Skip to main content
Skip table of contents

Protokollierung und Protokollauswertung

Anforderungen

Telearbeitsrechner sollten über eine Protokollierung und eine Protokollauswertung verfügen.

Anmerkung

IGEL empfiehlt, die Protokollierung im Standardumfang (Authentisierung, Kernel und Daemons) aktiviert zu lassen und die gewünschten Parameter durch Filtern bei der Auswertung einzugrenzen.

Maßnahme: Protokolle an Log-Analyzer weiterleiten

Verwenden Sie einen Log-Collector und -Analyzer, der die Archivierung und das Auswerten von Protokollen nach vielen Gesichtspunkten erlaubt, wie beispielsweise Graylog, Splunk oder den Elastic-Logstash-Kibana-Stack (ELK). Deren Auswertefunktion muss nach den bei der Protokollierung geforderten Datenarten unterscheiden können (zum Beispiel Filtern aller unberechtigten Zugriffe auf alle Ressourcen in einem vorgegebenen Zeitraum). Die Auswertefunktion muss auswertbare (lesbare) Berichte erzeugen, sodass keine sicherheitskritischen Aktivitäten übersehen werden.

Derartige Lösungen können Protokolldaten per Rsyslog-Schnittstelle mit TLS-Verschlüsselung entgegennehmen. Konfigurieren Sie die Weiterleitung durch IGEL OS folgendermaßen:

Installation des Zertifikats

Falls das X.509-Zertifikat Ihres Log-Collectors nicht von einer CA signiert ist, die IGEL OS bekannt ist, installieren Sie das CA-Root-Zertifikat des Unterzeichners wie folgt.

  1. Legen Sie in der UMS Konsole unter Dateien per Rechtsklick eine Neue Datei.

  1. Wählen Sie unter Lokale Datei die CA-Root-Zertifikatsdatei ca.pem im PEM-Format aus und laden Sie sie hoch.

  2. Wählen Sie unter Klassifizierung "Nicht definiert".

  3. Geben Sie bei Speicherpfad des Gerätes /wfs/ca-certs/ ein.

  4. Aktivieren Sie für den Besitzer Lese- und Schreibberechtigung, für Andere Leseberechtigung und setzen Sie den Besitzer auf Root.

  1. Klicken Sie OK.

  2. Weisen Sie das Dateiobjekt den gewünschten Geräten zu.

Konfiguration der Protokollweiterleitung auf IGEL OS

Ab IGEL OS 11.06.100 können Sie die Protokollweiterleitung mit TLS-Verschlüsselung wie folgt konfigurieren:

  1. Erstellen Sie in der UMS ein neues Profil. Siehe Creating Profiles.

  1. Gehen Sie im Konfigurationsdialog zu System > Protokollierung.

  2. Setzen Sie Remote Modus auf "Client".

  3. Klicken Sie die Schaltfläche Hinzufügen.

  4. Nehmen Sie die erforderlichen Einstellungen vor und aktivieren Sie TLS aktiviert.

  5. Geben Sie unter CA-Zertifikat den Pfad zum CA-Root-Zertifikat an, das Sie zuvor installiert haben, z. B. /wfs/ca-certs/ca.pem

  1. Speichern Sie die Änderungen und weisen Sie das Profil den gewünschten Geräten zu. 

  2. Starten Sie die Geräte neu, damit die Änderung wirksam wird.

Anweisungen für IGEL OS vor 11.06.100

In IGEL OS vor Version 11.06.100 konfigurieren Sie die Protokollweiterleitung mit TLS-Verschlüsselung wie folgt:

  1. Erstellen Sie eine Textdatei 50-tlslog.conf mit dem folgenden Inhalt:
    global(DefaultNetstreamDriverCAFile="/wfs/ca-certs/ca.pem")
    *.* action(type="omfwd" protocol="tcp"
    Target="<IP-Adresse oder DNS-Name des Log-Collectors>" port="<Port des Log-Collectors)"
    StreamDriver="gtls" StreamDriverMode="1" StreamDriverAuthMode="anon"
    template="RSYSLOG_TraditionalFileFormat")

  2. Legen Sie in der UMS Konsole unter Dateien per Rechtsklick eine Neue Datei an.

  3. Wählen Sie unter Lokale Datei die Datei 50-tlslog.conf aus und laden Sie sie hoch.

  4. Wählen Sie unter Klassifizierung "Nicht definiert".

  5. Geben Sie bei Speicherpfad des Gerätes /wfs/ ein.

  6. Aktivieren Sie für den Besitzer und für Andere Leseberechtigung und setzen Sie den Besitzer auf Benutzer.

  1. Klicken Sie OK.

  2. Weisen Sie das Dateiobjekt den gewünschten Geräten zu.

  3. Erstellen Sie ein Profil mit folgendem Inhalt:

    1. Gehen Sie im Konfigurationsdialog zu System > Firmwareanpassung > Eigene Befehle > Basis.

    2. Fügen Sie im Feld Initialisierung folgende Zeile ein:
      cp /wfs/50-tlslog.conf /etc/rsyslog.d/

  4. Weisen Sie das Profil den gewünschten Geräten zu.

  5. Starten Sie die Geräte neu, um die Änderung wirksam werden zu lassen.

Maßnahme: Konfigurationsänderungen analysieren

Daneben lassen sich in der Universal Management Suite verschiedene Protokolleinträge zu administrativen Tätigkeiten durchsuchen:

  • Wählen Sie System > Logging > Nachrichten, um zu sehen, wann Einstellungen und Befehle an welches Gerät geschickt wurden.

  • Wählen Sie System > Logging > Ereignisse, um Änderungen an Objekten in der Universal Management Suite anzuzeigen.

  • Wählen Sie System > Logging > Fernzugriff, um herauszufinden, wann welcher UMS Benutzer welches Gerät mittels Secure Shadowing gespiegelt hat.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close