forensics.cyber-kill-chain.ch

Log Files

Definition und Begriff

Logdateien sind fortlaufende Protokolle von Ereignissen. Die Ereignisse werden mit unterschiedlicher Detailtiefe dokumentiert. Häufig referenzieren Log Files auf Prozesse, die das Ereignis ausgelöst oder selbst in die Protokolldatei geschrieben haben. Ebenso wird regelmässig ein Zeitstempel hinzugefügt. Dieser Zeitstempel basiert häufig auf der sog. “Unix epoch”, wobei es sich um die Anzahl Sekunden seit Mitternacht des 01.01.1970 (UTC/GMT) handelt.

Synonyme benutzte Begriffe: Protokolldatei, Ereignisprotokoll, Eventlog, log file, log.

Praktische Relevanz

Logdateien sind ein zentrales Beweismittel. Nahezu jedes Gerät führt irgendeine Art von Logdatei. Logging-Facilities müssen mit besonderer Sorgfalt konfiguriert, verwaltet, gesichert und die von ihnen generierten Logfiles sicher verwahrt werden.

In der Praxis zeigt sich, dass in vielen Unternehmen Defizite bei der Inventarisierung und Dokumentation ihrer Systeme bestehen und nicht resp. nicht genügend bekannt ist, wo welche Logfiles mit welchem Inhalt generiert werden.

Fundorte

Namentlich auf folgenden Geräten muss nach Log Files gesucht werden:
  • Desktop Computer (siehe auch HIDS/Host),
  • Mobile Computers,
  • Server,
  • NIDS,
  • Fahr- und Flugzeuge,
  • Smartphones1Siehe zum Ganzen ausführlich Bommisetty/Tamma/Mahalik für iOS bis iPhone 4 (S. 27 ff.), für Android bis v. 4.4 (S. 159 ff.), für Windows Phone bis v. 7(S. 255 ff.) sowie Blackberry bis v. 10.2(S. … Continue reading,
  • Operating Systems,
  • Applications2Kävrestad, Fundamentals, S. 42 und beispielhaft zur Auswertung der Logs S. 146; ,
  • Browsers3Obschon Browser an und für sich Applikationen darstellen, erhalten sie wegen ihrer herausragenden Bedeutung einen eigenen Listeneintrag. Für Browser-Forensik siehe z.B.: Altheide/Carvey , S. 143 … Continue reading,
  • Perimeter Devices (Routers, Switches etc.) 4Namentlich für Router: Geschonneck, S. 308;,
  • IoT-Devices (Internet of Things, Smart Devices).

Weit verbreitete Log File-Pfade

Linux5Siehe unter anderen: Altheide/Carvey , S. 116; Lin, S. 306 ff.; Messier, Network Forensics, S. 166 ff. und 212 ff.; Casey, Investigations (2003), S. 193 sowie Mohan/Anderson/Collie/Del … Continue reading

  • /var/log/kern
  • /var/log/message
  • /var/log/auth.log
  • /var/log/syslog
  • Journald-Journale

Windows6Siehe unter anderem: Altheide/Carvey , S. 84; Hassan, S. 226; Kävrestad, Fundamentals, S. 39 f.; Messier, Network Forensics, S. 224 ff.; Lin, S. 310 ff.

Unter Windows finden sich die Log Files des Windows Event Viewers unter “\Windows\System32\winevt\Logs\”.

Weitere Logs finden sich unter “Windows\System32\LogFiles”

Windows Event Viewer:

  • Application logs,
  • Security logs,
  • System logs.

Mac OS7Siehe unter anderem: Altheide/Carvey , S. 133; Messier, Network Forensics, S. 166 ff. und 212 ff.

Bei MacOS finden sich Log Files im benutzerspezifischen “Library/Logs/”-Verzeichnis, das grundsätzlich plaintext Log Files enthält

Zentrale Logserver

Wertvoll ist der Einsatz von zentralen Logservern8Messier, Network Forensics, S. 216., die nur einer stark beschränkten Nutzergruppe zugänglich sind; am besten ausschliesslich im Vier-Augen-Prinzip. Es sollte nicht ausschliesslich auf einen zentralen Logserver abgestützt werden, sondern die NIDS sollten zum einen eigenständig ihre Logs noch über einen längeren Zeitraum vorhalten können und zum andern sollten zentrale Logserver idealerweise Redundanzen und eine andere Lokalität aufweisen. Auch Logserver sollten Backuping betreiben.

