# Wie kann ich im Enginsight SIEM ein externes Backup meiner Roh-Logs erstellen?

Die Enginsight SIEM-Komponente Loggernaut unterstützt aktuell zwei Backup-Strategien für die automatisierte Sicherung von Roh-Logs außerhalb der lokalen Speicherung auf dem SIEM Management Server:

* [SFTP-Backup](#backup-auf-einem-sftp-server): Die Roh-Logs werden zusätzlich zur lokalen Speicherung auf dem SIEM Management Server auf einem SFTP (Secure File Transfer Protocol)-Server gespeichert.
* [S3-Backup](#s3-backup-ohne-verschlusselung): Die Roh-Logs werden zusätzlich zur lokalen Speicherung auf dem SIEM Management Server auf Amazon S3 gespeichert.

***

## SFTP-Backup (ohne Verschlüsselung)

Speichere die Roh-Logs zusätzlich zur lokalen Speicherung auf dem SIEM Management Server auf einem SFTP-Server. 

Nimm dazu folgende Schritte vor:

{% stepper %}
{% step %}

### Loggernaut-Konfigurationsdatei öffnen

1. Logge dich auf dem **SIEM Management Server** oder auf dem dedizierten Server ein, auf dem du die Enginsight SIEM Komponente Loggernaut installiert hast.
2. Öffne mit folgendem Befehl die **Loggernaut-Konfigurationsdatei**:

```
sudo nano /opt/enginsight/loggernaut/config.json
```

3. Navigiere zum Abschnitt `backup`:

```
{    
    "api": {...},
    "siem": {...},
    ...,
    "backup": {
        "strategy": "",
        ...
        }
}
```

{% endstep %}

{% step %}

### Parameter `strategy` anpassen

Passe den Parameter `strategy` an. Dieser legt fest, wie der Loggernaut mit Backups umgeht. 

Folgende Werte stehen zur Verfügung:

<table><thead><tr><th width="199.77734375">Wert</th><th>Beschreibung</th></tr></thead><tbody><tr><td><code>local</code></td><td>Roh-Logs werden ausschließlich lokal auf dem SIEM Management Server gespeichert.</td></tr><tr><td><code>remove</code></td><td>Roh-Logs werden nach Ablauf der Log-Speicherzeit (TTL; Time-to-Live) gelöscht.</td></tr><tr><td><code>sftp</code></td><td>Roh-Logs werden zusätzlich zur Speicherung auf dem SIEM Management Server an einen SFTP-Server übertragen.</td></tr><tr><td><code>s3</code></td><td>Roh-Logs werden zusätzlich zur Speicherung auf dem SIEM Management Server an einen Amazon S3-Speicher übertragen.</td></tr></tbody></table>

Setze den Parameter wie folgt:

<pre><code>"backup": {
<strong>        "strategy": "sftp",
</strong>        ...
        }
</code></pre>

{% endstep %}

{% step %}

### Parameter `sftp` anpassen

Passe den Parameter `sftp` inklusive SFTP-spezifischer Felder und SSH-Zugangsdaten an.

#### SFTP-spezifische Felder

Gib für die dunkelgrau hinterlegten, SFTP-spezifischen Parameter entsprechende Werte an.&#x20;

<pre><code>"backup": {
        "strategy": "sftp",
<strong>        "sftp": {
</strong><strong>            "permissions": "",
</strong><strong>            "remoteDirectory": "",
</strong><strong>            "keepLocalCopy": ,
</strong>            "ssh": {
            ...
            }
        }
    }
</code></pre>

<table><thead><tr><th width="200.06640625">Parameter</th><th>Beschreibung</th></tr></thead><tbody><tr><td><code>permissions</code></td><td><p>Lege Berechtigungen für Log-Dateien im Unix-Stil fest. </p><p><br>Um bspw. allen Benutzern Lese- und Schreibzugriff zu gewähren, gib als Wert <code>0666</code> ein.</p></td></tr><tr><td><code>remoteDirectory</code></td><td><p>Gib den Pfad zum Zielverzeichnis auf dem SFTP-Server an, in dem die Log-Backups gespeichert werden sollen.</p><div data-gb-custom-block data-tag="hint" data-style="danger" class="hint hint-danger"><p><strong>Bitte beachte</strong>: Wenn das Zielverzeichnis z. B. <code>/user/siem/logs</code> lautet und der Chroot (Change Root)-Befehl auf <code>/user</code> gesetzt ist, muss <code>remoteDirectory</code> auf <code>/siem/logs</code> gesetzt werden!</p></div></td></tr><tr><td><code>keepLocalCopy</code></td><td><p>Lege fest, was mit den Ursprungs-Logs geschehen soll, nachdem die TTL überschritten wurde.<br><br>Folgende Werte stehen zur Verfügung:</p><ul><li><code>false</code> : Alle Logs, deren TTL überschritten wurde, werden lokal auf dem SIEM Management Server gelöscht, sobald sie auf den SFTP-Server übertragen wurden.</li><li><code>true</code>: Eine Kopie der Logs bleibt lokal auf dem SIEM Management Server erhalten, auch wenn die TTL bereits überschritten wurde.</li></ul></td></tr></tbody></table>

