Es ist egal, ob Du einen IRCD / IRC-Netzwerk betreibst, oder „nur“ einen Webserver.
Solange Dein Server 24h online ist, kannst Du die Sicherheit nicht permanent selbst überwachen.
Daher ist es notwendig, die Überwachung Deiner Server zu automatisieren, s.d. Du automatisch eine Benachrichtigung erhältst, sobald die Sicherheit Deines Servers in Gefahr ist.
Sogenannte „Audit-Logging“-Software bzw. Event Log Monitoring Services nehmen Dir diese Arbeit ab.
Wir werden die 16 besten Linux Monitoring Tools und Software vorstellen.
Audit-Logging ist ein wichtiger Bestandteil der Linux-Sicherheit. Mit Audit-Logging kannst Du alle Aktivitäten auf Deinem System protokollieren und verfolgen, wer was, wann und wo gemacht hat. In diesem Artikel werden wir die wichtigsten Programme für Audit-Logging unter Linux besprechen.
Die meisten Linux-Distributoren bringen bereits ein mächtiges Monitoring und Audit-Software mit, daher ist es selten notwendig, in die weite Welt zu schauen.
Das Audit-System unter Linux wird von dem Programm „auditd“ bereitgestellt. Es erlaubt die Überwachung von Systemaufrufen, Benutzeraktionen und Dateiänderungen. Das Audit-System kann in Echtzeit Ereignisse protokollieren und Benachrichtigungen senden, wenn eine verdächtige Aktivität auftritt.
Im Artikel Top Viren- und Rootkitscanner sind wir bereits auf die Wichtigkeit von Logfiles eingegangen, ebenso, wie man diese automatisiert überwachen kann.
Hier werden wir unterschiedliche Audit-Logging-Tools vorstellen. Wir empfehlen die KISS Methode: „Keep it short and simple“
Sobald Du Deine Logfiles besitzt, kann auditd bereits mit der Überwachung starten.
Welche Logfiles sind sicherheitsrelevant?
Um zu wissen, welche Benachrichtigung man erhalten möchte, ist es wichtig zu wissen, welche
Daten überhaupt erfasst werden und welche davon die Sicherheit Deines Servers und Dienste betreffen.
Die meisten Logfiles findest Du standardmäßig unter „/var/log/„. Prüfe die jeweiligen Logfiles und suche Dir die wichtigsten heraus.
Hier eine Liste sicherheitsrelevanter Logfiles unter Linux und wo sie sich befinden:
- /var/log/messages oder /var/log/syslog: Hier werden alle Systemmeldungen protokolliert, einschließlich Fehlermeldungen, Warnungen und Informationen, die auf Sicherheitsprobleme hinweisen können.
- /var/log/auth.log: Hier werden alle Authentifizierungs- und Autorisierungsvorgänge protokolliert, einsc
eßlich erfolgreicher und fehlgeschlagener Anmeldeversuche. - /var/log/secure: Dieses Logfile enthält ähnliche Informationen wie auth.log, ist jedoch spezifischer für Systeme, auf denen SELinux aktiviert ist.
- /var/log/kern.log: Hier werden Kernel-Meldungen protokolliert, einschließlich Hardware-Fehler und andere wichtige Systemereignisse.
- /var/log/audit/audit.log: Hier werden die Audit-Ereignisse von Linux-Kernel und Auditd-Daemon protokolliert.
Es ist wichtig, diese Logfiles regelmäßig zu überprüfen, um potenzielle Sicherheitsprobleme zu erkennen und zu beheben.
Was ist der Unterschied zwischen Monitoring Software und Audit Logging Software
Ein kleiner Exkurs: Wenn Du nach Audit-Software suchst, findest Du viele Artikel über Monitoring tools.
Daher möchten wir hier kurz auf die Unterschiede eingehen:
Monitoring-Software und Audit-Logging-Software sind zwei Arten von Software-Tools, die in der IT-Sicherheit eingesetzt werden. Während sie beide dazu beitragen können, die Sicherheit von IT-Systemen zu gewährleisten, haben sie unterschiedliche Funktionen und Ziele.
Ein wichtiger Unterschied zwischen Monitoring-Software und Audit-Logging-Software besteht darin, dass Audit-Logging-Software häufig zur Nachverfolgung von Aktivitäten in einem System verwendet wird, um festzustellen, wer wann was getan hat. Es ist auch ein wichtiges Tool zur Einhaltung von Compliance-Anforderungen und zur Überwachung von Sicherheitsverletzungen. Monitoring-Software hingegen ist in der Regel auf die Überwachung von Systemmetriken und -ressourcen ausgerichtet, um eine effektive Systemverwaltung zu ermöglichen und eine schnelle Reaktion auf Probleme zu ermöglichen.
