Jan hat mehr als 15 Jahre Berufserfahrung als System Administrator und Support Engineer. Er arbeitete sowohl in StartUps als auch Konzernen. Derzeit ist Jan ein Teil des Graylog Teams, welches die gleichnamige Software entwickelt. Er ist verantwortlich für den Support der Enterprise Kunden und trägt zur Open Source Community bei.
4. – Wikipedia
„Eine Logdatei enthält das automatisch
geführte Protokoll aller oder bestimmter
Aktionen von Prozessen auf einem
Computersystem.“
5. – Wikipedia
„ Außer dem Betriebssystem selbst schreiben
meist Hintergrundprogramme (z. B. ein E-Mail-
Server, ein Proxyserver und anderes) in
Logdateien, um Aktionsmeldungen,
Fehlermeldungen und Hinweise persistent
(dauernd) oder temporär verfügbar zu halten.
Ähnliches gilt für Installationsprogramme,
Firewalls, Virenscanner und dergleichen. “
6. Logs geben die Möglichkeit
Dinge zu einem späteren
Zeitpunkt nachzuvollziehen
7. Warum sollte ich vergänglichen
und unnützen Daten
Aufmerksamkeit schenken?
10. Aug 16 18:18:19 d8.jalogis.ch sshd[26944]: fatal: Unable
to negotiate a key exchange method [preauth]
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: reverse
mapping checking getaddrinfo for hn.kd.ny.adsl
[222.138.139.252] failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Invalid user
admin from 222.138.139.252
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]:
input_userauth_request: invalid user admin [preauth]
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Connection
closed by 222.138.139.252 [preauth]
Aug 16 18:19:16 d8.jalogis.ch sshd[26948]: fatal: Unable
to negotiate a key exchange method [preauth]
17. lokales Sammeln
• Ist der Host nicht erreichbar, gibt es kein Log
• Lokale Logs erlauben es nicht, globale
Ereignisse zu verfolg en
• Kompromittierte Systeme sind manipuliert
27. Aug 16 18:18:19 d8.jalogis.ch sshd[26944]: fatal: Unable
to negotiate a key exchange method [preauth]
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: reverse
mapping checking getaddrinfo for hn.kd.ny.adsl
[222.138.139.252] failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Invalid user
admin from 222.138.139.252
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]:
input_userauth_request: invalid user admin [preauth]
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Connection
closed by 222.138.139.252 [preauth]
Aug 16 18:19:16 d8.jalogis.ch sshd[26948]: fatal: Unable
to negotiate a key exchange method [preauth]
30. Aug 16 18:18:19 d8.jalogis.ch sshd[26944]: fatal: Unable
to negotiate a key exchange method [preauth]
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: reverse
mapping checking getaddrinfo for hn.kd.ny.adsl
[222.138.139.252] failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Invalid user
admin from 222.138.139.252
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]:
input_userauth_request: invalid user admin [preauth]
Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Connection
closed by 222.138.139.252 [preauth]
Aug 16 18:19:16 d8.jalogis.ch sshd[26948]: fatal: Unable
to negotiate a key exchange method [preauth]