Sicherungsbeschau

von Dr. Christian Knermann

Für ein umfassendes Monitoring und Reporting über eine oder mehrere Backupinfrastrukturen hinweg unterstützt BACKUP EAGLE zahlreiche Backupanwendungen und -hardware. Die Software fasst den Status aller Sicherungen im Unternehmen für Admins in einer konsolidierten Sicht zusammen, um auf fehlerhafte oder fehlende Sicherungen aufmerksam zu machen. Dieses wachsame Auge auf alle Backups zeigte sich im Test mit scharfem Blick und wertvollen Funktionen für das Backupmanagement.

Kaum eine Woche vergeht, in denen die Medien nicht von erfolgreichen Cyberangriffen künden. Viele Unternehmen, Bildungseinrichtungen und Teile der öffentlichen Verwaltung sind in jüngerer Vergangenheit Opfer von Ransomware-Banden geworden, die sensible Daten unwiederbringlich verschlüsselt haben. Umso mehr steigt die Bedeutung lückenloser und funktionsfähiger Backups, die aber ebenfalls im Fokus der Kriminellen stehen.

So gehen die Angreifer zunehmend professionell und arbeitsteilig vor. Nachdem ein Team lohnende Opfer ausgespäht und eine Tür in deren Umgebung geöffnet hat, verkauft es die Lücken an andere Banden, die sich weiter in den Netzen der Opfer ausbreiten. Bis die Angreifer zuschlagen, vergehen oft Wochen und Monate, in denen die Eindringlinge danach trachten, Backups und die Wiederherstellung verschlüsselter Daten zu sabotieren.

Backup-Admins stehen somit vor der Herausforderung, kontinuierlich den Erfolg von Backupjobs zu überwachen und auch unerwünschte Änderungen an deren Konfiguration frühzeitig zu erkennen. Je größer das Unternehmen und je komplexer die jeweilige Infrastruktur, desto schwieriger ist diese Aufgabe zu bewältigen. In hybriden Umgebungen mit Servern und Storage im lokalen Rechenzentrum und zusätzlich fortschreitender Nutzung von Clouddiensten bedarf es oft mehrerer Backupanwendungen verschiedener Hersteller, um alle Daten abzudecken. So kümmert sich ein Werkzeug um die Sicherung virtueller Maschinen und Fileserver vor Ort, während eine anderes Daten aus Clouddiensten wie beispielsweise Microsoft 365 sichert.

Jedes Backuptool bringt seine eigene Verwaltungsoberfläche mit und schreibt Logs sowie Berichte in einem spezifischen Format, sodass Admins kaum den Überblick behalten können. Umso größer wird die Herausforderung überall dort, wo gesetzliche Anforderungen oder aber Vereinbarungen mit Kunden Nachvollziehbarkeit im Rahmen regelmäßiger Audits vorschreiben. An dieser Stelle setzt nun der deutsche Anbieter Schmitz RZ Consult aus Pulheim bei Köln mit seiner Software BACKUP EAGLE (BE) an.

Software schafft Überblick aller Backups

BACKUP EAGLE kümmert sich umfassend um das Monitoring und Reporting von einer oder mehreren Backupinfrastrukturen mit dem Ziel, die Einhaltung von Compliance-Regeln sicherzustellen und jederzeit für einen Audit gerüstet zu sein. Dabei adressiert der Hersteller Organisationen jeder Größenordnung beginnend beim kleinen Unternehmen mit nur einer Sicherungssoftware über Konzerne mit mehreren Standorten und Backupumgebungen bis hin zu Managed-Service-Providern, die ihrerseits zahlreiche Kunden betreuen.

Die Software integriert zahlreiche Backupapplikationen und erstellt konsolidierte Reports über alle angeschlossenen Systeme sowie Sicherungsgeräte sowohl im lokalen Netz als auch in der Cloud. Dabei filtert BACKUP EAGLE die herstellerspezifischen Logs auf die tatsächlich relevanten Ereignisse, erkennt fehlende oder fehlerhafte Backups sowie ungesicherte Endpunkte.

Auf Wunsch informiert die Software im Fehlerfall per E-Mail oder nutzt REST-Schnittstellen zu Servicedesk-Systemen wie ServiceNow, Matrix42 Workspace Management oder Jira, um automatisch Tickets zu erstellen.