Monitoring Software
Definition: Monitoring-Software bezieht sich auf jede Art von Software-Tool, das verwendet wird, um die Aktivitäten in einem System zu überwachen. Dazu können Netzwerkaktivitäten, Systemressourcen und Leistung, Anwendungsaktivitäten und andere Metriken gehören. Das Hauptziel von Monitoring-Software besteht darin, Probleme zu erkennen, bevor sie zu ernsthaften Störungen oder Ausfällen führen. Mit Monitoring-Software können IT-Administratoren schnell erkennen, wenn ein System ausgefallen ist oder wenn es einen Angriff oder eine Bedrohung gibt.
Audit-Logging-Software
Definition: Audit-Logging-Software hingegen ist spezialisiert auf die Überwachung und Aufzeichnung von Aktivitäten in einem System. Im Gegensatz zu Monitoring-Software, die sich auf Echtzeitüberwachung und -erkennung konzentriert, zeichnet Audit-Logging-Software alle Aktivitäten auf, die in einem System stattgefunden haben. Dies umfasst Benutzeranmeldungen und -abmeldungen, Änderungen an Dateien und Ordnern, Zugriff auf Netzwerkressourcen und andere kritische Ereignisse.
Top beliebte Event- und Audit-Logging-Tools unter Linux
Tool | Beschreibung | Hauptfunktionen | Lizenz/Preis | Geeignet für | Kategorie |
---|---|---|---|---|---|
auditctl | Teil des Linux-Audit-Frameworks, ermöglicht das Konfigurieren und Verwalten von Audit-Regeln. | Überwachung von Syscalls, Benutzeraktivitäten und sicherheitsrelevanten Ereignissen. | Kostenlos, Open Source. | Sicherheitsüberwachung, Compliance | Sicherheits- und Audit-Tools |
Logwatch | Analyse-Tool, das tägliche Zusammenfassungen von Logs erstellt. | Automatische Zusammenfassung von Logs in Berichten, konfigurierbare E-Mail-Benachrichtigungen. | Kostenlos, Open Source. | IT-Administratoren | System- und Log-Analyse |
Syslog-ng | Hochentwickeltes Logging-Tool, das Daten aus verschiedenen Quellen sammelt und weiterleitet. | Protokollaggregation, Filterung, Weiterleitung, Unterstützung für verschiedene Protokolle. | Kostenlos, Open Source. | Große Netzwerke, zentrale Log-Verwaltung | System-Logging |
Rsyslog | Schnelles und beliebtes System-Logging-Tool, das Syslog ersetzt. | Log-Aggregation, Filterung, Weiterleitung, Unterstützung für Elasticsearch und Datenbanken. | Kostenlos, Open Source. | Allgemeines System-Logging | System-Logging |
Logrotate | Verwaltung von Log-Dateien, um deren Größe durch Rotation zu begrenzen. | Automatische Logrotation, Komprimierung und Löschung von alten Logs. | Kostenlos, Open Source. | Jeder Linux-Administrator | Log-Management |
Auditbeat | Leichtgewichtiges Log-Tool von Elastic, das Ereignisse überwacht und an Elasticsearch weiterleitet. | File Integrity Monitoring, Benutzeraktivitäten, Kernel-Überwachung. | Kostenlos, Open Source. | Elasticsearch-Umgebungen | Sicherheits- und Audit-Tools |
Fluentd | Open-Source-Tool zur Logaggregation und -weiterleitung. | Unterstützt mehrere Datenquellen und Zielsysteme, JSON-Formatierung, Plugins für verschiedene Dienste. | Kostenlos, Open Source. | DevOps, Cloud-Umgebungen | Cloud- und Log-Aggregation |
Graylog | Zentrale Logging-Lösung mit benutzerfreundlicher Oberfläche. | Analyse, Dashboards, Alarme, Suche, Integration mit Elasticsearch und MongoDB. | Kostenlos (Open Source) / Enterprise ab ca. 1500 €/Jahr. | Mittelgroße bis große Unternehmen | Log-Analyse und Aggregation |