#### SSH-Zugangsdaten (sftp.ssh)

Gib für die dunkelgrau hinterlegten `ssh`-Parameter entsprechende Werte an.

<pre><code>"backup": {
        "strategy": "sftp",
        "sftp": {
            "permissions": "",
            "remoteDirectory": "",
            "keepLocalCopy": ,
<strong>            "ssh": {
</strong><strong>                "username": "",
</strong><strong>                "password": "",
</strong><strong>                "ip": "",
</strong><strong>                "port": "",
</strong><strong>                "privateKeyPath": "",
</strong><strong>                "privateKeyPassphrase": "",
</strong><strong>                "knownHostsPath": ""
</strong><strong>            }
</strong>        }
    }
</code></pre>

<table><thead><tr><th width="198.3203125">Parameter</th><th>Beschreibung</th></tr></thead><tbody><tr><td><code>username</code></td><td>Gib den Benutzernamen für die SSH-Verbindung zum SFTP-Server an.</td></tr><tr><td><code>password</code></td><td><p>Gib das Passwort für die SSH-Verbindung zum SFTP-Server an.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Dieses Feld kann leer gelassen werden, wenn du einen SSH-Schlüssel verwendest.</p></div></td></tr><tr><td><code>ip</code></td><td>Gib die IP-Adresse des SFTP-Servers an.</td></tr><tr><td><code>port</code></td><td><p>Gib den Port für die SSH-Verbindung an.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Wenn du dieses Feld leer lässt, wird standardmäßig SSH-Port <strong>22</strong> genutzt.</p></div></td></tr><tr><td><code>privateKeyPath</code></td><td><p>Gib den Pfad zum privaten SSH-Schlüssel an. </p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Dieses Feld kann leer gelassen werden, wenn du Benutzername und Passwort zur Authentifizierung verwendest.</p></div></td></tr><tr><td><code>privateKeyPassphrase</code></td><td><p>Gib das Passwort für den privaten SSH-Schlüssel an, falls dieser verschlüsselt ist.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Dieses Feld kann leer gelassen werden, wenn du Benutzername und  Passwort oder einen unverschlüsselten privaten SSH-Schlüssel zur Authentifizierung verwendest.</p></div></td></tr><tr><td><code>knownHostsPath</code></td><td><p>Gib den Pfad zur SSH-Datei <strong>known_hosts</strong> zur Verifikation des SFTP-Servers an.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Wenn du dieses Feld leer lässt, entfällt die Host-Prüfung und es wird angenommen, dass der korrekte SFTP-Server angegeben wurde.</p></div></td></tr></tbody></table>
{% endstep %}

{% step %}

### Konfigurationsänderungen speichern

Speichere die Konfigurationsdatei (Strg + o) und bestätige den Speicherprozess. Schließe die Datei (Strg + x).
{% endstep %}

{% step %}

### Loggernaut neu starten

Starte den Loggernaut mit folgendem Befehl neu, um die Änderungen zu übernehmen:

```
sudo systemctl restart ngs-loggernaut
```

{% endstep %}
{% endstepper %}

***

## S3-Backup (ohne Verschlüsselung)

Speichere die Roh-Logs zusätzlich zur lokalen Speicherung auf dem SIEM Management Server auf Amazon S3.&#x20;

Nimm dazu folgende Schritte vor:

{% stepper %}
{% step %}

### Loggernaut-Konfigurationsdatei öffnen

1. Logge dich auf dem **SIEM Management Server** oder auf dem dedizierten Server ein, auf dem du die Enginsight SIEM Komponente Loggernaut installiert hast.
2. Öffne mit folgendem Befehl die **Loggernaut-Konfigurationsdatei**:

```
sudo nano /opt/enginsight/loggernaut/config.json
```

