Loggar är ett register över allt som händer i IT-miljön i din organisation. De är vanligtvis en serie tidsstämplade meddelanden som ger dig direkt information om alla aktiviteter i ditt nätverk.
Alla enheter och program i nätverket skapar loggar, tillsammans med NetFlow-data, som används för att övervaka nätverkstrafiken. Loggar är den huvudsakliga informationskällan till lösningar för säkerhetsinformation och händelsehantering (SIEM). En SIEM-lösning är i grunden en plattform för logghantering som även utför säkerhetsanalys och varningshantering, hantering av insiderrisker, automatisering av åtgärder, hotjakt och efterlevnadshantering.
Vad är logghantering?
Logghantering innebär insamling, lagring, normalisering och analys av loggar för att generera rapporter och varningar. Logghantering säkerställer att aktivitetsdata i nätverket som döljs i loggar omvandlas till meningsfull, handlingsbar säkerhetsinformation. Logghantering är en förutsättning för att nätverks- och säkerhetsadministratörer ska kunna övervaka och skydda nätverket. SIEM-loggning kombinerar händelseloggar med kontextuell information om användare, tillgångar, hot och sårbarheter och bearbetar dem med hjälp av algoritmer, regler och statistik.
Logghantering är en utmanande uppgift. För att samla in och bearbeta loggdata i realtid, oavsett volymen av loggdata och antalet enheter i nätverket, behöver organisationer en robust logghanteringsmekanism. Sammantaget måste logghantering vara tillräckligt flexibel för att passa alla nätverksenheter och applikationer.
Logginsamling
Logginsamling är det första steget i logghantering. En SIEM-lösning samlar in loggar och händelser från en mängd olika system i nätverket och sammanställer dem på ett ställe. Loggar samlas vanligtvis in från arbetsstationer, servrar, domänkontrollanter, nätverksenheter, IDS, IPS, säkerhetslösningar för slutpunkter, databaser, webbservrar, offentlig molninfrastruktur och molnplattformar.
Varje nätverk har olika system och miljöer som genererar olika loggformat, såsom händelselogg, sysloggar och andra applikationsloggar. Logginsamlare måste vara tillräckligt flexibla för att kunna hantera alla nätverksenheter och applikationer.
Loggar kan samlas in via:
- Agentbaserad logginsamling.
- Agentfri logginsamling.
Agentbaserad logginsamling
Agentbaserad loggsamling kräver att en agent distribueras på de enheter som genererar loggar. Agenten samlar inte bara in och filtrerar loggarna, utan den tolkar och omvandlar dem också till andra format innan de skickas vidare till loggsamlingsservern.
Windows, Unix och de flesta andra system skapar loggar i delar av filsystemet som kräver höga privilegier för att kunna visas, roteras eller flyttas. Agenter utvecklades för att samla in säkerhetsrelaterad information från det lokala systemet och sedan omvandla den till ett format som lämpar sig för överföring via nätverket till en central insamlare. Agenterna är utformade för att köras i bakgrunden med tillräckliga privilegier för att övervaka och hantera undersystemet till loggningen och endast använda de systemresurser som krävs för att samla in, bearbeta, filtrera och skicka loggarna till SIEM-värden med minimal belastning.
Agentbaserad logginsamling är användbar för insamling av loggar över WAN och genom brandväggar. Den hjälper också till med logginsamling från enheter som befinner sig i restriktiva zoner i ditt nätverk, såsom DMZ. Genom att använda en agent för logginsamling minskar serverns CPU-användning och ger därmed bättre kontroll över antalet händelser per sekund. Windows Server, NXLog och OSSEC är några av de populära agenter som används för logginsamling.
Agenten kan installeras på vilken server som helst i nätverket eller subnätet och på alla typer av operativsystem. Den installeras som en tjänst på den servern. Agenten samlar in loggarna på distans, förbehandlar dem och överför dem till servern i realtid och utan avbrott.
Hur en agent fungerar:
- När en agent är installerad på en enhet får den tillgång till enhetens interna aktiviteter och hämtar loggdata från den.
- När loggarna är insamlade förbereder agenten dem genom att extrahera relevanta fält. Den zippar sedan loggdata och skickar den säkert till SIEM-servern.
- Därefter indexerar servern loggarna och fortsätter med vidare bearbetning.