Splunk | Kommerzielle Plattform für Log-Management und -Analyse. | Echtzeitanalyse, Dashboards, Machine Learning, Integration mit vielen Systemen. | Kostenlos (bis 500 MB/Tag) / ab ca. 2000 €/Jahr. | Große Unternehmen, Data Analytics | Log-Analyse und Aggregation |
Papertrail | Cloud-basierte Lösung für Log-Management. | Echtzeit-Logüberwachung, Alarme, Protokollarchivierung. | Kostenlos (begrenzte Logs) / Premium ab 7 $/Monat. | Kleine bis mittelgroße Unternehmen | Cloud- und Log-Aggregation |
Loggly | Cloud-basierte Logging-Lösung von SolarWinds. | Echtzeitüberwachung, Dashboards, Alarme, API-Integration. | Kostenlos (eingeschränkte Funktionen) / Premium ab 79 $/Monat. | DevOps, Cloud-Umgebungen | Cloud- und Log-Aggregation |
NXLog | Flexible Logging-Lösung für viele Betriebssysteme. | Sammeln und Weiterleiten von Logs, Filterung, Parsing, Multi-Protokoll-Support. | Kostenlos (Community) / Enterprise ab ca. 200 €/Jahr. | Unternehmen mit heterogenen Systemen | System-Logging |
Falco | Laufzeitsicherheits-Tool zur Erkennung verdächtiger Aktivitäten. | Container- und Systemüberwachung, Sicherheitsregeln, Echtzeit-Alarmierung. | Kostenlos, Open Source. | Kubernetes- und Cloud-Umgebungen | Sicherheits- und Audit-Tools |
Securing | Sicherheits- und Logging-Tool mit Fokus auf Compliance. | Überwachung von Änderungen, Protokollierung sicherheitskritischer Ereignisse. | Kostenlos, Open Source. | Sicherheitsüberwachung | Sicherheits- und Audit-Tools |
Systembasierte Tools: auditctl, Logwatch, Syslog-ng, Rsyslog, Logrotate.
Cloud- und Aggregations-Tools: Fluentd, Graylog, Splunk, Papertrail, Loggly, NXLog.
Sicherheits- und Compliance-Tools: Auditbeat, Falco, Securing.
Empfehlungen:
Für einfache Logrotation: Logrotate.
Für zentrale Protokollverwaltung: Graylog, Syslog-ng, Rsyslog.
Für Sicherheitsüberwachung: Falco, auditctl.
Für Cloud-Umgebungen: Fluentd, Papertrail, Loggly.
Wie nutzt man auditctl unter Linux?
Auditctl ist ein Befehlszeilenprogramm, das es Benutzern ermöglicht, Regeln für die Überwachung von Systemereignissen mit dem Linux Audit Framework festzulegen.
Hier sind einige Schritte zum Installieren, Einrichten und Verwenden von auditctl:
- Installation des Audit-Frameworks
Zunächst muss das Audit-Framework auf dem System installiert werden. Dies kann je nach Linux-Distribution unterschiedlich sein. Zum Beispiel kann man es unter Mint mit dem Befehl „sudo apt-get install auditd“ installieren.- Unter Ubuntu/Debian:
sudo apt-get install auditd
- Unter Fedora/CentOS/RHEL:
sudo dnf install audit
- Unter Arch Linux:
sudo pacman -S audit
- Unter Ubuntu/Debian:
- Überprüfen der Audit-Regeln
Mit dem Befehl „auditctl -l“ kann man die aktuellen Audit-Regeln auf dem System überprüfen. - Festlegen von Audit-Regeln
Mit dem Befehl „auditctl -a [optionen]“ kann man neue Audit-Regeln hinzufügen.
Zum Beispiel kann man eine Regel hinzufügen, die das Öffnen einer bestimmten Datei überwacht:
auditctl -a always,exit -F path=/var/log/syslog -F perm=r -k syslog-access
Diese Regel überwacht das Öffnen der Datei /var/log/syslog und zeichnet Informationen zu den Benutzern, die auf die Datei zugreifen, in das Audit-Log auf.
- Überprüfen der Audit-Logs: Mit dem Befehl „ausearch“ kann man das Audit-Log durchsuchen und nach bestimmten Ereignissen filtern.
Zum Beispiel kann man alle Zugriffe auf die Datei /var/log/syslog suchen:
ausearch -f /var/log/syslog
Dies zeigt alle Zugriffe auf die Datei /var/log/syslog im Audit-Log an.
