8
Was ist sinnvoll zu loggen?
Hallo zusammen,
ich bin im Moment auf der Suche nach einem zentralen LogMangement, dabei habe ich auch schon eine einige gefudnen(Graylog, Wazuh, ELK usw....)dabei ist bei mir auch die Frage aufgekommen, was denn Sinnvoll wäre zu loggen?
Die Anfallende Datenmenge wäre einmal egal, grundsätzlich ist eine solide Datenbasis anzustreben.
Reine User Infos(Anmeldungen, gescheiteret Anmeldungen usw....)?
Veränderungen an Dateien, Ordner, RegWerten?
Wie sind Eure Erfahrungen in der Sache?
Gruß
McNewbie
ich bin im Moment auf der Suche nach einem zentralen LogMangement, dabei habe ich auch schon eine einige gefudnen(Graylog, Wazuh, ELK usw....)dabei ist bei mir auch die Frage aufgekommen, was denn Sinnvoll wäre zu loggen?
Die Anfallende Datenmenge wäre einmal egal, grundsätzlich ist eine solide Datenbasis anzustreben.
Reine User Infos(Anmeldungen, gescheiteret Anmeldungen usw....)?
Veränderungen an Dateien, Ordner, RegWerten?
Wie sind Eure Erfahrungen in der Sache?
Gruß
McNewbie
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 53981464798
Url: https://administrator.de/contentid/53981464798
Printed on: May 5, 2024 at 16:05 o'clock
8 Comments
Latest comment
Morschen.
Was soll denn das Ziel sein?
Persönliches Interesse, Zertifizierungs-Anforderung erfüllen, Unterstützung der Forensik oder Anweisung der GF?
Falls vorhanden muss ein Betriebsrat hier eventuell involviert werden, vor allem wenn Anmeldungen geloggt werden soll.
Prinzipiell ist es sinnvoll Vieles zu loggen. Wir lassen unter anderem Eventlog Einträge zu fehlerhaften User Logins (in Abstimmung mit Betriebsrat) der Domain Controller in Graylog einlaufen.
Auch die Firewall und die VM-Hosts melden an den Syslog Server. Unsere Fileserver lassen wir ebenfalls mittels Agent ihre Eventlogs übermitteln.
Gruß
Marc
Was soll denn das Ziel sein?
Persönliches Interesse, Zertifizierungs-Anforderung erfüllen, Unterstützung der Forensik oder Anweisung der GF?
Falls vorhanden muss ein Betriebsrat hier eventuell involviert werden, vor allem wenn Anmeldungen geloggt werden soll.
Prinzipiell ist es sinnvoll Vieles zu loggen. Wir lassen unter anderem Eventlog Einträge zu fehlerhaften User Logins (in Abstimmung mit Betriebsrat) der Domain Controller in Graylog einlaufen.
Auch die Firewall und die VM-Hosts melden an den Syslog Server. Unsere Fileserver lassen wir ebenfalls mittels Agent ihre Eventlogs übermitteln.
Gruß
Marc
1
HI Mark,
unterstützung der Forensik ist auf alle Fälle ein großer Teil davon. Zertifizierung ist erstmal nicht die erste Prio.
Ich bin auch der Meinung das möglichst viel geloggt werden soll, welche Daten man sich dann rauszieht ist dann eine andere Sache.
Nur bei der Menge der Daten die man Loggen kann, ist schon auf den ersten Blick nicht ohne und wird auch schnell unübersichtlich!
Deswegen auch die Frage ob es, was denn sinnvoll wäre. Gerne auch einmal mit weniger Starten und dann eben größer werden.
Die Sache mit dem BR wird schon angegangen, dass ist Sache meines Chefs :P
unterstützung der Forensik ist auf alle Fälle ein großer Teil davon. Zertifizierung ist erstmal nicht die erste Prio.
Ich bin auch der Meinung das möglichst viel geloggt werden soll, welche Daten man sich dann rauszieht ist dann eine andere Sache.
Nur bei der Menge der Daten die man Loggen kann, ist schon auf den ersten Blick nicht ohne und wird auch schnell unübersichtlich!
Deswegen auch die Frage ob es, was denn sinnvoll wäre. Gerne auch einmal mit weniger Starten und dann eben größer werden.
Die Sache mit dem BR wird schon angegangen, dass ist Sache meines Chefs :P
Moin,
neben den Eventlogs der Server würde ich zu Forensik-Zwecken auch die Logs der Firewall, der AV Software und auch aller Switche und Router mit aufnehmen.
lg,
Slainte
neben den Eventlogs der Server würde ich zu Forensik-Zwecken auch die Logs der Firewall, der AV Software und auch aller Switche und Router mit aufnehmen.
lg,
Slainte
1
Eventlogs aller Domain Controler, z.B. zum analysieren welche objekte durch wen und wann und von wo editiert/erstellt/gelöscht wurden. Virtualisierungsumgebungen, z.B. VMware per Syslog.
