Die kommerzielle Premium Edition von Syslog-NG im Test

Es ist ein unterschätztes Feature jedes Betriebssystems, das leider oft erst bei Fehlern oder Einbrüchen in den Mittelpunkt rückt: das Systemprotokoll. Linux-Distributionen kombinieren meist den Klogd mit dem BSD-Syslogd. Der eine nimmt Meldungen vom Kernel entgegen, der andere von Userspace-Programmen. Die ungarische Firma Balabit und deren Chefentwickler Balázs Scheidler haben mit Syslog-NG seit 1998 einen Konkurrenten im Angebot, der den Weg in viele Distributionen gefunden hat. Jetzt erweitert Balabit das Open-Source-Angebot um eine kommerzielle Premium Edition für den Unternehmenseinsatz.

Der klassische BSD-Syslogd nimmt Meldungen über einen lokalen Socket »/dev/log« entgegen und speichert sie in lokalen Protokolldateien oder reicht sie per UDP an andere Server weiter. Die Konfiguration in »/etc/syslog.conf« legt fest, welche Meldungen der Daemon wo ablegt. Eric Allman entwickelte das Programm und dessen Protokoll in den 80er Jahren als Teil des Sendmail-Projekts. Als es seine Nützlichkeit unter Beweis stellte, begannen auch andere Entwickler den Syslog-Dienst für Systemmeldungen zu nutzen. Heute gibt es eine Vielzahl von Implementierungen für die verschiedensten Betriebssysteme.

Die Schattenseite

Das Original leidet an vielen Schwächen. Der BSD-Syslogd kann Nachrichten lediglich nach Facility (Quelle) und Severity (Schweregrad) filtern. Benötigt ein Analysewerkzeug ein bestimmtes Format, muss der Admin einen zusätzlichen Bearbeitungsschritt einflechten, da Syslog keine Modifikationen erlaubt.

Wichtig ist in der Praxis oft, die Meldungen auf einem zentralen Server zu sammeln. Syslogd kann das zwar, er sendet jedes Ereignis in einem UDP-Paket. Leider garantiert UDP nicht die Übertragung der Daten. Es führt in fehlerhaften oder überlasteten Netzwerken zu unbemerkten Paket- und damit Nachrichtenverlusten. Außerdem sendet Syslog die Daten ohne Authentifizierung, ohne Integritätssicherung und unverschlüsselt.

Bei dieser Fülle an Schwächen wundert es nicht, dass mehrere verbesserte Alternativen bereitstehen. Zu den wichtigsten Open-Source-Vertretern gehören Syslog-NG [1], Modular Syslogd [3] und Rsyslog [4]. Am beliebtesten ist Syslog-NG, unter anderem weil Novell/Suse ihn seit Jahren als Default-Syslog verwenden. Alle drei Programme erlauben es, teils mit zusätzlichen Hilfsmitteln, die erwähnten Probleme zu lösen.

Premium

Nun schickt Balabit eine weitere Variante auf den Markt. Die kommerzielle Premium Edition erweitert Syslog-NG im Wesentlichen um fünf Funktionen:

• TLS-Verschlüsselung
• Windows-Client
• Fluss-Steuerung
• Pufferung auf der Festplatte
• SQL-Unterstützung

Dank TLS authentifizieren sich Server und Client gegenseitig mit einem Zertifikat - und sie verschlüsseln die Verbindung. Kein Open-Source-Syslog bietet dieses Feature, aber mit Stunnel oder ähnlichen Programmen könnte es jeder Admin nachrüsten [5]. Voraussetzung hierzu ist der Einsatz von TCP als Transportprotokoll. Im Test gelang sogar ein Mischbetrieb der Premium Edition zusammen mit der Kombination aus Open-Source-Syslog-NG und Stunnel. Authentifizierung und Verschlüsselung funktionierten auf Anhieb.

Auch der Windows-Client ist übrigens nicht konkurrenzlos. Microsoft geht zwar eigene Wege beim Eventlog, es gibt aber seit vielen Jahren kommerzielle und freie Syslog-Implementierungen für Windows. Kiwi-Syslog [6] zum Beispiel ist kostenlos und unterstützt die Protokollierung auch über TCP.