- Deaktivieren von Audit-Regeln: Mit dem Befehl „auditctl -D“ kann man eine bestimmte Audit-Regel deaktivieren. Zum Beispiel kann man die Regel zur Überwachung des Zugriffs auf die Datei /var/log/syslog deaktivieren:
auditctl -D -w /var/log/syslog -p r -k syslog-access
Dies deaktiviert die Regel zur Überwachung des Zugriffs auf die Datei /var/log/syslog.
Beachte, dass auditctl eine sehr leistungsfähige Funktion zur Überwachung von Systemereignissen bietet. Daher sollte man sorgfältig überlegen, welche Ereignisse überwacht werden sollen und welche nicht, um sicherzustellen, dass das System nicht durch zu viele Audit-Regeln überlastet wird.
Eine regelmäßige Prüfung der Systemauslastungs ist daher sinnvoll.
ausearch – Suchfunktion
Das Tool „ausearch“ ist ein Werkzeug zur Suche und Analyse von Audit-Logs. Es erlaubt dem Benutzer, das Audit-Log nach bestimmten Schlüsselwörtern oder Bedingungen zu durchsuchen. Dieses Tool ist besonders nützlich, wenn Sie ein Audit-Log untersuchen und nach bestimmten Ereignissen suchen möchten.
Ein weiteres nützliches Werkzeug ist „logrotate„, ein Dienstprogramm, das die Größe und Anzahl der Log-Dateien steuert. Mit logrotate können Sie alte Log-Dateien automatisch archivieren und löschen. Dies kann dazu beitragen, Speicherplatz zu sparen und Ihre Systemressourcen zu optimieren.
Vorteile von Monitoring Logging unter Linux:
- Möglichkeit, verdächtige Aktivitäten zu erkennen und darauf zu reagieren
- Unterstützung der Compliance-Anforderungen
- Überwachung und Protokollierung von Systemereignissen
- Verbesserung der forensischen Fähigkeiten
Nachteile von Audit-Logging unter Linux:
- Kann viel Speicherplatz verbrauchen
- Verwaltung der Audit-Regeln kann zeitaufwändig sein
Hier sind die 15 wichtigsten Audit-Logging-Tools für Linux: Monitoring Tools!
- Auditd
Das Audit-System von Linux, das die Systemaktivitäten überwacht und aufzeichnet. - Logwatch: Ein automatisiertes Protokollanalyse- und Berichtstool, das E-Mail-Benachrichtigungen über Systemereignisse senden kann.
- Syslog-ng: Eine Open-Source-Log-Management-Lösung, die Protokolle von verschiedenen Quellen sammelt und zentralisiert.
- Rsyslog: Ein erweiterter System-Logger, der Protokolldaten auf verschiedene Arten speichern und weiterleiten kann.
- Logrotate: Ein Dienstprogramm, das alte Protokolldateien automatisch archiviert und löscht, um Platz auf der Festplatte zu sparen.
- Auditbeat: Ein Open-Source-Tool von Elastic, das Systemereignisse erfasst und an Elasticsearch oder Logstash sendet.
- Fluentd: Ein Open-Source-Protokollierungsdienst, der Protokolle von verschiedenen Quellen sammelt, transformiert und an verschiedene Ziele weiterleitet.
- Graylog: Eine Open-Source-Log-Management-Lösung, die Protokolle von verschiedenen Quellen sammelt, analysiert und zentralisiert.
- Splunk: Eine proprietäre Log-Management-Lösung, die Protokolle von verschiedenen Quellen sammelt, analysiert und zentralisiert.
- Papertrail: Ein Cloud-basiertes Protokollierungstool, das Protokolle von verschiedenen Quellen sammelt und analysiert.
- Loggly: Ein Cloud-basiertes Protokollierungstool, das Protokolle von verschiedenen Quellen sammelt und analysiert.
- NXLog: Ein Open-Source-Tool, das Protokolle von verschiedenen Quellen sammelt und an verschiedene Ziele weiterleiten kann.
- Auditctl: Ein Kommandozeilen-Tool zum Hinzufügen, Löschen und Anzeigen von Regeln für das Audit-System.
- Securing: Ein Sicherheitsskript, das eine Überwachungsumgebung einrichtet und automatisch Regeln für das Audit-System generiert.
- Falco: Ein Open-Source-Tool von Sysdig, das auf Verhaltenserkennung basiert und Angriffe auf das System erkennt.
- BotSentry BotSentry ist eine Software, die entwickelt wurde, um böswillige Aktivitäten von Bots auf Netzwerken zu erkennen und zu blockieren.
Weiter zur Auswertung und Bewertung von Auditd ….