Menü „Protokolle“

Im Protokollabschnitt der GateDefender-Appliance können Protokolle umfangreich angezeigt und verwaltet werden.

Das Untermenü im linken Teil des Bildschirms enthält folgende Elemente:

• Live – Sofortansicht der neuesten Protokolleinträge
• Zusammenfassung – tägliche Zusammenfassung sämtlicher Protokolle
• System – Systemprotokolle (/var/log/messages), gefiltert nach Quelle und Datum
• Dienst – Protokolle aus dem Intrusion Detection System (IDS), OpenVPN und Antivirus
• Firewall – Protokolle von iptables-Regeln
• Proxy – HTTP-/SMTP-Protokolle und Protokolle aus Proxys mit Inhaltsfilterung
• Einstellungen – Anpassung von Protokolloptionen
• Gesicherte Zeitstempel – Protokolldateien mit einem Zeitstempel versehen, um Änderungen festzustellen

Es gibt zwei Möglichkeiten, um über die GUI auf Protokolle zuzugreifen: Live und „dienstabhängig“: Im Live-Modus werden die Protokolldateien direkt nach ihrer Erstellung angezeigt. Im dienstabhängigen Modus werden nur die Protokolle angezeigt, die von einem bestimmten Daemon oder Dienst erzeugt werden.

Live

Beim Aufrufen des Abschnitts Protokolle oder durch Klicken auf den Eintrag Live im Untermenü wird die Live Protokollanzeige angezeigt. Dort werden sämtliche Protokolldateien aufgelistet, die für die Echtzeitansicht zur Verfügung stehen. Sie können beliebig viele Protokolle durch Aktivieren der entsprechenden Kontrollkästchen zur Ansicht auswählen. Die Protokolle werden nach Betätigen der Schaltfläche Ausgewählte Protokolle anzeigen in einem neuen Fenster angezeigt. Um alle Protokolle gleichzeitig anzuzeigen, aktivieren Sie das Kontrollkästchen Alle auswählen direkt über der Schaltfläche Ausgewählte Protokolle anzeigen, und klicken Sie anschließend auf letztgenannte Schaltfläche. Wenn Sie nur eine einzige Protokolldatei anzeigen möchten, klicken Sie einfach auf den Link Nur dieses Protokoll anzeigen.

Das nun angezeigte Fenster enthält zwei Felder – oben das Feld Einstellungen, unten das Feld Live Protokolle.

Warnung

Bei einer sehr hohen Zahl an Protokolleinträgen kann die Protokollliste bei gleichzeitiger Anzeige mehrerer Protokolle äußerst unübersichtlich werden (insbesondere bei der Firewall- oder Proxy-Protokollierung, bei der mehrere Protokolleinträge pro Sekundeerzeugt werden können). In solchen Fällen können Sie die Protokolle, die Sie anzeigen möchten, im Feld Einstellungen konfigurieren.

Einstellungen

In diesem Feld können Sie die Einstellungen der Protokollanzeige ändern. Sie können festlegen, welche Protokolldateien angezeigt werden sollen sowie Farbgebung und Hervorhebungsoptionen ändern. Außerdem können Sie nach bestimmten Schlüsselwörtern suchen.

Rechts im Feld wird die Liste der derzeit dargestellten Protokolle sowie die jeweilige farbliche Markierung angezeigt. Links im Feld werden einige zusätzliche Steuerelemente angezeigt, mit denen Sie die Ausgabe einschränken können:

Filter

Es werden nur die Protokolleinträge angezeigt, die den festgelegten Ausdruck enthalten.

Zusätzlicher Filter

Funktion siehe oben; allerdings wird dieser Filter auf die Ausgabe des ersten Filters angewandt. Anders ausgedrückt: Es werden nur Protokolleinträge angezeigt, die beide Ausdrücke enthalten.

Ausgabe aussetzen

Durch Betätigen dieser Schaltfläche werden neue Protokolleinträge nicht im Live-Protokoll angezeigt. Nach erneutem Betätigen der Schaltfläche werden alle neuen Einträge gleichzeitig angezeigt. Die älteren Einträge werden dabei schnell durchlaufen.

