Was ist Logmanagement?

In Unternehmen entstehen viele Protokolldateien und Logs, die wertvolle Informationen enthalten. Wäre es nicht schön, diese an einer zentralen Stelle durchsuchen und analysieren zu können oder auch gleich automatisch Alarme generieren lassen?
Klassisches Logmanagement (oder auch Logging) umfasst das Sammeln und Auswerten von Protokolldaten (Logfiles) die relevante Informationen enthalten. Diese Informationen werden zentral gesammelt, analysiert und in Dashboards aufbereitet. Logdaten geben Auskunft über Stabilität oder Auslastung der IT. Sie enthalten Informationen über Zugriffszahlen oder können auch sicherheitsrelevant sein.

Woher kommen Logdaten?
Die meisten IT-Systeme protokollieren zur Laufzeit Informationen zu internen Abläufe oder auftretenden Fehler, Zugriffen und vieles mehr. Diese Daten kann man abholen oder sich schicken lassen. IT-Landschaften mit über 1.000 Clients, Servern und Netzwerkgeräten sind keine Seltenheit mehr. Diese Geräte (Firewalls, Webserver, Datenbanken oder Active Directory) produzieren zum Teil über 1.000 Nachrichten in einer Sekunde. Mit dem richtigen Log-Management Tool kann man diese Daten zentral speichern und auswerten.

Wobei kann mich LogManagement unterstützen?

  • Fehlersuche in IT-Systemen zB mit Volltextsuche
  • Korrelation von Daten aus unterschiedlichen Systemen
  • Statistische Auswertungen (zB Auslastung, Nutzung, etc.)
  • Überprüfen von Unternehmensrichtlinien (zB Dropbox-Nutzung)
  • Grundlage für SIEM
  • Projektbegleitendes Werkzeug, zB Software-Test, Firewall-Migration
  • Fehlerprotokollierung von Software Anwendungen
  • Protokollierung und Audit für Administrationsvorgänge in Unternehmensnetzen und der Server-Infrastruktur
  • Überprüfung von Backup Systemen und Task Scheduler, zB Updates, Lizenzfehler

Wie funktionieren Log-Management Systeme?

  1. Daten sammeln
    Zuerst werden die Daten in einem gemeinsamen System gesammelt. Die Daten werden entweder dort hingeschickt oder mit einem Agenten abgeholt.
  2. Normalisieren
    Viele Systeme schreiben ihre Logs in eigenen Formaten, wie zB CSV-ähnliche Textdateien oder Logs im Binärformat im Ereignisprotokoll oder SNMP-Traps im eigenständigen Format. Die Normalisierung bezeichnet die Strukturierung und Konsolidierung dieser unterschiedlichen Log-Formate und stellt sicher, dass die Log-Informationen dabei nicht verändert werden.
    Je nach Kritikalität der Daten muss die Speicherung lückenlos, manipulations-, revisions- und ausfallsicher erfolgen.
  3. Ad-hoc Auswertung
    Bei der Ad-hoc aus Wertung wird nach bestimmten Ereignissen oder Systemen gesucht um etwas, Fehler zu bestimmten den Zeitpunkten zu analysieren oder Testläufe zu protokollieren.
    Einzelne Log-Dateien können auf Fehlercodes oder statistische Werte überprüft werden. Der Fehlercode XY675 bedeutet für den Administrator zB, dass jemand versucht, sich über einen gesperrten Anmeldekonto anzumelden. Vielleicht versucht ein ehemaliger Mitarbeiter sich noch weiterhin Zugang zum Netzwerk zu verschaffen oder seine Zugangsdaten werden missbräuchlich genutzt.
    Statistische Daten geben etwa Auskunft über die Zugriffe auf eine Website (zB Webshop Besucher) oder über Performanceprobleme wie zB lange Antwortzeiten.
  4. Automatisches Korrelieren
    Das wird mittlerweile oft als AI, KI oder Machine Learning bezeichnet. Oft sind es auch nur Standard-Regelsätze, die diese Ergebnisse erzeugen. Log-Informationen aus unterschiedlichen Quellen werden automatisch analysiert und ausgewertet. Wenn sich beispielsweise ein Anwender mit einem falschen Passwort an einer geschützten Website anmeldet, dann werden die Informationen im Ereignisprotokoll gespeichert. Mehrere falsche Anwendungen innerhalb einiger Minuten können ein Indiz für eine versuchte Attacke sein.
  5. Alarmieren & Visualisieren
    Werden nun auf Grund einer Korrelation, gewisse Parameter erreicht, kann das System die Alarme verschicken oder die Verläufe Visualisieren

