Logdateien unter der Lupe

Das in Stein gemeisselte Gesetz jeder Unternehmens-IT lautet: «Du sollst Deine Logdateien überprüfen». In jeder Compliance-Bibel kann nachgelesen werden, wie wichtig das Erstellen und die Untersuchung der Log-Files von IT-Systemen ist, um den gesetzlichen Bestimmungen wie Basel II und Sarbanes-Oxley zu genügen.

Die Logdateien sind aber nicht nur als Beweismaterial für den Ernstfall wichtig. Auch zur Abwehr von Angriffen auf die eigene IT-Infratruktur können die Protokolle von Nutzen sein. Systeme für «Security Information and Event Management», kurz SIEM, sammeln nicht nur die Daten aus den Log-Files, sie suchen auch nach Unregelmässigkeiten und warnen den Systemadministrator vor gefährlichen Vorkommnissen. Manche SIEM-Systeme erledigen das auch in Echtzeit und ergänzen so andere Security-Appliances wie Intrusion-Protection-Systeme oder sogar Firewalls.

Der Markt für SIEM ist zwar nicht mehr jung - bereits in den 1990er Jahren gab es erste Logdateianalyse-Tools - aber noch sehr unübersichtlich. Neben Grössen wie Cisco und RSA bieten ArcSight, CheckPoint, eIQ Networks, High Tower, Q1 Labs, NetIQ und TriGeo ihre Produkte an. Unser Testlabor hat die verschiedenen SIEM-Lösungen genauer unter die Lupe genommen, nur Cisco, RSA und ArcSight haben uns keine Testgeräte zur Verfügung gestellt.

Das Ergebnis: Das perfekte SIEM gibt es nicht. Ideal wäre eine Kombination aus der Benutzeroberfläche von High Tower, dem Eventmanager von Net-IQ, der Logdatenaufbereitung von TriGeo und den Möglichkeiten in Q1 Labs, Ereignisse zu verknüpfen.

In vielen Bereichen besteht aber noch Verbesserungspotenzial. Anwender müssen also bei der Auswahl sehr darauf achten, welche Funktionen sie besonders brauchen. Als gute Allrounder empfehlen sich die Produkte von Q1 Labs, High Tower und TriGeo.