Lange Zeit war ich auf der Suche nach einem günstigen System um Syslog-Nachrichten der PIX auszuwerten. Kommerzielle Systeme sind zwar reichlich am Markt, aber die meisten sind weit entfernt von “günstig”. Seit Anfang November ist jetzt aber die erste Beta von PLA2, der “PIX Logging Architektur” Version 2 verfügbar.
Dieses System steht unter der GPL, ist kostenlos im Source-Code erhältlich und sieht in dieser Beta schon sehr erfolgsversprechend aus.
PLA besteht im Prinzip aus zwei Komponenten: Die erste Komponente ist ein Script, das die vom Syslog-Deamon (bei mir syslog-ng) erzeugte Datei in Echtzeit liest und die erkannten Nachrichten in einer MySQL-Datenbank einträgt. Die zweite Komponente ist ein Script (genauer gesagt eine ganze Sammlung von Scripts), das im Webserver ausgeführt wird, die Datenbank abfragt, und die Ergebnisse darstellt.
Zur Zeit sind drei Bereiche der Auswertung möglich:
1) Das Traffic-Log
In diesem geht es um die Anzeige der verworfenen bzw. erlaubten Pakete.
2) Das IDS-Log
Hier werden die Nachrichten des eingebauten (Software)-IDS angezeigt. In Anbetracht der Tatsache, daß das PIX-IDS weit entfernt davon ist, leistungsfähig zu sein (ca. 50, teilweise eher unwichtige Signaturen) halte ich diesen Block für ein “ok, es ist halt da”, aber man könnte auch darauf verzichten.
3) Das Informational-Log
Viele der Informational-Nachrichten können angezeigt werden. Dazu gehören z.B. Login-Meldungen, Login-Fehler, Konfigurationsänderungen etc.
In allen Logs kann über gespeicherte Queries oder aber über direkte Such-Abfragen die Menge an Informationen eingeschränkt werden.
Vieles fehlt in diesem System sicher noch, aber die Entwickler sind im Moment recht aktiv. Eine Erweiterung, die in Zukunft z.B. noch kommt ist eine Statistik-Komponente, Erweiterungen der direkten Log-Anzeige werden schon in der nächsten Version enthalten sein.
Alles in allem ist PLA2 ein System, das eine nähere Betrachtung verdient hat.
PLA ist unter http://www.logging-architecture.net/ erhältlich und arbeitet sowohl mit der PIX und dem FWSM, als auch mit der neueren ASA.
Hast du PLA im Einsatz?
Ja, die finale Version 2.00. Mit dieser Version kann man schon sehr gut arbeiten. PLA ist auf jeden Fall ein Blick bzw. Test wert!