Skalierbar und erweiterbar

Im einfachsten Fall genügt ein einzelnes System für den auf Java basierenden BE-Server und seine integrierte Apache-Derby-Datenbank. Nur für große Umgebungen mit tausenden zu überwachenden Backupjobs pro Tag empfiehlt der Hersteller eine separate Datenbank. Hier zeigt sich unser Testkandidat flexibel, bindet Microsoft SQL Server, Oracle, MySQL oder PostgreSQL an.

Primär für Kunden und Endanwender, die sich einen Überblick über den Sicherungsstatus ihrer Endpunkte verschaffen möchten, bietet der Server ein Webfrontend mit reduziertem Funktionsumfang auf Basis von Apache Tomcat. Admins und fortgeschrittene Anwender nutzen den Admin-Client, eine für Windows und Linux verfügbare Applikation, die wahlweise mit auf dem BE-Server oder auf einer separaten Maschine läuft.

Für DELL EMC NetWorker und Veeam Backup & Replication bringt BACKUP EAGLE passende Agenten zur Installation auf den jeweiligen Backupservern mit und IBM Spectrum Protect (ISP) fragt die Software über dessen Kommandozeilen-Integration ab. Weitere unterstützte Produkte integriert das System über deren REST-API, per SSH-Zugriff, XML-Import oder SNMP. Letzteres dient der Kommunikation mit Hardware wie Tape-Libraries, die ihre Statusdaten in Form von SNMP-Traps bereitstellen. Dabei bindet BE auch Management Information Bases (MIB) ein, um die zu den Object Identifiers (OID) der jeweiligen Sicherungssoftware passenden Beschreibungen anzuzeigen.

Reibungslose Installation

Wir testeten BACKUP EAGLE in einer virtuellen Testumgebung auf Basis von VMware vSphere mit Veeam Backup & Replication. Darin hatten wir eine VM unter Windows 10 (21H2) vorbereitet. Das Setuppaket bringt unter Windows die passende Java-Laufzeitumgebung OpenJDK mit. Linux-Admins müssen ihre Java-Installation separat pflegen. Der Installationsvorgang bietet wahlweise die Sprachen Englisch oder Deutsch an. Weiterhin spielt das Setup entweder den vollständigen Umfang des BE-Servers mitsamt Admin-Client oder optional nur den Admin-Client ein, den der Hersteller zusätzlich auch als separates Installationspaket anbietet. Ebenso optional ist ein Kommandozeilen-Client für ISP, auf den wir in unserem Szenario verzichteten.

Während des Setups erzeugt BE im Hintergrund automatisch SSL-Keys, um die Kommunikation mit Admin-Clients auf anderen Maschinen zu verschlüsseln, und installiert die notwendigen Windows-Dienste sowie die Apache-Derby-DB.

Standardmäßig richtet die Software initial drei Benutzerkonten ein, einen globalen Admin für den Server, einen Analysten, der nur lesende Berechtigungen hat sowie einen weiteren Benutzer zum Zugriff auf die REST-API des Servers. Wir starteten den Admin-Client, meldeten uns als globaler Administrator an und aktivierten im ersten Schritt eine 30 Tage laufende Testlizenz, die uns der Hersteller zur Verfügung gestellt hatte. Eine solche Lizenz im XML-Format schaltet sämtliche Funktionen, also alle unterstützten Backupsysteme, frei. Eine produktive Lizenz aktiviert typischerweise nur genau die Funk- tionen, die ein Kunde tatsächlich benötigt und lizenziert.

Schnell zu ersten Ergebnissen

Der Assistent zur Ersteinrichtung führte uns daraufhin automatisch in den Bereich "Einstellungen / Server- und Deviceverwaltung". Nachdem wir den BE-Agenten auf unserem Veeam-Server installiert hatten, konnten wir die Verbindung herstellen. BACKUP EAGLE fragt die zur jeweiligen Backupanwendung passenden Parameter ab, im Fall von Veeam lediglich die IP-Adresse des Zielservers oder etwa für Microsoft Azure Backup die Daten einer App-Registrierung im Azure-AD.

Erwähnenswert ist an dieser Stelle, dass BE nicht nur eine oder mehrere Sicherungsanwendungen, sondern auch das VMware vCenter integriert. Die Verbindung zum vCenter nutzt die Software nur lesend, um einen Überblick über die Infrastruktur zu gewinnen. Im Rahmen der Funktion "HOST_DETECT" kann BE warnen, wenn es im vCenter Maschinen findet, zu denen keine Sicherungsaufgaben existieren – doch dazu später mehr.

