Testbericht
Syslog-NG Premium 5 LTS im Test
Server, Computer und Geräte protokollieren Ereignisse in Logfiles. Wie der Administrator sie für die Analyse zentral zusammenfasst, das ist die Aufgabe von syslog-ng.
Spätestens bei der Fehlersuche greifen alle IT-Profis auf die Ereignismeldungen der Betriebssysteme und Anwendungsprogramme zurück, um sich ein Bild davon zu machen, was genau vorfiel. Infrastrukturgeräte wie Router oder Switches nutzen für gewöhnlich syslog-Meldungen, die sie an einen zentralen Server übermitteln.
Das Hauptproblem für Administratoren ist es jedoch, die vielen verschiedenen Ereignisnachrichten zusammenzufassen, da jede Software und jedes Betriebssystem nach eigenen Regeln vorgeht. Windows nutzt die Ereignisanzeige, Linux und Unix nutzen ihre eigenen Logfiles. Wer ein Logfile-Analyse-Werkzeug, wie beispielsweise Splunk, nutzt, wird sich zunächst damit befassen, diese Speicherorte zu identifizieren und Logfiles dem Analyse-Programm bekannt zu machen.
Projektportfolio-Management statt Pi mal Daumen
Syslog-ng 5 von der BalaBit Security Ltd. bietet eine einheitliche Logging-Funktion für viele Plattformen. Die Software analysiert die Logfiles nicht selbst, sondern sorgt für eine einheitliche Protokollierung. Syslog-ng bietet der Hersteller in drei sehr verschiedenen Editionen an. Die kostenlose Open Source-Variante für Linux/Unix, eine leistungsfähigere Premium-Edition, die auch mit Windows-Server und -Clients arbeitet, und eine Hardware-Appliance mit dem Namen syslog-ng Store Box.
Die Testinstallation der Premium Edition unter Windows ist unkompliziert. Jeder Interessent erhält auf Anfrage eine 30-Tage-Lizenz und den Download-Link für die gerade einmal 11 MByte kleine Software. Die englischsprachige Kurzanleitung bietet drei Szenarien, die die unterschiedliche Positionierung der Serversoftware im Netz abbilden können. In der klassischen Variante arbeitet syslog ng PE im Server-Modus und ist das Ziel für alle eingehenden Meldungen.
Der beste Businessplan-Ratgeber für die Existenzgründung
Der Installer richtet den notwendigen Systemdienst automatisch ein, jedoch muss der Administrator die Konfiguration über .conf-Dateien selbst vornehmen. Zunächst einmal gilt es, die Beispielkonfiguration im Dateisystem zu kopieren und den in der Datei benannten Zielordner von Hand anzulegen. Die Konfiguration von eingehenden Meldungen geschieht ebenfalls über die .conf-Dateien.
Um beispielsweise Ereignisanzeigenmeldungen von anderen Windows-Agents in Empfang zu nehmen, muss der Administrator eine neue Ressource anlegen. Windows ist hier eher die Seltenheit, typischerweise legt der IT-Profi Ressourcen für syslog-Daten oder IBM i-Series-, Linux/Unix-Server an. Die Konfiguration auf dem Client-Agent geschieht entweder über eine grafische Oberfläche oder wiederum per .conf-Datei.
Von nun an erscheinen die externen Meldungen in den vom Administrator definierten Dateien auf dem Server. Über das Reliable Log Transfer Protocol verhindert die Softwareden Verlust von Nachrichten, auch beim Abbruch der Verbindung. Über sogenannteMacros nimmt der Administrator Einfluss darauf, wie Daten verarbeitet und gespeichert werden. Beispielsweise, indem für jeden Tag, Woche oder Jahr eine neue Datei angelegt wird.