Hervorhebung

Sämtliche Protokolleinträge, die diesen Ausdruck enthalten, werden durch einen ausgewählten Farbton hervorgehoben. Der Unterschied zur Filteroption besteht darin, dass auch weiterhin sämtliche Inhalte angezeigt werden und die Protokolleinträge, die den betreffenden Ausdruck enthalten, zusätzlich farblich hervorgehoben werden.

Farbe für Hervorhebungen

Durch Klicken auf das farbige Quadrat kann der zur Hervorhebung zu verwendende Farbton ausgewählt werden.

Automatisch scrollen

Diese Option steht nur zur Verfügung, wenn die Option In umgekehrter chronologischer Reihenfolge sortieren im Abschnitt Menüleiste ‣ Protokolle ‣ Einstellungen deaktiviert ist. Dadurch werden alle neuen Einträge unten auf der Seite angezeigt: Wenn diese Option aktiviert ist, wird die Liste nach oben gescrollt, um die neuesten Einträge am Ende der Seite anzuzeigen. Andernfalls werden nur die älteren Einträge angezeigt, und die Bildlaufleiste auf der rechten Seite muss zur Ansicht der neuen Protokolleinträge verwendet werden.

Um Protokolle zur Ansicht hinzuzufügen oder von der Ansicht zu entfernen, klicken Sie auf den Link Mehr anzeigen direkt unter der Liste mit den Protokolldateien (rechts oben). Die Steuerelemente werden durch eine Tabelle ersetzt, in der Sie die gewünschten Protokolldateien durch Aktivieren bzw. Deaktivieren der entsprechenden Kontrollkästchen auswählen können. Um die Farbe einer Protokolldatei zu ändern, klicken Sie für den entsprechenden Protokolltypen auf Farbpalette, und wählen die gewünschte Farbe aus. Um die Steuerelemente wieder anzuzeigen, klicken Sie auf einen der Links Schließen unter der Tabelle bzw. unter der Liste der angezeigten Protokolldateien.

Live Logs

Die zur Ansicht ausgewählten Protokolle werden in diesem Feld angezeigt, das eine Tabelle mit drei Spalten enthält.

Linke Spalte

Diese Spalte enthält den Protokollnamen, d. h. den Namen des Daemons bzw. Dienstes, der den Protokolleintrag erzeugt.

Mittlere Spalte

Der Zeitstempel (Datum und Uhrzeit) des aufgezeichneten Ereignisses.

Rechte Spalte

Die vom Dienst bzw. Daemon erstellte und in den Protokolldateien erfasste Meldung.

Schließlich können Sie auch das Fenster vergrößern bzw. verkleinern, indem Sie auf die Schaltflächen Fensterhöhe vergrößern bzw. Fensterhöhe reduzieren klicken, welche sich in der Feldüberschrift befinden.

Gemeinsame Aktionen

In den Untermenüeinträgen System, Dienst, Firewall und Proxy werden Protokolldateien verschiedener Dienste und Daemons angezeigt, die nach ähnlichen Merkmalen gruppiert sind. Es stehen verschiedene Steuerelemente zur Verfügung, mit denen Protokolle durchsucht bzw. einzelne Protokolleinträge angezeigt werden können. Viele Steuerelemente sind für alle Dienste und Daemons identisch. Nur beim Menüelement System und der Registerkarte HTTP Report unter Proxy stehen zusätzliche Steuerelemente zur Verfügung. Die Seiten der Untermenüeinträge sind in gleicher Art und Weise in zwei Felder gegliedert: oben das Feld Einstellungen, unten das Feld Protokoll.

Filter

Es werden nur die Zeilen angezeigt, die den festgelegten Ausdruck enthalten.

Gehe zu Datum

Protokolleinträge ab dem angegebenen Datum werden angezeigt.

Gehe zur Seite

Protokolleinträge von dieser Seite werden direkt im Resultset angezeigt. Die Anzahl der angezeigten Einträge pro Seite kann auf der Seite Menüleiste ‣ Protokolle ‣ Einstellungen geändert werden.

