Netzwerk Log

Netzprotokollierung

Die Logfile-Analyse untersucht die Logfile eines Computersystems für einen bestimmten Zeitraum nach bestimmten Kriterien. Das Betrachten der Ereignisprotokolle von Windows-Systemen sollte eine der Standardprozeduren des Administrators sein. mw-headline" id="Auswertung_von_Webserver-Logdateien">Auswertung von Webserver-Logdateien[a class="mw-editsection-visualeditor" href="/w/index.php?title=Logdateianalyse&file Bewertung von Webserver-Logdateien">Bearbeiten | | Quellcode bearbeiten]

Die Logfile-Analyse prüft die Logfile eines Rechnersystems für einen definierten Zeitraum nach festgelegten Zeitpunkten. Mit gängigen Rechnersystemen werden die verschiedensten Anlagen protokolliert. So können z. B. für jeden Web-Server, jede Datei und jede Firewalls Protokolldateien gefunden werden. Abhängig von Typ, inhaltlichem und inhaltlichem Ausmaß der Logfile-Aufzeichnung können unterschiedliche Rückschlüsse getroffen werden.

Durch eine Auswertung der Protokolldateien können Sie ein gewisses Web-Controlling durchführen. Was ist die IP-Adresse und der Rechnername des Benutzers? Bei welcher Stelle befand sich der Link, über den der Benutzer auf die jeweilige Stelle gelangt ist? Seit wann ist er auf der Baustelle? Mit welcher Stelle hat er die Internetseite aufgelassen? Dies bedeutet, dass jede Anforderung eines Kunden für eine Webpage (oder jede einzelne Graphik, etc.) eine separate Handlung für den WEB-Server ist.

Wenn der Nutzer durch eine Webseite navigiert, hat der WEB-Server keine Ahnung, dass der Nutzer gerade auf eine Webseite zugegriffen hat. Das kann mit einem Cookie oder einem zusätzlichen an jede URI angeschlossenen Partner geschehen, aber ein Cookie ist in der Protokolldatei nicht ersichtlich und erfordert eine separate Programmerstellung zur Analyse der Protokolldatei.

Wenn ein Cookie setzt werden kann (abhängig vom Client), ist auch eine nachträgliche Erkennung möglich, wenn das Cookie in der Folgezeit nicht geändert oder entfernt wurde. Andernfalls können nur reine Statistikaussagen über die (wahrscheinlichen) Rückkehrer einer Website gemacht werden. Das kann durch die Kombination derselben IP-Adresse, Bildschirmdarstellung, passender Plugins usw. erreicht werden, aber diese Vorgehensweise ist nicht exakt.

Ein weiterer Weg in HTTP, einen Nutzer zu erkennen, besteht darin, die IP-Adresse zu benutzen. Es kann jedoch für viele verschiedene Anwender gleich sein, wenn sie einen Proxy-Server, Network Address Translation oder ähnliches einsetzen. Daher sollten sie mit äußerster Sorgfalt verwendet werden, da eine IP-Adresse nicht mit einem Nutzer identisch ist.

Allerdings hat der Webseitenbetreiber oft keinen Zugang zur Protokolldatei des Webseitenbetreibers, so dass oft der Versuch unternommen wird, eine statistischen Bewertung durch Zählen von Pixeln zu erlauben. Zu diesem Zweck werden kleine, nicht sichtbare ( "1×1 Pixel", transparent) Grafiken in die Website integriert, die auf einem Server gespeichert werden, dessen Protokolldatei ausgewertet werden kann. Weiterführende Daten, wie z.B. Bildschirm-Auflösung oder eine Reihe von Plug-Ins für installierte Webbrowser, sind ebenfalls erwünscht, werden aber nicht in einer Protokolldatei gespeichert.

Zusätzlich zur Bewertung von Einzeldateien besteht die Zuordnung verschiedener Protokolldateien, vor allem zur Störungsanalyse, sozusagen als Königsdisziplin. Es ist von Bedeutung, dass die betroffenen Anlagen alle Protokolleinträge mit einem Zeitpunkt versieht und die Zeiten dieser Anlagen annähernd zeitsynchron sind. Die Verwendung eines Netzwerk-Zeitprotokolls wie NTP wird hier empfohlen. Ein Beispiel für eine Zuordnung von Protokolldateien und Einträgen wäre die Verknüpfung von Firewall-Logdatei- und Router-Protokolldateien sowie Abrechnungsdaten auf einem durch einen Piraten gefährdeten Unternehmen.

Inzwischen gibt es neben der rein logischen Analyse einen neuen Softwaresektor des "Security Information and Event Management" SEM. In der Regel verfolgen diese Anlagen einen anderen Ansatz bei der Protokollanalyse. Unterschied zwischen Siemens-SEM und reiner Protokollanalyse: Siemens: a) Die Protokolle werden "normiert", - in die einzelnen Informationskomponenten aufgeteilt und dann in einer Datenbasis zwischengespeichert.

Zu diesem Zweck können zusätzliche Protokolldatenquellen sowie andere System aus den Gebieten FCAPS (meist Fehlermanagement), WMI-Ereignisse, SNMP-Traps, Daten aus dem Verzeichnis AD und Netflow/SFLow-Daten kombiniert und miteinander korrespondiert werden. Der Experte, der die Protokolle auswertet, steht bei der herkömmlichen Protokollanalyse vor dem "PC" - in Siemens sollte der Produzent die entsprechenden Funktionalitäten und das Know-how in der Simulation bereitstellen.

Für die Analyse von Protokolldateien gibt es eine Reihe von Hilfsprogrammen.

Auch interessant

Mehr zum Thema