Archivierung von Firewall-Logfiles
Die Logfiles von Firewalls und Squid-Proxy-Servern haben Beweiskraft. Hier sind die Maßnahmen zur Netzwerksicherheit dokumentiert. Hier liegt der Nachweis, dass die Compliance-Vorgaben eingehalten wurden. Hier können mit forensischen Analysen Beweismittel gesichert werden. Voraussetzung dafür ist allerdings, dass eine nachträgliche Veränderung der Log-Daten ausgeschlossen ist.
ManageEngine Firewall Analyzer setzt bei der Archivierung daher auf drei verschiedene Sicherheitsmaßnahmen, um die Logfiles revisionssicher zu archivieren: Die Daten erhalten einen Zeitstempel, werden verschlüsselt und mit einem Hash-Wert versehen.
Die Archivierungsintervalle können frei konfiguriert werden. Standardmäßig erfolgt die Archivierung der Rohdaten alle 24 Stunden. Nach sieben Tagen werden die Archivdateien dann komprimiert, um den Speicherplatzbedarf so gering wie möglich zu halten. Für die Auswertung und Reporterstellung können die Archivdaten jederzeit in die Datenbank des Firewall Analyzer geladen werden.
Da bei jeder Archivdatei selbstverständlich das Erstellungsdatum, die Dateigröße und der Host, von dem die Event-Logs stammen, vermerkt wird, lässt sich die richtige Datei bei Bedarf schnell und einfach finden.