Update

Nach dem Vornehmen der oben genannten Einstellungen können Sie durch Betätigen dieser Schaltfläche den Seiteninhalt aktualisieren. Die Seite wird nicht automatisch aktualisiert.

Export

Durch Betätigen dieser Schaltfläche werden die Protokolleinträge in eine Textdatei exportiert.

Protokoll signieren

Durch Betätigen dieses Links wird das aktuelle Protokoll signiert. Diese Schaltfläche ist nur verfügbar, wenn die Option Gesicherte Zeitstempel aktiviert ist.

Älter, Neuer

Diese beiden Schaltflächen finden Sie im Feld Protokoll. Sie werden angezeigt, wenn die Anzahl der Einträge stark ansteigt. In diesem Fall werden die Einträge in zwei oder mehrere Teile gegliedert. Mithilfe dieser Schaltflächen können Sie ältere oder neuere Einträge aus den Suchergebnissen anzeigen.

Bemerkung

Eine Meldung oben auf der Seite informiert Sie, wenn für ein bestimmtes Datum keine Protokolle verfügbar sind: Dies kann vorkommen, wenn der Daemon bzw. Dienst nicht aktiv waren oder keine Nachricht erzeugt haben.

Im nachfolgenden Teil dieses Abschnitts werden sämtliche Dienste und die dazugehörigen Einstellungen beschrieben.

Zusammenfassung

Auf dieser Seite werden Zusammenfassungen der Protokolle angezeigt, die durch die Panda GateDefender-Appliance erzeugt wurden. Sie sind nach Tagen geordnet und werden mithilfe der Protokollüberwachungs-Software Logwatch erstellt. Im Gegensatz zu den anderen Teilen des Protokollbereichs stehen hier Einstellungen zur Verfügung, mit denen Sie die Ausführlichkeit der Informationen bestimmen können. Folgende Steuerelemente sind im ersten Feld am Seitenanfang verfügbar:

Monat

Wählen Sie aus diesem Dropdown-Menü den Monat aus, in dem die Protokollmeldungen erstellt wurden.

Tag

Im zweiten Dropdown-Menü können Sie den Tag auswählen, an dem die Protokollmeldungen erstellt wurden.

<<, >>

Durchsuchen Sie den Protokollverlauf, indem Sie mithilfe der Schaltflächen die einzelnen Tage auswählen (oder abschnittsweise, wenn zu viele Meldungen am selben Tag erstellt wurden). Der Seiteninhalt wird automatisch aktualisiert.

Update

Sofortige Aktualisierung des Seiteninhalts bei Änderung der Angaben zum Monat/Tag.

Export

Durch Betätigen dieser Schaltfläche wird die Zusammenfassung in Textform angezeigt und kann auf dem lokalen Dateisystem gespeichert werden.

Unterhalb des Felds Einstellungen wird – abhängig von den ausgeführten Diensten, für die Protokolleinträge verfügbar sind – eine variable Anzahl von Feldern angezeigt. Hierbei sollte das Feld Speicherplatz möglichst sichtbar sein, da es den verfügbaren Speicherplatz zum gewählten Zeitpunkt anzeigt. Weitere Felder, die zusätzlich angezeigt werden können, sind Postfix (E-Mail-Warteschlange) und Firewall (akzeptierte und abgelehnte Pakete).

Beachten Sie, dass keine Zusammenfassungen für den aktuellen Tag verfügbar sind. Diese werden über Nacht aus den am Tag zuvor erzeugten Protokolldateien erstellt.

System

In diesem Abschnitt wird die Protokollanzeige für die verschiedenen Systemprotokolldateien angezeigt. Im oberen Feld Einstellungen werden die Kriterien für die Ansicht der Einträge im unteren Feld festgelegt. Neben den gemeinsamen Aktionen steht ein zusätzliches Steuerelement zur Verfügung:

Abschnitt

Die Protokolltypen, die angezeigt werden sollten – entweder Alle oder nur diejenigen, die sich auf einen bestimmten Dienst oder Daemon beziehen. Unter anderem sind dies Kernelmeldungen, Zugriffe über SSH, NTP usw.