Warum benötige ich ein LogManagement? Oder Welche Vorteile bietet ein LogManagement Tool?

Logs liefern sehr detaillierte Informationen – sowohl in Echtzeit als auch für nachträgliche (zB forensische) Untersuchungen.

Sind die Logs dann auf vielen Systeme verteilt, steigt der Aufwand für die Analyse natürlich erheblich. Das führt dann oft dazu das die Analyse gar nicht oder nur partiell durchgeführt wird.
Je nachdem welchen Gesetzen & Auflagen Ihr Unternehmen unterliegt gibt es auch eine Pflicht gewissen Log-Informationen lückenlos zu sammeln, zu speichern und zu archivieren.

Aufgrund der riesigen Datenmenge ist eine spätere Analyse sehr aufwendig und nur mit geeigneten Tools effizient möglich. Mit Hilfe von Logmanagement Lösungen kann auf kritische Ereignisse zeitnah reagiert werden. Komplexe Ereignisse werden analysiert und lösen einen Alarm oder Meldungen aus.

Wie gehen wir mit Logmanagement Projekten um?

Es gibt ganz unterschiedliche Herangehensweisen an das Thema, je nach Anforderung den Kunden.
Die Grundlage ist aber immer eine Bestandsaufnahme der Systeme & Daten. Dann können wir den Kunden sagen ob und in welcher Form die Anforderungen umsetzbar sind.
Wenn der Kunde schon Use-Cases definiert hat, können wir konkret sagen, ob die vorhandenen Daten ausreichend sind, oder noch etwas hinzugefügt werden muss.
Gibt es noch keine Use-Cases, dann machen wir Ihnen Vorschläge was mit den vorhandenen Daten möglich ist. Dabei gehen wir Schritt für Schritt vor. So wird die Qualität der Auswertungen sichergestellt und die Nutzer der Daten & Dashboards können sich einarbeiten. So ist auch genügend Zeit um etwa Prozesse anzupassen oder andere organisatorische Maßnahmen umzusetzen.
Da sich IT-Systeme ständig verändern sorgen wir dafür das Ihr Logmanagement auch für neue Anforderungen gewappnet ist.

Sie haben bereits ein Logmanagement im Einsatz– wie kann IT-Native Sie unterstützen?
Die am Markt befindlichen Tools haben unterschiedliche Stärken & Schwächen. In den über 20 Jahren haben wir mit vielen Produkten gearbeitet und können Sie hier bei der Planung & Optimierung unterstützen.
Wir helfen Ihnen auch beim Designen und bei der Umsetzung der Prozesse um Logmanagement in Ihrem Unternehmen noch besser zu Verankern.

Brauchen wir ein Logmanagement oder doch ein IT-Monitoring System?
Die beiden Disziplinen kann man nur schwer voneinander trennen. Genau genommen unterstützen sie sich gegenseitig. Sie haben Überlappungen in den Funktionen (zB Dashboarding oder Alarmierung) können sich gegenseitig aber nicht ersetzen (auch wenn das hin und wieder vorgeschlagen wird). Am besten ist eine Kombination aus beiden.
Aber was in Ihrem Fall das richtige ist lässt sich am besten durch eine Bedarfsanalyse feststellen.