Besonders praktisch für sehr große oder international operierende Unternehmen ist zudem die Registerkarte "Erweitert". Hier konnten wir zu jedem Backupserver dessen Zeitzone konfigurieren und frei wählbare Werte hinterlegen. Dabei kann es sich beispielsweise um ein Attribut wie den Standort handeln, um später in Auswertungen und Berichten darauf zu filtern sowie im Hinblick auf die Mandantenfähigkeit Benutzergruppen entsprechend zu berechtigen.

Sobald wir unseren Veeam-Server konfiguriert hatten, initialisierte BACKUP EAGLE diesen und las dessen Konfiguration, Auslastung sowie die Backupresultate der vergangenen sieben Tage ein. Auch ein frisch installierter BE-Server befüllt unmittelbar sein Dashboard und die übrigen Bereiche mit produktiven Daten rückwirkend für eine Woche. Wir konnten die Software somit in weniger als einer Stunde in Betrieb nehmen und sofort mit dem Monitoring unserer Umgebung beginnen.

Übersicht aus großer Höhe

Passend zum namensgebenden Adler liefert das konfigurierbare Dashboard eine Gesamtsicht über die Umgebung aus großer Flughöhe (Bild 1). So zeigen die "Client Operations" die aktuellen Backupresultate des letzten Tages, die "Client History" die Erfolge und Fehler der vergangenen Woche und "Server Health" informiert über den Zustand des Backupservers, etwa über dessen Speicherauslastung oder Fehlermeldungen. Das Reporting bietet dabei zudem einen schnellen Zugriff auf die bereits vorgefertigten Berichte.

Weiterhin konnten wir hier zusätzliche Widgets ergänzen, wie das zur Auslastung des Backupspeichers über die Zeit oder die Übersicht der von "HOST_DETECT" ermittelten Maschinen ohne Sicherung. Sobald BE genügend historische Daten gesammelt hat, liefern weitere Widgets Prognosen dazu, wie sich der Bedarf an Speicherplatz voraussichtlich in den nächsten sechs Monaten entwickeln wird.

Die Ansicht ist nicht auf ein Dashboard beschränkt. So konnten wir weitere Registerkarten mit spezifischen Dashboards für bestimmte Zielgruppen anlegen, die etwa nur die Daten zu allen Linux-Clients anzeigen oder nur die Systeme, die einer bestimmten Abteilung gehören.

Alle Sicherungen detailliert im Blick

Per Klick auf einzelne Diagramme und Datenpunkte im Dashboard fokussierten wir dann unseren Blick auf Details unserer Backupumgebung. Der Bereich "Client Control" lieferte eine Übersicht über sämtliche Sicherungsaufgaben in einem definierten Zeitraum. Darüber hinaus erwiesen sich die Filter als praktisches Werkzeug, um die Anzeige auf bestimmte Backupserver oder -clients zu beschränken.

Für Mandantenfähigkeit sorgen an dieser Stelle die benutzerdefinierten Gruppen, die wir in den Einstellungen konfigurierten. So ließen sich pro Kunde oder Abteilung genau die Systeme festlegen, die die jeweilige Benutzergruppe anzeigen darf. Die Benutzer legten wir im einfachsten Fall direkt innerhalb der Datenbank an. Alternativ bindet BACKUP EAGLE einen Verzeichnisdienst wie das Active Directory per LDAP an. Die passenden Rollen und Berechtigungen vorausgesetzt, können sich die Benutzer am Webinterface, am Admin-Client oder an beiden Oberflächen anmelden.

Standard im Bereich der "Client Control" ist eine tabellarische Übersicht aller Aufgaben des vergangenen Tages, genauer von 7.00 Uhr am Vortag bis 7.00 Uhr des aktuellen Tages. BACKUP EAGLE wählt dieses Zeitfenster, da Serverbackups typischerweise nachts laufen. Die Spalten der Tabelle zeigen, welche Backupanwendung nach welchem Sicherungsplan das jeweilige System sichert. Die Spalten und Anzeige der Tabelle lassen sich ähnlich wie in Excel flexibel anpassen.

Die weiteren Ansichten für Stunden, Monate und Jahre stellen die Übersichten in Form von Zeitstrahlen dar, die jede Backupaufgabe mit ihrer Dauer farblich grün bei Erfolg oder rot im Fehlerfall anzeigen. Dunkle Farben repräsentieren dabei Vollsicherungen, helle Farben inkrementelle. Per Klick auf einzelne Einträge gelangten wir zu den Protokollen der jeweiligen Backupaufgabe. BE hebt hier Zeilen, die auf Fehler hindeuten farblich hervor (Bild 2). Bei umfangreichen Protokollen hilft auch der Schalter "Nur Fehler anzeigen", der alle Zeilen bis auf die Warnmeldungen ausblendet.