Klicken Sie dem Beispiel in diesem Abschnitt entsprechend auf die Schaltfläche Update, um die im Feld Protokoll angezeigten Protokolle am Ende der Seite zu aktualisieren. Im genannten Feld können Sie mithilfe der Schaltflächen Ältere und Neuere die Seiten durchsuchen.

Dienst

In diesem Abschnitt werden die Protokolleinträge der zwei wichtigsten Dienste angezeigt, die von der Panda GateDefender-Appliance bereitgestellt werden: IDS und OpenVPN. Diese Dienste verfügen jeweils über eine eigene Registerkarte. Nur die gemeinsamen Aktionen sind verfügbar.

Firewall

Die Protokollanzeige der Firewall enthält die Meldungen über die Aktivitäten der Firewall. Nur die gemeinsamen Aktionen sind verfügbar.

Proxy

In der Protokollanzeige des Proxy werden die Protokolle für die vier Daemons angezeigt, die den Proxy verwenden. Jeder Daemon hat eine eigene Registerkarte: Squid (HTTP), DansGuardian (Inhaltsfilter), SARG (HTTP Report) und SMTPD (SMTP, E-Mail-Proxy).

HTTP und Inhaltsfilter

Zusätzlich zu den gemeinsamen Aktionen können bei der Protokollanzeige folgende Werte für die Daemons „Squid“ und „DansGuardian“ spezifiziert werden:

Quell IP

Zeigt nur die Protokolleinträge mit der gewünschten Quell-IP-Adresse an, die aus einem Dropdown-Menü ausgewählt wird.

Ignorieren Filter

Ein regulärer Ausdruck, mit dem sämtliche Protokolleinträge herausgefiltert werden, die den betreffenden Ausdruck enthalten.

Ignorieren Filter aktivieren

Aktivieren Sie dieses Kontrollkästchen, um den Ignorieren-Filter vorübergehend zu deaktivieren.

Standardeinstellungen wiederherstellen

Durch Betätigen dieser Schaltfläche werden die standardmäßig eingestellten Suchparameter wiederhergestellt.

HTTP-Bericht

Die Registerkarte HTTP Report bietet lediglich eine Option: Sie können den Proxyanalysengenerator aktivieren bzw. deaktivieren, indem Sie das Kontrollkäschen Aktivieren aktivieren und anschließend auf die Schaltfläche Speichern klicken. Nach Aktivieren des Analysengenerators werden durch Klicken auf die Links Täglicher Report, Wöchentlicher Report und Monatlicher Report detaillierte HTTP-Berichte angezeigt.

SMTP

Nur die gemeinsamen Aktionen sind in der Registerkarte des Postfix- Daemons verfügbar.

Einstellungen

Diese Seite enthält sämtliche globale Konfigurationselemente für die Protokollierungsprogramme der Panda GateDefender-Appliances. Sie sind in vier Felder unterteilt: Protokoll Ansichtsoptionen, Protokollübersicht, Remote logging und Firewall Log

Ansichtsoptionen

Anzahl der anzuzeigenden Zeilen

Der Paginierungs-Wert, d. h. wie viele Zeilen pro Protokollseite angezeigt werden.

In umgekehrter chronologischer Reihenfolge sortieren

Wenn dieses Kontrollkästchen aktiviert ist, werden die neuesten Protokolleinträge zuerst angezeigt.

Protokollübersicht

Zusammenfassungen für __ Tage aufheben

Hier können Sie festlegen, wie lange die Protokollübersichten vor dem Löschen auf der Festplatte gespeichert werden sollten.

Detaillierungsgrad

Die Detailstufe, die für die Protokollübersicht anzuwenden ist: je höher der Detaillierungsgrad, desto mehr Protokolleinträge werden gespeichert und angezeigt. Das Dropdown-Menü bietet drei Detaillierungsgrade: Niedrig, Mittel und Hoch.

Remote logging

Aktiviert (Remote logging)

Durch Aktivieren dieses Kästchens wird die Remote-Protokollierung aktiviert. Mithilfe der folgenden Option kann der Hostname des syslog-Servers eingegeben werden.

Syslog server

Der Hostname des Remote-Servers, an den die Protokolle gesendet werden. Der Server muss die neuesten syslog-Protokollstandards der IETF unterstützen.

