Logdatenanalyse mit Splunk

Sammelpunkt

von Matthias Wübbeling

Splunk ist die Oberfläche der Wahl bei der Aggregation, Indexierung und Korrelation von Logdaten. Große Unternehmen setzen häufig auf Splunk und auch kleinere IT-Abteilungen greifen immer öfter darauf zurück. Dabei steht nicht ausschließlich die IT-Sicherheit im Vordergrund, Splunk eignet sich grundsätzlich auch für die Analyse von klassischen Anwendungen oder Webservern. Schwerpunkt in diesem Security-Tipp ist aber natürlich der Einsatz zur Logdatenanalyse als Security Information & Event Management System.

Aus IT-Administrator 04/2019

Administratoren sehen sich im Alltag mit zahlreichen Endgerätetypen und Betriebssystemen konfrontiert, die es zu verwalten gilt. Hier sind umfassende wie ... (mehr)

Ein SIEM verheiratet die Funktionen von Security-Information-Management- (SIM) und Security-Event-Management-(SEM)-Systemen. Wie ein SIM sammelt es Daten, wertet diese mit Bezug zur Unternehmens-Compliance aus, also der Umsetzung von Prozessdefinitionen und geltenden Richtlinien, und erlaubt das Erstellen von Berichten über die Einhaltung ebendieser Maßgaben.

Wie ein SEM sammelt es Logdaten von Anwendungen und Betriebssystemen und kann so (fast) in Echtzeit einen Überblick über den Zustand der Unternehmens-IT liefern und auch rechnerübergreifende Events korrelieren und auswerten. Ein SIEM kann also alle Aspekte der praktischen IT-Sicherheit beobachten und erlaubt die Konfiguration von Alarmbedingungen.

Splunk [1] bietet grundsätzlich zwei Modi für die Eingabe von Logdaten. Zum einen lässt sich ein Clientsystem so konfigurieren, dass es selbst die anfallenden Daten zum Splunk-System weiterleitet. Dafür installieren Sie einen Universal-Forwarder und konfigurieren diesen so, dass Logdaten ausgelesen und an die Splunk-Instanz gesendet werden. So können Sie einfach über die Remote-Installation in Ihrem Unternehmen die Rechner an Splunk

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.