Anomalien zügig erkennen

In einer solchen Detailansicht konnten wir wiederum über einen Zeitstrahl oben im Fenster zwischen den Protokollen unterschiedlicher Backupaufgaben wechseln. Von besonderer Bedeutung sind hier die Farbcodes, mit denen BACKUP EAGLE hilft, Fehler und Abweichungen zu erkennen. Ein grüner Eintrag zeigt eine erfolgreiche Sicherung an, bei einem roten Eintrag haben die jeweilige Backupapplikation und BE übereinstimmend einen Fehler erkannt.

Aufmerksamkeit verlangen zudem die roten Einträge mit einem grünen Balken darüber. Diese zeigen Sicherungen an, die der Backupserver als erfolgreich wertet, die BE jedoch als fehlerhaft einstuft. So meldete in unserem Szenario etwa Veeam auch eine Sicherung mit einem Umfang von 0 Byte als Erfolg, obwohl ein Backup ohne Inhalt kaum von Nutzen ist. Mithilfe der Konsistenzregeln konnten wir solche Fälle ermitteln und Fehler erkennen, die ohne BE nicht unmittelbar aufgefallen wären.

In der Konfiguration bei "Einstellungen / Konsistenzregeln" definierten wir weitere Konsistenzregeln, die nicht nur helfen, fehlerhafte Backups zu erkennen, sondern auch Anomalien feststellen, wie sie im Falle von Ransomware-Angriffen typisch sind. Verschlechtert sich etwa zwischen zwei Vollsicherungen die Rate der Deduplizierung und Kompression signifikant oder steigt das Datenaufkommen zwischen zwei inkrementellen Sicherungen sprunghaft an, deutet dies auf untypische Änderungen am Inhalt der Daten hin, die die Aufmerksamkeit des Admins verlangen.

Als ebenso praktisch erwiesen sich die Neubewertungsregeln. Diese reduzieren den Arbeitsaufwand für den IT-Verantwortlichen deutlich, indem sie unnötige Kontrollen nicht mehr relevanter Fehlermeldungen vermeiden. Meldete etwa die Backupinfrastruktur eine Sicherung lediglich aufgrund nicht gesicherter Temp-Dateien als fehlerhaft, konnten wir BE mittels einer Neubewertung veranlassen, die Sicherung trotzdem als Erfolg zu werten.

Analog zu "Client Control" listen die Bereiche "Server Control" und "Device Control" in konfigurierbaren Tabellen sämtliche angeschlossenen Backupserver und -geräte auf. Zu unserem Server fanden wir hier die relevanten Parameter und Betriebsdaten, wie die Auslastung von Prozessoren, Arbeitsspeicher und Storage. Der Gerätebereich integriert im Enterprise-Umfeld relevante Ausrüstung wie Tape-Libraries und Disk-Systeme.

Umfangreiches Berichtswesen

Unmittelbar nutzbar waren auch die Berichte im Bereich "Reporting". Ab Werk stehen hier bereits aussagekräftige PDF-Dokumente etwa zu sämtlichen Backup-resultaten bereit. Alternativ zum PDF exportiert der Admin-Client die Berichte auch in den Formaten HTML, CSV oder XLS. Auf diesem Weg sowie über die REST-API des Servers können anderweitige Anwendungen wie etwa PowerBi oder Grafana, Daten aus BE flexibel weiterverarbeiten. Auch im Bereich des Reporting halfen uns die benutzerdefinierten Gruppen bei der zielgerichteten Bereitstellung der Informationen.

Wir konnten zusätzlich spezifische Berichte pro Backupanwendung aktivieren, im Fall von Veeam etwa Auswertungen zum Wachstum der Repositories über sieben, 30 oder 90 Tage. Für Audits interessant sind die Berichte der gleichnamigen Kategorie, die auch historische Daten nutzen und belegen, welche Systeme wann gesichert wurden oder wer sich wann an BE angemeldet hat.

Ergänzend dazu liefert der Bereich "CONFIG DOC" ebenfalls in PDF-Dokumenten Übersichten über die Konfiguration der Umgebungen und Änderungen daran über die Zeit. Alle aktiven Berichte erzeugt der Server automatisch täglich neu. Eine SMTP-Konfiguration vorausgesetzt, verschickt der Server die Berichte auf Wunsch auch regelmäßig an zu informierende Benutzergruppen.

