Stratoshark vorgestellt: Liveanalyse von Systemaufrufen und Logs
Stratoshark bietet – ähnlich wie Wireshark für Netzwerke – Transparenz für Betriebssysteme und Apps durch Analyse von Systemcalls und Logs.
- Benjamin Pfister
Will man Fehler oder Sicherheitsvorkommnisse auf Betriebssystemebene analysieren, muss man die Ereignisse zuerst aufzeichnen und dann das Wesentliche herausfiltern. Im Netzwerk erledigt das seit ungefähr 30 Jahren das beliebte freie Werkzeug Wireshark. Jedoch bleiben Aktivitäten auf den Hostsystemen häufig verborgen und somit ein blinder Fleck in der Analyse. Das Open-Source-Tool Stratoshark der Wireshark-Stiftung begegnet dem mit der Analyse von Systemaufrufen und Logs.
Stratoshark analysiert Systemaufrufe und Lognachrichten, ähnlich wie Wireshark Netzwerkpakete untersucht. Systemaufrufe sind beispielsweise die Funktionen read(), write(), socket() oder sendmsg(). Das Tool baut in großen Teilen auf dem Quellcode von Wireshark auf. Dahinter steht Wireshark-Erfinder Gerald Combs, dessen Arbeitgeber Sysdig auch die zugehörigen Tools Falco und Sysdig zur Erfassung der Aktivitäten und Logs liefert.
- Der Wireshark-Zwilling Stratoshark analysiert analog zu Paketen im Netz Systemcalls und Logdaten auf einem Host.
- Die Open-Source-Software untersucht und filtert zuvor aufgezeichnete Dateien oder die Liveereignisse eines Systems.
- Analysieren lässt sich derzeit nur Linux, das GUI kann man jedoch auch mit Windows und macOS verwenden.
Die Software ergänzt Wireshark also um eine Analyse auf Betriebssystem- und Applikationsebene. Durch die Einblicke in Transaktionen zwischen Applikation und Betriebssystem erlangen Stratoshark-Nutzer ein besseres Verständnis des Applikationsverhaltens, was Troubleshooting und Sicherheitsanalysen effizienter macht.
Das war die Leseprobe unseres heise-Plus-Artikels "Stratoshark vorgestellt: Liveanalyse von Systemaufrufen und Logs". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
