Das sind die besten Log-Viewer auf dem Markt

Was ist Logging?

In der IT-Terminologie versteht man unter Logging die automatisierte Aufzeichnung von Ereignissen und Statusmeldungen, die während des Betriebs von IT-Systemen oder der Ausführung von Softwareprozessen kontinuierlich anfallen – zum Beispiel Fehlermeldungen. Die Aufgabe der Protokollverwaltung besteht darin, all diese Daten zu sammeln, zusammenzufassen und zu speichern. Das ermöglicht die Suche, Analyse und Erstellung von Berichten. Außerdem enthalten die Protokolle mit Zeitstempeln versehene Informationen und Ereignisse, die in der Datei chronologisch angeordnet sind. Da die Größe der Dateien in der Regel begrenzt ist, werden meist mehrere Dokumente erstellt – oder der Inhalt wird nach einer bestimmten Zeit überschrieben.

Security Configuration Management (SCM) oder File Integrity Monitoring (FIM) tragen beispielsweise dazu bei, solche Risiken zu minimieren und Angriffsflächen zu verringern. Der größtmögliche Schutz der eigenen Infrastruktur kann jedoch nur erreicht werden, wenn man einen Überblick über das gesamte Geschehen in der Umgebung hat. An dieser Stelle kommt die Protokollverwaltung mit Log-Viewern ins Spiel.

Die Aufgaben der Protokollverwaltung

Die Protokollverwaltung muss im Wesentlichen folgende Anforderungen erfüllen:

• Sammlung der von den verschiedenen Systemen gelieferten Protokolldaten
• Vereinheitlichung der Daten an einem zentralen Ort
• Speicherung, Archivierung und Aufbewahrung der Protokolldaten
• Bereitstellung von Analyse-, Such- und Berichtsfunktionen

Dazu senden die Protokollierungssysteme ihre Daten an die Protokollverwaltung (aktive Sammlung) oder die Protokollverwaltung holt die Daten von den Systemen ab (passive Sammlung).

Rechtliche Anforderungen an die Protokollverwaltung

In Branchen wie dem Finanzwesen und dem Gesundheitswesen müssen neben den technischen auch rechtliche Ansprüche erfüllt werden. Dabei kann es sich um Compliance-Richtlinien oder um die Rückverfolgbarkeit von Transaktionen handeln, die gewährleistet sein muss. Auch Standards wie der HIPAA (Health Insurance Portability and Accountability Act), der SOX (Sarbanes-Oxley Act) und die GDPR (General Data Protection Regulation) zählen dazu.

Protokollverwaltung und SIEM

Wenn es um Log-Management geht, taucht häufig der Begriff SIEM (Security Information and Event Management) auf. Damit können sicherheitsrelevante Ereignisse oder Unstimmigkeiten in IT-Infrastrukturen erkannt und entsprechende Maßnahmen ergriffen werden. SIEM-Lösungen ermöglichen zudem die Speicherung forensischer Vorfälle, geben einen Überblick über die IT-Sicherheitslage und gewähren Sicherheitsexperten Einblicke in die Systemaktivitäten.

Die besten Tools zur Protokollüberwachung (Log-Viewer)

Eine Protokollverwaltungssoftware überwacht die von Servern, Anwendungen und dem Netzwerk erzeugten Protokolldateien, erkennt Muster und klärt die Benutzer darüber auf. Auf diese Weise hilft sie dabei, Leistungs- und Sicherheitsprobleme zu erkennen und zu beheben. Administratoren verwenden die Software, um wichtige Ereignisse in den Protokolldateien zu identifizieren.

Splunk

Splunk ist in der Systemadministration und -überwachung sehr bekannt. Die Quellen der Protokolldateien (Textdaten von einem entfernten System, Syslog, Trap oder anderen Datenstrom) werden auf dem Server, auf dem Splunk läuft, aggregiert, indiziert und gespeichert. Ein eingebautes Dienstprogramm enthält darüber hinaus eine Warnfunktion, ermöglicht das Sortieren und Filtern von Daten, das Speichern in Dateien und vieles mehr.

