Neue Entwicklungen in syslog

von Rainer Gerhards (Adiscon GmbH)

Freitag, 24.06.2005, UG1: Thoma, 16:00-17:00 Uhr

Syslog wird seit vielen Jahren sowohl im Bereich des Trouble-Shooting als auch für Security-Überwachung und -Auditierung eingesetzt. Seine weite Verbreitung verdankt syslog nicht zuletzt dem extrem simplen Protokollaufbau. Daraus ergeben sich in der Praxis leider auch einige Schwierigkeiten: das Meldungsformat ist nicht normiert, die Sicherheit des Protokolls ist quasi nicht vorhanden und auch die verlustfreie Datenübermittlung ist nicht garantiert. Verschiedene Implementierungen (z.B. syslog-ng, Cisco PIX) versuchen einige dieser Probleme mit Protokollerweiterungen zu beheben. Dies führt jedoch zu Inkompatibilitäten.

Im Rahmen der IETF hat sich deshalb im Jahr 2000 eine Arbeitsgruppe gebildet, deren Zielsetzung die Fortentwicklung des syslog-Protokolls ist. Insbesondere soll die gesicherte und sichere Übertragung von syslog-Meldungen erreicht werden. Hierzu wurden im Rahmen von RC 3195 bereits erste Mechanismen geschaffen. Seit August 2003 wird ausserdem an der Standardisierung des Meldungsformates sowie einer schichtenbasierenden Protokollarchitektur gearbeitet. Diese Spezifikation sind kurz vor ihrer Fertigstellung.

Im Rahmen des Vortrags werden die neuen Bestrebungen aufgezeigt. Insbesondere wird eine Erklärung für Notwendigkeit, Zielsetzung und Aufbau der geplanten Schichtenarchitektur geliefert.

Darüber hinaus wird kurz auf bereits existierende Implementierungen der neuerenVerfahren eingegangen. Namentlich sind dies SDSC syslog, liblogging und rsyslog.

Dieser Vortrag vermittelt einen Überblick über neuere Entwicklungen im Syslog-Umfeld. Es richtet sich primär an Systemplaner und Entwickler. Es ist NICHT dazu gedacht, eine praktische Einführung in die Benutzung von syslog zu leisten.

Der Speaker ist Mitglied der IETF Arbeitsgruppe und Autor des momentan in Entwicklung befindlichen Internet-Drafts zum Syslog-Protokoll. Er ist ausserdem Autor einer Open Source Library zu RFC 3195 (liblogging) sowie eines alternativen syslogd (rsyslog).

Über den Autor Rainer Gerhards:

Rainer Gerhards ist Entwicklungsleiter bei der Adiscon GmbH. Dort ist er für die Entwicklung von Monitoringlösungen verantwortlich. Formal ist er Betriebswirt/Wirtschaftsinformatik, sein Herz gilt aber dem techischen Bereich. Er beschäftigt sich seit 1983 vornehmlich mit systemnaher Programmierung unter verschiedensten Betriebssystemen. Seine ersten Erfahrungen mit Open Source gehen auf die 80er Jahre im Public Domain Umfeld zurück. Mit der aktuellen Open Source Umgebung beschäftigt er sich erst seit knapp zwei Jahren. Hier in Form des Maintainers für liblogging und rsyslog, beides syslog-Implementierungen. In der Zeit dazwischen, und auch immer noch, arbeitet er an closed source unter Windows. Rainer Gehards ist Mitglied der IETF-Syslog Arbeitsgruppe und Autor des künftigen RFCs zum Syslog-Protokoll. Er lebt in Großrinderfeld bei Würzburg.