Benefits of centralized log file correlation
Abstract
NORSK:
Nettverks administratorer kan korrelere oppføringer i loggfiler manuelt, problemet
med slike tilnærminger er manglende grad av fleksibilitet, det er tidkrevende, og man
får ikke overblikket over loggfilene i nettverket. Uten dette overblikket er det vanskelig
å korrelere informasjon mellom nettverkskomponenter, og hendelser som
tilsynelatende er uvesentlige for seg selv, kan i virkeligheten være en bit i et større
trusselbilde.
Denne oppgaven ser på noen av de produktene som eksisterer i dag, og forsøker å
samsvare erfaringer og design prinsipper fra informasjon og whitepapers som finnes
på deres hjemmesider, med forskning på området. Mange påstander finnes i
litteraturen, men det har ikke vært mulig å finne forskning som forsøker å måle de
påståtte gevinstene med slike tilnærminger. Som vi skal se består ett slikt system av
flere deler, og i denne oppgaven er det utviklet den enkleste form for prototyp som
sentraliserer loggfiler fra ett lite nettverk, og tilbyr muligheten til å browse og søke i
disse loggfilene. Hensikten med prototypen er å påvise at det med minimal innsats er
mulig å redusere tidsforbruket ved loggfilkorrelasjon med et slikt system, i den
forbindelse er det utviklet metrikker for å måle forskjellen i tidsforbruk i et nettverk
med prototypen og et nettverk uten prototypen. ENGELSK:
Network administrators are able to correlate log file entries manually. The problem
with this approach is lack of flexibility, it is time consuming, and one doesn’t get the
general view of the log files in the network. Without this general view it is hard to
correlate information between the network components, and events seemingly
unessential by them selves, can in reality be a piece of a larger threat.
This thesis analyses some of the existing products, and tries to correspond experience
and design principles found in the information and whitepapers on their web pages
with research in this area. A lot of claims are found in the literature, but it has not been
possible to find any research trying to measure the alleged benefits of the approaches.
As we shall see, such systems consist of several parts, and in this thesis the simplest
form of prototype that centralizes log files from a small network is developed that gives
the ability to browse and search in these log files. The purpose of the prototype is to
prove that it is possible with minimal effort to reduce the time consumption doing log
file correlation with such a system. In conjunction with this, metrics are developed to
measure the difference in time consumed in a network with the prototype and a
network without the prototype.