Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly
Loading...

{{viewport.spaceProperty.prod}}

Protokollierung im BS2000-System

&pagelevel(2)&pagelevel

Im Betriebssystem BS2000, wie auch in jedem anderen Betriebssystem wird sichergestellt, dass die Systemverwaltung über alle relevanten Ereignisse informiert wird. Relevante Ereignisse können durch Hardware- und/oder Software, wie auch von Benutzeraktionen und automatisierten Prozessen ausgelöst werden. 

All diese Ereignisse werden im System von unterschiedlichen Instanzen und in unterschiedlichen Dateien protokolliert. Im BS2000 sind dies z.B. SAT, ACCOUNTING, CONSLOG, etc. Abhängig von der Protokollierungsinstanz werden daher Ereignisse in unterschiedlichen Formaten protokolliert (z.B. in einem binären Format für SAT, oder auch Meldungen in einem abdruckbaren Format in CONSLOG). 

Die nachstehende Abbildung stellt die typische Protokollierung des Informationsflusses im Betriebssystem BS2000 dar, die für eine Auswertung in Frage kommen:


Die Menge der von einem Betriebssystem erzeugten und protokollierten Ereignisse kann beträchtlich sein. Daher werden in internen und externen Protokollierungs- und Auswerte-Tools im BS2000 spezifische Filter- und Auswertefunktionen angeboten und in der BS2000 Dokumentation beschrieben. 

Das Subsystem CLIP stellt im BS2000 eine gemeinsame Schnittstelle bereit, die von unterschiedlichen Instanzen produzierte sicherheitsrelevante BS2000 Meldungen und Ereignisse sammelt auf das einheitliche Syslog Protokollformat abbildet und zur Weiterverarbeitung an einem externen Server, wie zum Beispiel einen rSyslog-Server, sendet. Von da können diese dann an eine zentrale SIEM Instanz zur Auswertung weiter geleitet werden.

In der aktuellen Version von CLIP werden für BS2000 diese Ereignisse unterstützt und für eine externe Auswertung bereitgestellt:

  • SAT (Security Audit Trail)
  • ACCOUNTING (Abrechnungssätze)

Im folgenden dargestellten möglichen Szenario werden als Beispiel rSyslog-Server verwendet. Diese empfangen und speichern die Ereignisse für jeweils mehrere BS2000-Systeme. Die rSyslog-Server selber können auch kaskadieren, also die Ereignisse auch an einen zentralen rSyslog-Server weiterleiten, der wiederum alle Ereignisse sammelt, um sie im Anschluss z.B. an eine SIEM-Instanz zur Auswertung zu senden. Das in diesem Beispiel dargestellte Szenario verdeutlicht die Skalierbarkeit der Infrastruktur. 

Powered by Atlassian Confluence and Scroll Viewport.