.138.139.252 [preauth]

View Slide

View Slide

lokales Sammeln
• Ist der Host nicht erreichbar, gibt es kein Log
• Lokale Logs erlauben es nicht, dezentrale
Ereignisse zu verfolgen
• Kompromittierte Systeme sind manipuliert

View Slide

(simples) zentrales Sammeln
• OS Grundausstattung
• geringer Aufwand
Syslog

View Slide

(simples) zentrales Sammeln

View Slide

View Slide

Datenbank & Interface

View Slide

Elasticsearch ist eine dokumentbasierte Datenbank
die auf Apache Lucene aufsetzt und eine
vollständige REST API bietet.

View Slide

> host:d8.jalogis.ch AND programname:sshd

View Slide

View Slide

• Anreicherung
• Filterung
• Normalisierung

View Slide

zentrales Sammeln & Anreichern

View Slide

Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: reverse
mapping checking getaddrinfo for hn.kd.ny.adsl
[222.138.139.252] failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Invalid user
admin from 222.138.139.252
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]:
input_userauth_request: invalid user admin [preauth]
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Connection
closed by 222.138.139.252 [preauth]

View Slide

View Slide

Datenbank & Interface

View Slide

Syslog

View Slide

Syslog
App
Hardware

View Slide

App GELF / JSON
Logﬁle Shipper

View Slide

App RAW
Hardware
Syslog

View Slide

Komplexes Sammeln
• andere Transportwege und Protokolle
• Warteschlangen (queue)
• Paralleles Bearbeiten

View Slide

View Slide

Einheitliche Betrachtung
• verminderte
Zugriffsrechte auf
Server
• schneller und
einfacher Zugriff
auf Informationen
• einfache
Administration

View Slide

Fragen?
@jalogisch
@graylog2
http://graylog.org
http://elastic.co

View Slide

View Slide

take care of your logs

take care of your logs

Jan Doberstein

More Decks by Jan Doberstein

Other Decks in Technology

Featured

Transcript