Lange Zeit war ich auf der Suche nach einem g\u00fcnstigen System um Syslog-Nachrichten der PIX auszuwerten. Kommerzielle Systeme sind zwar reichlich am Markt, aber die meisten sind weit entfernt von “g\u00fcnstig”. Seit Anfang November ist jetzt aber die erste Beta von PLA2, der “PIX Logging Architektur” Version 2 verf\u00fcgbar.
\nDieses System steht unter der GPL, ist kostenlos im Source-Code erh\u00e4ltlich und sieht in dieser Beta schon sehr erfolgsversprechend aus.<\/p>\n
PLA besteht im Prinzip aus zwei Komponenten: Die erste Komponente ist ein Script, das die vom Syslog-Deamon (bei mir syslog-ng) erzeugte Datei in Echtzeit liest und die erkannten Nachrichten in einer MySQL-Datenbank eintr\u00e4gt. Die zweite Komponente ist ein Script (genauer gesagt eine ganze Sammlung von Scripts), das im Webserver ausgef\u00fchrt wird, die Datenbank abfragt, und die Ergebnisse darstellt.<\/p>\n
Zur Zeit sind drei Bereiche der Auswertung m\u00f6glich:<\/p>\n
1) Das Traffic-Log
\nIn diesem geht es um die Anzeige der verworfenen bzw. erlaubten Pakete.<\/p>\n
2) Das IDS-Log
\nHier werden die Nachrichten des eingebauten (Software)-IDS angezeigt. In Anbetracht der Tatsache, da\u00df das PIX-IDS weit entfernt davon ist, leistungsf\u00e4hig zu sein (ca. 50, teilweise eher unwichtige Signaturen) halte ich diesen Block f\u00fcr ein “ok, es ist halt da”, aber man k\u00f6nnte auch darauf verzichten.<\/p>\n
3) Das Informational-Log
\nViele der Informational-Nachrichten k\u00f6nnen angezeigt werden. Dazu geh\u00f6ren z.B. Login-Meldungen, Login-Fehler, Konfigurations\u00e4nderungen etc.<\/p>\n
In allen Logs kann \u00fcber gespeicherte Queries oder aber \u00fcber direkte Such-Abfragen die Menge an Informationen eingeschr\u00e4nkt werden.<\/p>\n
Vieles fehlt in diesem System sicher noch, aber die Entwickler sind im Moment recht aktiv. Eine Erweiterung, die in Zukunft z.B. noch kommt ist eine Statistik-Komponente, Erweiterungen der direkten Log-Anzeige werden schon in der n\u00e4chsten Version enthalten sein.<\/p>\n