Log-Analyse
Was ist Log-Analyse?
Log-AnalyseSystematische Auswertung von System-, Anwendungs- und Sicherheits-Logs, um sicherheitsrelevante Ereignisse zu erkennen, zu untersuchen und zu rekonstruieren.
Die Log-Analyse untersucht Ereignisaufzeichnungen aus Betriebssystemen, Netzwerkkomponenten, Anwendungen und Sicherheitswerkzeugen — etwa Windows EVTX, Linux-Syslog/journald, Webserver-Logs, Firewall-Flows, EDR-Telemetrie sowie Cloud-Audit-Logs wie AWS CloudTrail oder Microsoft 365 Unified Audit Log. Analysten parsen, normalisieren und korrelieren diese Quellen meist in einem SIEM, um Auffälligkeiten bei Authentifizierung, Befehlsausführung, lateraler Bewegung und Exfiltration zu erkennen. Übliche Werkzeuge sind Splunk, Elastic, Chainsaw, Hayabusa, EvtxECmd und Sigma-Regeln. Wirksam wird die Methode durch korrekte Zeitsynchronisation, ausreichende Aufbewahrung und ein Baseline-Verständnis des Normalbetriebs.
● Beispiele
- 01
Suche nach Kerberoasting durch Auswertung von Windows-Ereignis-ID 4769 in Splunk.
- 02
Korrelation fehlgeschlagener AWS-CloudTrail-ConsoleLogins mit erfolgreichen Anmeldungen aus einer neuen IP.
● Häufige Fragen
Was ist Log-Analyse?
Systematische Auswertung von System-, Anwendungs- und Sicherheits-Logs, um sicherheitsrelevante Ereignisse zu erkennen, zu untersuchen und zu rekonstruieren. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Log-Analyse?
Systematische Auswertung von System-, Anwendungs- und Sicherheits-Logs, um sicherheitsrelevante Ereignisse zu erkennen, zu untersuchen und zu rekonstruieren.
Wie schützt man sich gegen Log-Analyse?
Schutzmaßnahmen gegen Log-Analyse kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Log-Analyse?
Übliche alternative Bezeichnungen: Ereignisprotokollanalyse, Sicherheits-Log-Auswertung.