Fördelar med agentbaserad logginsamling:
- Loggöverföringen är säker och tillförlitlig, eftersom agenterna kan kommunicera med den centraliserade loggservern med hjälp av TLS och SSL.
- Loggdata skickas vanligtvis i komprimerade satser och buffras, så att inga händelser går förlorade vid överföring.
- Loggar behandlas och skickas till SIEM i realtid, snabbt och effektivt.
- Loggfiltrering är mycket bättre i agentbaserad logginsamling.
- Hjälper till att uppfylla olika efterlevnadskrav.
- Agenter kan samla in loggar från olika plattformar, t.ex. Windows, Linux och andra system, och logga dem i ett användbart format.
- På grund av loggfilter tas onödig loggdata bort och den aggregerade loggdata blir mer kompakt. Därför använder agenter mindre bandbredd och resurser.
agentfri logginsamling
I SIEM-lösningar är agentfri logginsamling den dominerande metoden för att samla in loggar. I dynamiska molnmiljöer är agentfri granskning avgörande för att minska kostnader, öka insynen och påskynda implementeringen.
Det finns inbyggda enheter såsom routrar, skrivare, switchar och brandväggar där installation av tredjepartsprogramvara inte stöds. I starkt reglerade system är installation av ytterligare programvara inte tillåten. I dessa fall kan istället en agentfri logginsamling implementeras, vilket gör att enheterna kan skicka loggar till en fjärrdatainsamlare. En faktor som tvingar fram användning av agenter för logginsamling är avsaknaden av en etablerad nätverksanslutning.
Vid agentfri logginsamling skickas loggdata som genereras av enheterna automatiskt och säkert till en SIEM-server, vilket eliminerar behovet av en extra agent för att samla in loggarna och minskar belastningen på enheterna.
Hur agentfri logginsamling fungerar:
- En klient, värd, ett system eller en enhet har tidigare installerad programvara, eller har i de flesta fall redan den nödvändiga programkoden för att samla in alla nödvändiga data. Denna programvara eller kod används för att samla in loggdata.
- Loggdata vidarebefordras med hjälp av inbyggda protokoll såsom SNMP-traps, WECS, WMI och sysloggar.
- Den loggenererande värden kan skicka sina loggar direkt till SIEM, eller så kan en mellanliggande loggserver, som en syslog-server, vara involverad.
Fördelar med agentfri logginsamling:
- Det är enklare och snabbare att implementera eftersom det inte kräver någon programvaruinstallation.
- Lägre underhållskostnader eftersom det inte krävs några uppdateringar av programvara eller versioner eftersom det inte finns någon agent.
- Eftersom det inte krävs någon installation av programvara, underhåll eller drift kan agentfri logginsamling avsevärt minska administrationsarbetet.
I valet mellan agentbaserad eller agentfri logginsamling är ingen av dem bättre än den andra. Valet bör göras utifrån organisationens behov. Det är därför bäst att ha en SIEM-lösning som erbjuder både agentbaserad och agentfri logginsamling.
Log360 är din enkelstoppslösning för all logghantering och nätverkssäkerhetsutmaningar. Det är en integrerad lösning som kombinerar EventLog Analyzer, ADAudit Plus och Cloud Security Plus i en enda konsol för att hjälpa dig hantera nätverkssäkerhet, Active Directory-granskning och hantering av offentliga moln. EventLog Analyzer är utformad för att stödja både agentbaserade och agentfria logginsamlingsmetoder för att täcka alla enheter och applikationer i nätverket.
I följande tabell listas några av de viktigaste loggkällorna och vilka metoder som kan användas för att samla in dessa loggar i Log360.
| Loggkälla | Agentbaserad logginsamling | agentfri logginsamling |
| Grundläggande Windows-infrastruktur |  | |
| Databasplattformar |  | |
| Lösningar för slutpunktssäkerhet | | |
| Brandväggar, NGFW:er, IDS:er och IPS:er | | |
| Hypervisors | | |
| Linux- och Unix-system | | |
| Routrar och switchar | | |
| Sårbarhetsskannrar | | |
| Webbservrar | | |
| Servrar | | |
| Arbetsstationer | | |
| Molnplattformer | | |
Läs mer om Log360 eller kontakta vårt supportteam på support@log360.com om du har några frågor om produkten.