Hier herunterladen: https://www.splunk.com/en_us/devops.html

XpoLog

XpoLog sammelt Protokolldateien aus ausgewählten Quellen und überwacht die Orte oder Dateien, die in diesen Bereich fallen. Sobald die Daten zentralisiert sind, werden sie in der XpoLog-Datenbank zur Verarbeitung zusammengeführt und können zur Analyse durchsucht und gefiltert werden. Danach können die Ergebnisse in Dateien gespeichert und nach Datum oder anderen Kriterien untersucht werden. XpoLog analysiert Daten aus einer Vielzahl von Quellen, darunter Apache-Serverprotokolle, AWS, Windows- und Linux-Ereignisprotokolle und Microsoft IIS. Es kann auf Systemen mit Mac OS X 10.11 bis 10.13, Windows 8 bis 10, Windows Server 2008 R2 bis 2016 und allen Linux-Distributionen mit Kernel 2.6 oder höher installiert werden. Außerdem gibt es eine Cloud-basierte Option.

Hier herunterladen: https://www.xplg.com/feature-tour-log-management-tool/

Graylog

Graylog ist ein kostenloses Open-Source-Tool, das zur Analyse, Normalisierung und Anreicherung von Protokollen und Ereignisdaten verwendet werden kann. Mit Hilfe von Verarbeitungsregeln können Sie verschiedene Optionen für die Weiterleitung von Nachrichten, die Erstellung von schwarzen und weißen Listen sowie die Änderung von Protokollnachrichten festlegen, bevor diese zur nächsten Verarbeitungsstufe weitergeleitet werden. Außerdem verfügt Graylog über eine robuste Dashboard-Funktion, mit der Sie die Messwerte filtern und auf verschiedene Weise anzeigen können – zum Beispiel in Form von Grafiken oder Tabellen. Natürlich sind auch Alarme und Benachrichtigungen möglich. Der einzige Unterschied zwischen der kostenlosen Open-Source-Version und der kostenpflichtigen Version besteht in der zusätzlichen Offline-Archivierung von Benutzer-Audit-Protokollen, dem Support und einer „Schnellstart-Implementierung“, die Ihnen einen zügigen Einstieg ermöglicht.

Hier herunterladen: https://www.graylog.org/products/open-source

ManageEngine EventLog Analyzer

ManageEngine ist ein weiteres Netzwerkmanagement-Tool, das unter IT-Experten bekannt ist. Dieses Dienstprogramm sammelt, verwaltet, analysiert, korreliert und durchsucht Protokolldaten aus mehr als 700 Quellen. Dazu verwendet es eine Kombination der Protokollerfassung mit und ohne Agenten, bietet aber auch die Möglichkeit, Protokolle direkt zu importieren. Mit einer Frequenz von 25.000 Nachrichten pro Sekunde und der Erkennung von Angriffen in Echtzeit kann das System auch schnell forensische Analysen durchführen und die potenziellen Auswirkungen von Sicherheitsverletzungen verringern. Die kostenlose Version ist auf fünf Protokollquellen beschränkt.

Hier herunterladen: https://www.manageengine.com/products/eventlog/

Paessler PRTG

Durch den Einsatz zusätzlicher Sensoren kann PRTG Ihre Netzwerküberwachungslösung erweitern. Denn für die Aufsicht und das Log-Management stehen zwei verschiedene Sensoren zur Verfügung. Der Sensor „Event Log Windows API“ ist, wie der Name schon sagt, für die Erfassung von Windows-Ereignisprotokollmeldungen vorgesehen. Er ist dazu in der Lage, die Rate der Protokollnachrichten zu überwachen und Warnungen auszugeben, wenn sie einen kritischen Schwellenwert erreicht. Der andere Sensor ist mit dem Syslog-Sever verbunden. Er sammelt Nachrichten und sendet Warnungen, wenn ein bestimmter Nachrichtentyp empfangen wird oder wenn die Anzahl bestimmter Meldungen einen Schwellenwert überschreitet.

Hier herunterladen: https://www.paessler.com/log-monitoring