USV, Firewall, Switche.
Windows Server z.B. Eventlog der RDP Verbindungen (sieht man Account, IP des Verbinders)
USV, Firewall, Switche.
Windows Server z.B. Eventlog der RDP Verbindungen (sieht man Account, IP des Verbinders)
Moin,
was geloggt werden sollte, haben die Kollegen ja schon aufgeführt.
Aber gerade im Bereich der Forensik auf Rechtssicherheit achten (Beweisführung!). Teils erschwert die DSGVO das ganz ordentlich.
https://dr-dsgvo.de/webseiten-logfiles-welche-speicherdauer-ist-zulaessi ....
https://www.e-recht24.de/dsg/12725-server-log-dateien.html
Gruß
was geloggt werden sollte, haben die Kollegen ja schon aufgeführt.
Aber gerade im Bereich der Forensik auf Rechtssicherheit achten (Beweisführung!). Teils erschwert die DSGVO das ganz ordentlich.
https://dr-dsgvo.de/webseiten-logfiles-welche-speicherdauer-ist-zulaessi ....
https://www.e-recht24.de/dsg/12725-server-log-dateien.html
Gruß
Moin,
Beachte: Loggen lohnt sich nur, wenn die Logs auch ausgewertet werden. Wenn man immer nur logt und keine Erkenntnisse aus den Logs gewinnt, kann man sich das auch sparen.
lks
Beachte: Loggen lohnt sich nur, wenn die Logs auch ausgewertet werden. Wenn man immer nur logt und keine Erkenntnisse aus den Logs gewinnt, kann man sich das auch sparen.
lks
2
Moin,
Gruß,
Dani
Ich bin auch der Meinung das möglichst viel geloggt werden soll, welche Daten man sich dann rauszieht ist dann eine andere Sache.
Nur bei der Menge der Daten die man Loggen kann, ist schon auf den ersten Blick nicht ohne und wird auch schnell unübersichtlich!
Da wieder sprichst du dir in zwei Sätzen selber. Du willst alles haben, aber es soll nicht unübersichtlich werden. Da bin ich mal gespannt, wie das gehen soll. Unabhängig davon ist die Auswertung natürlich wichtig. Aber das muss je nachdem Interaktionen und Co nach sich ziehen. Es nutzt dir nichts, wenn am Weekend ein vermutlicher Angriff statt findet, das aber keine mitbekommt und vor allem nicht eingreift.Nur bei der Menge der Daten die man Loggen kann, ist schon auf den ersten Blick nicht ohne und wird auch schnell unübersichtlich!
Eventlogs aller Domain Controler, z.B. zum analysieren welche objekte durch wen und wann und von wo editiert/erstellt/gelöscht wurden. Virtualisierungsumgebungen, z.B. VMware per Syslog. USV, Firewall, Switche.
Ich würde nicht nur Hardware, Infrastruktur, etc. sondern auch die Applikationen einbeziehen. Da wirst du dich wundern, was da einem Tag an GB zusammen kommen. Spätestens wenn es um die Speicherkapazität, die Anzahl der Aufbewahrungsdauer der Daten und Sicherung geht, wirst du nicht mehr alles loggen wollen.Gruß,
Dani
1
Welche Informationen zu loggen sind hängt doch ganz wesentlich von den Zielen ab, die damit erreicht werden sollen.
Daraus abgeleitet ergeben sich für die unterschiedlichen Ziele ggf. auch unterschiedliche Informationen, die dafür erhoben werden müssen und aus welchen Quellen diese zu beziehen sind.
Klassischer Weise würde man von Gefährdungen und Schwachstellen ausgehen und festlegen, welche Daten erforderlich sind um zu erkennen, dass diese ausgenutzt wird oder werden soll. Dabei ist die gesamte Kette der beteiligten Systeme/Anwendungen/Hardware/User etc. zu berücksichtigen.
Ein Betrugsversuch erfordert ggf. andere Logging-Daten als ein Angriff auf priviligierte Accounts.
Ich würde dir daher empfehlen deine Fragen zum Logging danach auszurichten und einen entsprechenden Plan zu erarbeiten.
Daraus abgeleitet ergeben sich für die unterschiedlichen Ziele ggf. auch unterschiedliche Informationen, die dafür erhoben werden müssen und aus welchen Quellen diese zu beziehen sind.
Klassischer Weise würde man von Gefährdungen und Schwachstellen ausgehen und festlegen, welche Daten erforderlich sind um zu erkennen, dass diese ausgenutzt wird oder werden soll. Dabei ist die gesamte Kette der beteiligten Systeme/Anwendungen/Hardware/User etc. zu berücksichtigen.
Ein Betrugsversuch erfordert ggf. andere Logging-Daten als ein Angriff auf priviligierte Accounts.
Ich würde dir daher empfehlen deine Fragen zum Logging danach auszurichten und einen entsprechenden Plan zu erarbeiten.
