Zum Inhalt springen
< Alle Themen
Drucken

Die wichtigsten Event und Audit-Logging Tools unter Linux

Es ist egal, ob Du einen IRCD / IRC-Netzwerk betreibst, oder „nur“ einen Webserver.
Solange Dein Server 24h online ist, kannst Du die Sicherheit nicht permanent selbst überwachen.
Daher ist es notwendig, die Überwachung Deiner Server zu automatisieren, s.d. Du automatisch eine Benachrichtigung erhältst, sobald die Sicherheit Deines Servers in Gefahr ist.

Sogenannte „Audit-Logging“-Software bzw. Event Log Monitoring Services nehmen Dir diese Arbeit ab.

Wir werden die 16 besten Linux Monitoring Tools und Software vorstellen.
Audit-Logging ist ein wichtiger Bestandteil der Linux-Sicherheit. Mit Audit-Logging kannst Du alle Aktivitäten auf Deinem System protokollieren und verfolgen, wer was, wann und wo gemacht hat. In diesem Artikel werden wir die wichtigsten Programme für Audit-Logging unter Linux besprechen.

Die meisten Linux-Distributoren bringen bereits ein mächtiges Monitoring und Audit-Software mit, daher ist es selten notwendig, in die weite Welt zu schauen.

Das Audit-System unter Linux wird von dem Programm „auditd“ bereitgestellt. Es erlaubt die Überwachung von Systemaufrufen, Benutzeraktionen und Dateiänderungen. Das Audit-System kann in Echtzeit Ereignisse protokollieren und Benachrichtigungen senden, wenn eine verdächtige Aktivität auftritt.

Im Artikel Top Viren- und Rootkitscanner sind wir bereits auf die Wichtigkeit von Logfiles eingegangen, ebenso, wie man diese automatisiert überwachen kann.

Hier werden wir unterschiedliche Audit-Logging-Tools vorstellen. Wir empfehlen die KISS Methode: „Keep it short and simple“
Sobald Du Deine Logfiles besitzt, kann auditd bereits mit der Überwachung starten.

Welche Logfiles sind sicherheitsrelevant?

Um zu wissen, welche Benachrichtigung man erhalten möchte, ist es wichtig zu wissen, welche
Daten überhaupt erfasst werden und welche davon die Sicherheit Deines Servers und Dienste betreffen.

Die meisten Logfiles findest Du standardmäßig unter „/var/log/„. Prüfe die jeweiligen Logfiles und suche Dir die wichtigsten heraus.
Hier eine Liste sicherheitsrelevanter Logfiles unter Linux und wo sie sich befinden:

  1. /var/log/messages oder /var/log/syslog: Hier werden alle Systemmeldungen protokolliert, einschließlich Fehlermeldungen, Warnungen und Informationen, die auf Sicherheitsprobleme hinweisen können.
  2. /var/log/auth.log: Hier werden alle Authentifizierungs- und Autorisierungsvorgänge protokolliert, einsc
    eßlich erfolgreicher und fehlgeschlagener Anmeldeversuche.
  3. /var/log/secure: Dieses Logfile enthält ähnliche Informationen wie auth.log, ist jedoch spezifischer für Systeme, auf denen SELinux aktiviert ist.
  4. /var/log/kern.log: Hier werden Kernel-Meldungen protokolliert, einschließlich Hardware-Fehler und andere wichtige Systemereignisse.
  5. /var/log/audit/audit.log: Hier werden die Audit-Ereignisse von Linux-Kernel und Auditd-Daemon protokolliert.

Es ist wichtig, diese Logfiles regelmäßig zu überprüfen, um potenzielle Sicherheitsprobleme zu erkennen und zu beheben.

Was ist der Unterschied zwischen Monitoring Software und Audit Logging Software

Ein kleiner Exkurs: Wenn Du nach Audit-Software suchst, findest Du viele Artikel über Monitoring tools.
Daher möchten wir hier kurz auf die Unterschiede eingehen:

Monitoring-Software und Audit-Logging-Software sind zwei Arten von Software-Tools, die in der IT-Sicherheit eingesetzt werden. Während sie beide dazu beitragen können, die Sicherheit von IT-Systemen zu gewährleisten, haben sie unterschiedliche Funktionen und Ziele.

