Sich interessiere mich seit vielen Jahren für Security Logging, neue Tools und ihre Techniken, Implementierungen und die Nutzbarkeit entsprechender Lösungen. Mit der Veröffentlichung von Graylog2 habe ich meine produktive Protokollinfrastruktur von ELK auf Graylog umgestellt, wobei ich aber noch immer nicht gänzlich glücklich damit bin.

Graylog2 bietet alle grundlegenden Funktionen zum Erfassen, Analysieren und Darstellen grosser Datenmengen. In vielen Bereichen, insbesondere in Bezug auf Dashboards, gibt es jedoch noch Verbesserungspotential.

Graylog V3

Graylog nähert sich Version 3.0. Und selbst wenn die Dashboard-Funktionalität noch nicht mit denen von Kibana verglichen werden kann, kommt die neue Version mit einer Vielzahl lang erwarteter Funktionen daher. Eine vollständige Liste der Verbesserungen finden Sie auf der Graylog Webseite.

Für meinen Anwendungsfall gibt es zwei Hauptfunktionen: Views und Content Packs. An dieser Stelle der Hinweis, dass es sich um die freie, aber lizenzierte Version von Graylog V3 handelt. Dementsprechend sind alle Funktionen im Menü “Enterprise” zu finden.

Views

In Graylog V2 haben Widgets in Dashboards ein vordefiniertes Zeitintervall. Es ist daher nicht möglich, durch die Zeit zu gehen.

In Graylog V3 wurden neben den noch vorhandenen statischen Dashboards, die Enterprise/Views eingeführt: Jetzt kann eine Suche mit allen erforderlichen Widgets definiert und gespeichert werden.

Widgets sind jetzt flexibler und komfortabler zu bearbeiten. Die Anzahl der verfügbaren Widgets sollte erhöht werden, aber die Richtung scheint die richtige zu sein.

Content Packs

Content Packs können nun als gesamte Pakete (Konfiguration) exportiert werden, inklusive der Eingaben! Konfigurationen können nun ohne den MongoDB-Workaround portiert werden.

Reports

Reports können nun in regelmässigen Intervallen erstellt, eingesehen oder als PDF per Email verschickt werden.

Weiteres

Es gibt weitere nützliche Funktionen:

• Eine View für den Audit Trail, in der die Aktivitäten überprüft werden können
• Sidecar wurde verbessert; damit wird es möglich, die Konfiguration der Collectors zentralisiert zu bewirtschaften
• Elasticsearch 6 ist jetzt unterstützt

Fazit

Das Update von Version 2 auf Version 3 erscheint wie ein kleiner Sprung, aber meiner Meinung nach gibt es zentrale Änderungen den Komponenten, die die Entwicklung neuer Funktionen einfacher und regelmässiger machbar machen werden.

Selbst wenn nur der Enterprise-Teil verbessert wurde, ist das Limit von 5 GB Daten pro Tag in der freien Version angemessen, was Graylog für die meisten kleinen Unternehmen, die kein Budget für die Protokollanalyse haben, nutzbar macht.

Graylog ist trotz aller Einschränkungen eine Komplettlösung, die zur Sammlung und Analyse von Protokolldateien und zur Alarmierung bei Anomalien verwendet werden kann. Für kleine Unternehmen ist das Datenlimit kein Problem, und mit einer geringen Investition in Hardware steht Ihnen eine kostengünstige und effiziente Datenanalyselösung zur Verfügung.

Über den Autor

Rocco Gagliardi ist seit den 1980er Jahren im Bereich der Informationstechnologie tätig. In den 1990er Jahren hat er sich ganz der Informationssicherheit verschrieben. Die Schwerpunkte seiner Arbeit liegen im Bereich Security Frameworks, Routing, Firewalling und Log Management.

Links

• https://twitter.com/graylog2/status/1083471287077482502
• https://www.graylog.com
• https://www.graylog.org/products/graylog-3-preview