Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly
Loading...

{{viewport.spaceProperty.prod}}

Protokollierung im BS2000-System

&pagelevel(2)&pagelevel

Im Betriebssystem BS2000, wie auch in jedem anderen Betriebssystem wird sichergestellt, dass die Systemverwaltung über alle relevanten Ereignisse informiert wird. Relevante Ereignisse können durch Hardware- und/oder Software, wie auch von Benutzeraktionen und automatisierten Prozessen ausgelöst werden.  All diese Ereignisse werden im System protokolliert.

Die nachstehende Abbildung stellt die typische Protokollierung des Informationsflusses im Betriebssystem BS2000 dar:


Die Menge der von einem Betriebssystem erzeugten Ereignisse kann beträchtlich sein. Daher werden in internen und externen Protokollierungs- und Auswerte-Tools spezifische Filter- und Auswahlfunktionen angeboten. Auf diese wird im vorliegenden Handbuch nicht weiter eingegangen.

Im BS2000 werden abhängig von der Protokollierungsinstanz Ereignisse in unterschiedlichen Formaten protokolliert, z.B. in einem binären Format für SAT, oder auch Meldungen in einem abdruckbaren Format in CONSLOG. 

Mit CLIP sollen künftig im BS2000 sicherheitsrelevante Meldungen und Ereignisse unterschiedlicher Formate auf ein einheitliches Format abgebildet werden, das von einem externen Syslog-Server weiter verarbeitet werden kann.

In einer ersten Stufe werden ab BS2000 V21.0B SAT-Ereignisse additiv und automatisch an das Subsystem CLIP weitergeleitet und für eine externe Auswertung bereitgestellt. Eintreffende SAT-Ereignisse werden von CLIP empfangen, in das Syslog-Protokoll umgesetzt und über Sockets an einen Syslog-Server gesendet.

Wichtiger Hinweis

HEADER- und TRAILER-Satz einer SAT-Datei werden direkt in die Datei geschrieben. Die zugehörigen SAT-Events ZBG und ZND werden deshalb nicht an CLIP übertragen und können dort nicht protokolliert werden.


Die nachstehende Abbildung zeigt ein Beispiel einer CLIP-Konfiguration:



Im folgenden dargestellten möglichen Szenario werden als Beispiel Rsyslog-Server verwendet. Diese empfangen und speichern die Ereignisse für jeweils mehrere BS2000-Systeme. Die Rsyslog-Server selber können die Ereignisse auch an einen zentralen Rsyslog-Server weiterleiten, der wiederum alle Ereignisse sammelt, um sie im Anschluss z.B. an eine SIEM-Instanz zur Auswertung zu senden. Das in diesem Beispiel dargestellte Szenario verdeutlicht die Skalierbarkeit der Infrastruktur. 

Powered by Atlassian Confluence and Scroll Viewport.