3. Navigiere zum Abschnitt `backup`:

```
{    
    "api": {...},
    "siem": {...},
    ...,
    "backup": {
        "strategy": "",
        ...
        }
}
```

{% endstep %}

{% step %}

### Parameter `strategy` anpassen

Passe den Parameter `strategy` an. Dieser legt fest, wie der Loggernaut mit Backups umgeht.&#x20;

Folgende Werte stehen zur Verfügung:

<table><thead><tr><th width="199.77734375">Wert</th><th>Beschreibung</th></tr></thead><tbody><tr><td><code>local</code></td><td>Roh-Logs werden ausschließlich lokal auf dem SIEM Management Server gespeichert.</td></tr><tr><td><code>remove</code></td><td>Roh-Logs werden nach Ablauf der Log-Speicherzeit (TTL; Time-to-Live) gelöscht.</td></tr><tr><td><code>sftp</code></td><td>Roh-Logs werden zusätzlich zur Speicherung auf dem SIEM Management Server an einen SFTP-Server übertragen.</td></tr><tr><td><code>s3</code></td><td>Roh-Logs werden zusätzlich zur Speicherung auf dem SIEM Management Server an einen Amazon S3-Speicher übertragen.</td></tr></tbody></table>

Setze den Parameter wie folgt:

<pre><code>"backup": {
<strong>        "strategy": "s3",
</strong>        ...
        }
</code></pre>

{% endstep %}

{% step %}

### Parameter `s3` anpassen

Gib für die dunkelgrau hinterlegten, S3-spezifischen Parameter entsprechende Werte an.&#x20;

<pre><code>"backup": {
    "strategy": "s3",
<strong>    "s3": {
</strong><strong>      "endpoint": "",
</strong><strong>      "accessKeyId": "",
</strong><strong>      "accessKeySecret": "",
</strong><strong>      "bucketPrefix": "",
</strong><strong>      "region": "",
</strong><strong>      "keepLocalCopy": 
</strong>    }
  }
</code></pre>

<table><thead><tr><th width="198.3203125">Parameter</th><th>Beschreibung</th></tr></thead><tbody><tr><td><code>endpoint</code></td><td><p>Gib den Pfad zum Speicherort an. </p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Der Pfad kann je nach Anbieter variieren, nutzt aber meist folgendes Schema: <code>&#x3C;Region>.s3.&#x3C;HostingProvider>.com</code></p></div></td></tr><tr><td><code>accessKeyId</code></td><td>Gib die ID des Zugriffsschlüssels für den API-Zugriff an.</td></tr><tr><td><code>accessKeySecret</code></td><td>Gib das Zugriffsschlüssel-Geheimnis für den API-Zugriff an.</td></tr><tr><td><code>bucketPrefix</code></td><td>Amazon S3-Bucket-Namen nutzen folgendes Schema: <code>&#x3C;BucketPrefix>-&#x3C;OrganisationsID></code><br><br>Gib als <code>bucketPrefix</code> also den vorderen Teil des Namens deines S3-Buckets, der vor deiner Organisations-ID steht, an.</td></tr><tr><td><code>region</code></td><td>Gib die AWS-Region des Speicherdienstes an.</td></tr><tr><td><code>keepLocalCopy</code></td><td><p>Lege fest, was mit den Ursprungs-Logs geschehen soll, nachdem die TTL überschritten wurde.<br><br>Folgende Werte stehen zur Verfügung:</p><ul><li><code>false</code> : Alle Logs, deren TTL überschritten wurde, werden lokal auf dem SIEM Management Server gelöscht, sobald sie in den S3-Speicher übertragen wurden.</li><li><code>true</code>: Eine Kopie der Logs bleibt lokal auf dem SIEM Management Server erhalten, auch wenn die TTL bereits überschritten wurde.</li></ul></td></tr></tbody></table>
{% endstep %}

{% step %}

### Konfigurationsänderungen speichern

Speichere die Konfigurationsdatei (Strg + o) und bestätige den Speicherprozess. Schließe die Datei (Strg + x).
{% endstep %}

{% step %}

### Loggernaut neu starten

Starte den Loggernaut mit folgendem Befehl neu, um die Änderungen zu übernehmen:

```
sudo systemctl restart ngs-loggernaut
```

{% endstep %}
{% endstepper %}

***

## Backup mit Verschlüsselung

Du kannst deine Backups optional verschlüsseln. Der Loggernaut unterstützt aktuell ausschließlich das **AGE-Verschlüsselungsverfahren**.

