Logdateien verwalten mit Graylog 3.0

Graylog wurde im Jahr 2011 als Open-Source-Projekt in Hamburg gestartet und bietet seit 2016 auch eine kommerzielle Enterprise-Version des Systems an. Der Hauptsitz von Graylog befindet sich zwischenzeitlich in Houston im US-Bundesstaat Texas. Eigenen Angaben zu Folge verzeichnet das Unternehmen heute weltweit über 35.000 Installationen seiner Software. Graylog dient Systemadministratoren als zentrale Instanz für das Sammeln von Logfiles, die in Firewalls, Routern, Switchen, Servern und anderen Systemen anfallen.

Graylog speichert die Logs in einem Elasticsearch-Cluster und erleichtert mit einem leistungsfähigen Such- und Analysewerkzeug das schnelle Durchforsten auch sehr umfangreicher Datenbestände. Damit eignet sich Graylog nicht nur als sicherer zentraler Speicher für Protokollmeldungen aller Art, sondern vor allem auch für die Suche nach bestimmten Systemereignissen oder Hinweisen, die auf Angriffe oder andere Bedrohungen hindeuten. Mitte Februar hat Graylog die Verfügbarkeit der neuen Version 3.0 bekanntgegeben, mit der eine Reihe neuer Features eingeführt wurden.

Logdatenmanagement vs. SIEM

Die Grenze zwischen reinen Logmanagementsystemen und SIEM-(Security Information and Event Management)-Systemen ist mittlerweile fließend. Liegt der Schwerpunkt bei den Logmanagementsystemen eher auf dem Einsammeln und Archivieren sämtlicher Logfiles, haben SIEM-Systeme die Security-relevanten Logfiles im Fokus. Auf dem SIEM-System werden die Logfiles mit Hilfe einer Abfragesprache dann auf sicherheitsrelevante Ereignisse (Indicator of compro-mise, IOC) durchsucht. Bei einem Treffer generiert das SIEM-System einen Alarm zur Information des Administrationspersonals. Graylog kann nach dieser Definition also als Logmanagementsystem mit SIEM-Qualitäten bezeichnet werden.

Graylog ist vollständig in Java geschrieben, zur Installation wird daher Oracle Java SE 8 beziehungsweise

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.