Mögliche Indizien aus Log Files

Die Informationen, die aus Log Files gewonnen werden können, hängen stark mit der Konfiguration der Log Facilites und dem Schutz der Log Files zusammen.

Zur Veranschaulichung werden hier einige mögliche Erkenntnisse aus Log Files aufgeführt:9Angelehnt an Geschonneck, S. 153 f.

  • Anmeldeversuche,
  • Privilege Escalations (z.B. sudo),
  • Statusänderungen von Diensten (Start, Stop, Restart etc.),
  • User Creation,
  • Prozess-Crashes, Hardware-Fehler (z.B. als Folge eines Exploits),
  • Sperrungen von Zugängen (Blocking, Rate Limiting)
  • Anpassungen an den Netzwerkinterface (Promiscuous Mode, Domain Name Server, Gateway, Tunnel- und Tap-Devices)
 

Hinweise zur Beweissicherung bei Log Files

  • Die forensischen Grundsätze gelten bei Log Files uneingeschränkt;
  • Administratoren/Owner von Log Files oder Systemen mit relevanten Log Files oder von zentralen Log Verwaltungsinstanzen dürfen nicht die eigenen untersuchungen führen (vgl. )
  • Log Files müssen in einem Kontext betrachtet und analysiert werden: Es müssen gleichzeitig mit der Log File-Sicherung aktuelle Netzwerktopologien herausverlangt oder erstellt werden; anders lassen sich viele netzwerktechnische Sachverhalte nicht interpretieren;
  • Verschiedene Log Files müssen zeitlich synchronisiert werden, damit wird die zeitliche Interpretation der Vorkommnisse stark erleichtert10BSI, Leitfaden IT-Forensik, S. 203; Mohan/Anderson/Collie/Del Vel/McKemmish, S. 84 f.;
Overview: Log Files

Tools zur Log File-Analyse

Materialien

Referenzen
Referenzen
1 Siehe zum Ganzen ausführlich Bommisetty/Tamma/Mahalik für iOS bis iPhone 4 (S. 27 ff.), für Android bis v. 4.4 (S. 159 ff.), für Windows Phone bis v. 7(S. 255 ff.) sowie Blackberry bis v. 10.2(S. 272 ff.) (Stand bei Publikation von Bommisetty/Tamma/Mahalik im Jahr 2014); Geschonneck, S. 292;
2 Kävrestad, Fundamentals, S. 42 und beispielhaft zur Auswertung der Logs S. 146;
3 Obschon Browser an und für sich Applikationen darstellen, erhalten sie wegen ihrer herausragenden Bedeutung einen eigenen Listeneintrag. Für Browser-Forensik siehe z.B.: Altheide/Carvey , S. 143 ff.;
4 Namentlich für Router: Geschonneck, S. 308;
5 Siehe unter anderen: Altheide/Carvey , S. 116; Lin, S. 306 ff.; Messier, Network Forensics, S. 166 ff. und 212 ff.; Casey, Investigations (2003), S. 193 sowie Mohan/Anderson/Collie/Del Vel/McKemmish, S. 83 (für historisch Interessierte)
6 Siehe unter anderem: Altheide/Carvey , S. 84; Hassan, S. 226; Kävrestad, Fundamentals, S. 39 f.; Messier, Network Forensics, S. 224 ff.; Lin, S. 310 ff.
7 Siehe unter anderem: Altheide/Carvey , S. 133; Messier, Network Forensics, S. 166 ff. und 212 ff.
8 Messier, Network Forensics, S. 216.
9 Angelehnt an Geschonneck, S. 153 f.
10 BSI, Leitfaden IT-Forensik, S. 203; Mohan/Anderson/Collie/Del Vel/McKemmish, S. 84 f.