Ein wichtiger Unterschied zwischen Monitoring-Software und Audit-Logging-Software besteht darin, dass Audit-Logging-Software häufig zur Nachverfolgung von Aktivitäten in einem System verwendet wird, um festzustellen, wer wann was getan hat. Es ist auch ein wichtiges Tool zur Einhaltung von Compliance-Anforderungen und zur Überwachung von Sicherheitsverletzungen. Monitoring-Software hingegen ist in der Regel auf die Überwachung von Systemmetriken und -ressourcen ausgerichtet, um eine effektive Systemverwaltung zu ermöglichen und eine schnelle Reaktion auf Probleme zu ermöglichen.

Monitoring Software

Definition: Monitoring-Software bezieht sich auf jede Art von Software-Tool, das verwendet wird, um die Aktivitäten in einem System zu überwachen. Dazu können Netzwerkaktivitäten, Systemressourcen und Leistung, Anwendungsaktivitäten und andere Metriken gehören. Das Hauptziel von Monitoring-Software besteht darin, Probleme zu erkennen, bevor sie zu ernsthaften Störungen oder Ausfällen führen. Mit Monitoring-Software können IT-Administratoren schnell erkennen, wenn ein System ausgefallen ist oder wenn es einen Angriff oder eine Bedrohung gibt.

Audit-Logging-Software

Definition: Audit-Logging-Software hingegen ist spezialisiert auf die Überwachung und Aufzeichnung von Aktivitäten in einem System. Im Gegensatz zu Monitoring-Software, die sich auf Echtzeitüberwachung und -erkennung konzentriert, zeichnet Audit-Logging-Software alle Aktivitäten auf, die in einem System stattgefunden haben. Dies umfasst Benutzeranmeldungen und -abmeldungen, Änderungen an Dateien und Ordnern, Zugriff auf Netzwerkressourcen und andere kritische Ereignisse.


Wie nutzt man auditctl unter Linux?

Auditctl ist ein Befehlszeilenprogramm, das es Benutzern ermöglicht, Regeln für die Überwachung von Systemereignissen mit dem Linux Audit Framework festzulegen.

Hier sind einige Schritte zum Einrichten und Verwenden von auditctl:

  1. Installation des Audit-Frameworks
    Zunächst muss das Audit-Framework auf dem System installiert werden. Dies kann je nach Linux-Distribution unterschiedlich sein. Zum Beispiel kann man es unter Mint mit dem Befehl „sudo apt-get install auditd“ installieren.
    • Unter Ubuntu/Debian: sudo apt-get install auditd
    • Unter Fedora/CentOS/RHEL: sudo dnf install audit
    • Unter Arch Linux: sudo pacman -S audit
  2. Überprüfen der Audit-Regeln
    Mit dem Befehl „auditctl -l“ kann man die aktuellen Audit-Regeln auf dem System überprüfen.
  3. Festlegen von Audit-Regeln
    Mit dem Befehl „auditctl -a [optionen]“ kann man neue Audit-Regeln hinzufügen.

    Zum Beispiel kann man eine Regel hinzufügen, die das Öffnen einer bestimmten Datei überwacht:
auditctl -a always,exit -F path=/var/log/syslog -F perm=r -k syslog-access

Diese Regel überwacht das Öffnen der Datei /var/log/syslog und zeichnet Informationen zu den Benutzern, die auf die Datei zugreifen, in das Audit-Log auf.

  1. Überprüfen der Audit-Logs: Mit dem Befehl „ausearch“ kann man das Audit-Log durchsuchen und nach bestimmten Ereignissen filtern.
    Zum Beispiel kann man alle Zugriffe auf die Datei /var/log/syslog suchen:
ausearch -f /var/log/syslog

Dies zeigt alle Zugriffe auf die Datei /var/log/syslog im Audit-Log an.

  1. Deaktivieren von Audit-Regeln: Mit dem Befehl „auditctl -D“ kann man eine bestimmte Audit-Regel deaktivieren. Zum Beispiel kann man die Regel zur Überwachung des Zugriffs auf die Datei /var/log/syslog deaktivieren:
auditctl -D -w /var/log/syslog -p r -k syslog-access

Dies deaktiviert die Regel zur Überwachung des Zugriffs auf die Datei /var/log/syslog.