{% hint style="info" %}
**Bitte beachte**: Alle Organisationen auf einer SIEM-Instanz verwenden denselben AGE-Public-Key zur Verschlüsselung. Es gibt *keine organisationsspezifische Schlüsselkonfiguration*.
{% endhint %}

Nimm dazu folgende Schritte vor:

{% stepper %}
{% step %}

### AGE-Schlüsselpaar erzeugen

1. Logge dich auf dem **SIEM Management Server** oder auf dem dedizierten Server ein, auf dem du die Enginsight SIEM Komponente Loggernaut installiert hast.
2. Erzeuge mit folgendem Befehl das benötigte AGE-Schlüsselpaar:

```
sudo ./loggernaut -generate-age-keys
```

{% hint style="danger" %}
**Bitte beachte**: Mit diesem Befehl wird sowohl ein Private-Key-Paar als auch ein Public-Key-Paar erzeugt. Für die Loggernaut-Konfiguration benötigst du nur den Public Key, also den öffentlichen Schlüssel. Speichere dir den Private Key an einem sicheren Ort ab, um Backups zu einem späteren Zeitpunkt wieder entschlüsseln zu können!
{% endhint %}

{% hint style="info" %}
Ein gültiger **AGE Public Key** beginnt immer mit `age` und enthält nur Zeichen aus `[a-z0-9]`. Beispiel: `age1ms3c0gmdxakx3lxzlp422g78lju4pmrse0rp6jl8lpu696yvea7qttzsl0`
{% endhint %}
{% endstep %}

{% step %}

### Loggernaut-Konfigurationsdatei öffnen

1. Öffne mit folgendem Befehl die **Loggernaut-Konfigurationsdatei**:

```
sudo nano /opt/enginsight/loggernaut/config.json
```

3. Navigiere zum Abschnitt `backup`:

```
{    
    "api": {...},
    "siem": {...},
    ...,
    "backup": {
        "strategy": "",
        ...
        }
}
```

{% endstep %}

{% step %}

### Parameter `encryption` hinzufügen

Füge der Konfiguration den Parameter `encryption` wie in den dunkelgrau hinterlegten Zeilen gezeigt hinzu und ergänze die entsprechenden Werte.

<pre><code>"backup": {
    "strategy": "...",
    ...
    },
<strong>    "encryption": {
</strong><strong>      "package": "",
</strong><strong>      "publickey": ""
</strong>    }
  }
</code></pre>

<table><thead><tr><th width="199.66015625">Parameter</th><th>Beschreibung</th></tr></thead><tbody><tr><td><code>package</code></td><td><p>Lege fest, ob du eine Verschlüsselung verwenden oder sie explizit deaktivieren möchtest.<br><br>Folgende Werte stehen zur Verfügung:</p><ul><li><code>"age"</code> : Eine AGE-Verschlüsselung wird verwendet.</li><li><code>"none"</code> : Die Verschlüsselung wird explizit deaktiviert.</li></ul></td></tr><tr><td><code>publickey</code></td><td><p>Gib den zuvor erzeugten AGE-Public-Key an.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Ein gültiger <strong>AGE Public Key</strong> beginnt immer mit <code>age</code> und enthält nur Zeichen aus <code>[a-z0-9]</code>. Beispiel: <code>age1ms3c0gmdxakx3lxzlp422g78lju4pmrse0rp6jl8lpu696yvea7qttzsl0</code></p></div></td></tr></tbody></table>
{% endstep %}

{% step %}

### Konfigurationsänderungen speichern

Speichere die Konfigurationsdatei (Strg + o) und bestätige den Speicherprozess. Schließe die Datei (Strg + x).
{% endstep %}

{% step %}

### Loggernaut neu starten

Starte den Loggernaut mit folgendem Befehl neu, um die Änderungen zu übernehmen:

```
sudo systemctl restart ngs-loggernaut
```

{% endstep %}
{% endstepper %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/knowledge-base/siem/wie-kann-ich-im-enginsight-siem-ein-externes-backup-meiner-roh-logs-erstellen.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.