Firewall Log

Pakete mit verdächtigen TCP Flags protokollieren

Wenn diese Option aktiviert ist, werden Pakete mit verdächtigen TCP Flags protokolliert (es werden beispielsweise sämtliche Flags gesetzt).

NEUE Verbindungen ohne SYN Flag protokollieren

Bei Aktivierung dieser Option werden sämtliche neue TCP-Verbindungen ohne SYN Flag protokolliert.

Alle akzeptierten ausgehenden Verbindungen protokollieren

Um alle akzeptierten ausgehenden Verbindungen zu protokollieren, muss dieses Kontrollkästchen aktiviert sein.

Abgelehnte Pakete protokollieren

Bei Aktivierung dieser Option werden alle abgelehnten Pakete von der Firewall protokolliert.

Gesicherte Zeitstempel

Das gesicherte Zeitstempeln ist ein Prozess, dem Protokolldateien (und generell sämtliche Dokumente) unterzogen werden, um ihre Herkunft und die Übereinstimmung mit dem Original zu prüfen und zu bestätigen. Anders ausgedrückt: Durch das gesicherte Zeitstempeln kann man überprüfen und bestätigen, dass eine Protokolldatei in keinster Weise von irgendeiner Person geändert wurde, auch nicht vom ursprünglichen Verfasser. Im Falle von Protokolldateien hat sich das gesicherte Zeitstempeln zur Überprüfung der Zugriffe auf das System oder der Verbindungen von VPN-Benutzern als nützlich erwiesen, selbst im Falle unabhängiger Nachprüfungen.

Das gesicherte Zeitstempeln ist standardmäßig nicht aktiviert. Es lässt sich jedoch mit nur einem Klick auf den grauen Schalter aktivieren. Wenn der Schalter auf grün wechselt, werden einige Konfigurationsoptionen angezeigt.

URL des Servers zur Erstellung der Zeitstempel

Die URL des Servers zur Erstellung der Zeitstempel (auch TSA genannt) ist zwingend erforderlich, da die Protokolldateien von diesem Server signiert werden.

Bemerkung

Für das gesicherte Zeitstempeln wird eine gültige URL von einem gültigen TSA benötigt. Verschiedene Unternehmen bieten diesen Dienst an.

HTTP-Authentifizierung

Aktivieren Sie das Kontrollkästchen unter HTTP-Authentifizierung, wenn für den zur Erstellung der Zeitstempel verwendeten Server eine Authentifizierung erforderlich ist.

Benutzername

Der Benutzername, der zur Authentifizierung auf dem betroffenen Server verwendet wird.

Passwort

Das Passwort, das zur Authentifizierung auf dem betroffenen Server verwendet wird.

Öffentlicher Schlüssel des Servers zur Erstellung der Zeitstempel

Zur Erleichterung der Kommunikation und zur Erhöhung der Sicherheit kann der öffentliche Schlüssel des Servers importiert werden. Sie können die Zertifikatsdatei auf dem lokalen Computer suchen, indem Sie auf die Schaltfläche Durchsuchen... klicken, und Sie sie anschließend in der PandaGateDefender-Appliance durch Betätigen der Schaltfläche Hochladen hochladen. Nach Speicherung des Zertifikats wird links neben der Aufschrift Öffentlicher Schlüssel des Servers zur Erstellung der Zeitstempel ein Download-Link angezeigt. Durch Klicken auf den Link können Sie das Zertifikat abrufen – beispielsweise wenn es auf einer anderen Panda GateDefender-Appliance installiert ist.

Nachdem Sie auf die Schaltfläche Speichern geklickt haben, werden die Einstellungen gespeichert. Am nächsten Tag wird im Abschnitt Protokolle rechts neben dem Feld Einstellungen eine neue Schaltfläche angezeigt.

Protokollsignatur überprüfen

Wenn Sie auf diese Schaltfläche klicken, wird eine Meldung in einer gelben Textbox angezeigt, die Sie über den Protokollstatus informiert.

Siehe auch

Die offizielle OpenSSL-Zeitstempeldokumentation und RFC 3161, in denen das Zeitstempelprotokoll erstmals definiert wurde.