Beachte, dass auditctl eine sehr leistungsfähige Funktion zur Überwachung von Systemereignissen bietet. Daher sollte man sorgfältig überlegen, welche Ereignisse überwacht werden sollen und welche nicht, um sicherzustellen, dass das System nicht durch zu viele Audit-Regeln überlastet wird.
Eine regelmäßige Prüfung der Systemauslastungs ist daher sinnvoll.

ausearch – Suchfunktion

Das Tool „ausearch“ ist ein Werkzeug zur Suche und Analyse von Audit-Logs. Es erlaubt dem Benutzer, das Audit-Log nach bestimmten Schlüsselwörtern oder Bedingungen zu durchsuchen. Dieses Tool ist besonders nützlich, wenn Sie ein Audit-Log untersuchen und nach bestimmten Ereignissen suchen möchten.

Ein weiteres nützliches Werkzeug ist „logrotate„, ein Dienstprogramm, das die Größe und Anzahl der Log-Dateien steuert. Mit logrotate können Sie alte Log-Dateien automatisch archivieren und löschen. Dies kann dazu beitragen, Speicherplatz zu sparen und Ihre Systemressourcen zu optimieren.

Vorteile von Monitoring Logging unter Linux:

  • Möglichkeit, verdächtige Aktivitäten zu erkennen und darauf zu reagieren
  • Unterstützung der Compliance-Anforderungen
  • Überwachung und Protokollierung von Systemereignissen
  • Verbesserung der forensischen Fähigkeiten

Nachteile von Audit-Logging unter Linux:

  • Kann viel Speicherplatz verbrauchen
  • Verwaltung der Audit-Regeln kann zeitaufwändig sein

Hier sind die 15 wichtigsten Audit-Logging-Tools für Linux: Monitoring Tools!

  1. Auditd
    Das Audit-System von Linux, das die Systemaktivitäten überwacht und aufzeichnet.
  2. Logwatch: Ein automatisiertes Protokollanalyse- und Berichtstool, das E-Mail-Benachrichtigungen über Systemereignisse senden kann.
  3. Syslog-ng: Eine Open-Source-Log-Management-Lösung, die Protokolle von verschiedenen Quellen sammelt und zentralisiert.
  4. Rsyslog: Ein erweiterter System-Logger, der Protokolldaten auf verschiedene Arten speichern und weiterleiten kann.
  5. Logrotate: Ein Dienstprogramm, das alte Protokolldateien automatisch archiviert und löscht, um Platz auf der Festplatte zu sparen.
  6. Auditbeat: Ein Open-Source-Tool von Elastic, das Systemereignisse erfasst und an Elasticsearch oder Logstash sendet.
  7. Fluentd: Ein Open-Source-Protokollierungsdienst, der Protokolle von verschiedenen Quellen sammelt, transformiert und an verschiedene Ziele weiterleitet.
  8. Graylog: Eine Open-Source-Log-Management-Lösung, die Protokolle von verschiedenen Quellen sammelt, analysiert und zentralisiert.
  9. Splunk: Eine proprietäre Log-Management-Lösung, die Protokolle von verschiedenen Quellen sammelt, analysiert und zentralisiert.
  10. Papertrail: Ein Cloud-basiertes Protokollierungstool, das Protokolle von verschiedenen Quellen sammelt und analysiert.
  11. Loggly: Ein Cloud-basiertes Protokollierungstool, das Protokolle von verschiedenen Quellen sammelt und analysiert.
  12. NXLog: Ein Open-Source-Tool, das Protokolle von verschiedenen Quellen sammelt und an verschiedene Ziele weiterleiten kann.
  13. Auditctl: Ein Kommandozeilen-Tool zum Hinzufügen, Löschen und Anzeigen von Regeln für das Audit-System.
  14. Securing: Ein Sicherheitsskript, das eine Überwachungsumgebung einrichtet und automatisch Regeln für das Audit-System generiert.
  15. Falco: Ein Open-Source-Tool von Sysdig, das auf Verhaltenserkennung basiert und Angriffe auf das System erkennt.
  16. BotSentry BotSentry ist eine Software, die entwickelt wurde, um böswillige Aktivitäten von Bots auf Netzwerken zu erkennen und zu blockieren.

Weiter zur Auswertung und Bewertung von Auditd ….

Next Section
Inhaltsverzeichnis