Systeme ohne Backup gezielt finden

Ebenso interessant wie die Erfolge und Fehler von Backupjobs ist die Frage, ob Systeme existieren, die unbeabsichtigt nicht gesichert werden. Hierzu nutzten wir den Bereich "HOST DETECT", der auf mehreren Wegen Endpunkte ohne zugeordnete Sicherungsaufgaben ermittelt. Dazu konnten wir in den Einstellungen dieses Bereichs einen oder mehrere Provider konfigurieren, die nach solchen Maschinen suchen.

Beim Provider vom Typ "Agent" handelt es sich um eine spezielle Version des BE-Agenten, der mittels ARP Packet Capturing in seiner unmittelbaren Umgebung nach Hosts sucht. Dies eignet sich für geografisch verteilte Infrastrukturen, in denen der Agent Endpunkte an entfernten Standorten ermittelt. Ein Ping-Provider sucht in einem definierbaren IP-Adressbereich, ebenso fragt ein DNS-Provider einen bestimmten IP-Adressbereich per Reverse-Lookup von einem DNS-Server ab. Der Provider "AD Computers" liest alle Computerkonten unterhalb einer konfigurierbaren Suchbasis aus dem AD. Ein Provider vom Typ "Asset Database" befragt ein Assetmanagement-System, sofern eine solche Datenbank in den allgemeinen Einstellungen des Servers konfiguriert ist. Zu guter Letzt ermittelt der vCenter-Provider sämtliche VMs aus der Virtualisierungsumgebung.

Sobald wir die Verbindung zu unserem vCenter aktiviert und unter "Einstellungen / Schedules und Prozesse" einmalig manuell die Ermittlung angestoßen hatten, lieferte "HOST DETECT" uns eine tabellarische Übersicht aller Maschinen und hob sämtliche ohne Sicherung rot hervor. Für VMs, die wir bewusst nicht sichern wollten, konnten wir per Rechtsklick die Fehlermeldung ignorieren.

Dabei durften wir einen Kommentar eintragen und auch wählen, ob BACKUP EAGLE diesen Rechner dauerhaft ignorieren soll oder nur bis zu einem bestimmten Datum. Zudem konnten wir in den Einstellungen des Providers konfigurieren, dass neu hinzukommende Maschinen erst nach einer wählbaren Spanne von Tagen eine Fehlermeldung auslösen. So bleibt Admins bei frisch installierten Systemen Zeit, diese ins Backup zu integrieren, bevor BE alarmiert.

Fazit

BACKUP EAGLE schärft den Blick für das Wesentliche, nämlich die relevanten Fehlermeldungen sowie auch potenzielle Fehler, die die eigentliche Backupinfrastruktur vielleicht nicht erkannt hat. Dabei hat uns besonders gefallen, dass die Software Fehler sowie Warnungen farblich hervorhebt und auf Wunsch unnötige Informationen komplett ausblendet. Dies hilft Admins insbesondere in großen Umgebungen mit mehreren Backupwerkzeugen, den Überblick zu behalten und Zeit beim Kontrollieren der Sicherungsprotokolle einzusparen.

Unabhängig von der Größe profitieren zudem alle Unternehmen, die auf Grund von Compliance, vertraglichen oder rechtlichen Anforderungen Sicherungen und Wiederstellungen belegen müssen. Dabei deckt die Software Sicherungen im eigenen Rechenzentrum wie auch in der Cloud ab.

Produkt	Software für automatisiertes Backupmonitoring und -reporting
Hersteller	Schmitz RZ Consult https://www.schmitz-rz-consult.de/index.php
Preis	BACKUP EAGLE zum Monitoring eines Veeam-Servers mit 100 zu sichernden Endpunkten inklusive der HOST_DETECT-Funktion kostet 675 Euro pro Monat. Preise für größere Umgebungen und die Integration weiterer Backupanwendungen auf Anfrage.
Systemanforderungen	BE-Server: Microsoft Windows 2012 R2/2016/2019, Windows 7/8/10 (x64); IBM AIX 7.1 oder höher mit IBM Java und Perl 5.8 oder höher; Linux (RHEL 7 oder höher, SLES 11/12 oder höher) mit OpenJDK 1.8 und Perl 5.8 oder höher. BACKUP EAGLE unterstützt unter anderem IBM Spectrum Protect, Veeam 365, DELL EMC NetWorker, MS Azure Backup, SEP sesam, Commvault, Cohesity und VMware vCenter.
Technische Daten	https://www.it-administrator.de/datenblaetter

BACKUP EAGLE 9.9.2