Af Nils Krumrey, Global Customer Success Manager, Logpoint

Når kunderne taler med os, er det vigtigste krav på deres liste ofte “logstyring”. Det lyder rimeligt ligetil, men hvis du ønsker at gøre mere end blot at sætte kryds i et felt, er det værd at dykke ned i, hvad logstyring betyder.

Logpoint Converged SIEM indsamler logdata fra slutpunkter, som er enheder og applikationer på tværs af hele IT-infrastrukturen. Disse logfiler omdannes derefter til data af høj kvalitet gennem normalisering og korrelationer. Derefter identificerer og sender løsningen automatisk advarsler om hændelser og unormale forhold ved hjælp af machine learning-algoritmer.

Hvad betyder logning?

Logning er registrering af en hændelse. Enhver form for tidsfastsatte hændelsesdata (tænk på hændelsessekvenser eller weblogdata) er en log. Traditionelt betragter vi logfiler som lange, komplicerede tekstfiler, men i dag kan logfiler komme fra stort set alle steder og i alle former. En virusscanner, der holder styr på klientopdateringshændelser i sin database? Det er en log. Netværksflowdata fra en Virtual Private Cloud i AWS en log. Og der er selvfølgelig alle de sædvanlige mistænkte, såsom Windows Event Logs, webserverlogs og filadgangslogs.

.

Hvad er logstyring?

Hvis vi har logfiler, hvorfor har de så brug for styring? Udtrykket “logstyring” opstod på et tidspunkt, hvor logfiler hovedsageligt var tekstfiler, og administratorer kæmpede med diskplads, og log99 rullede over til log00. Det vil sige, at logs skulle “håndteres væk”, så kildesystemet kunne trække vejret igen.

Mens tekstfiler gjorde plads til Syslog, API’er og databaser, er det simple log00-eksempel stadig i høj grad udgangspunktet for logstyring. Måske ikke så meget diskplads i dag, men for at sikre at vi fanger logs inden de forsvinder. Det er overraskende, hvor mange systemer der stadig overskriver deres logs, og hvor hurtigt de gør det. Logs eksisterer ofte kun i 24 timer eller mindre, før de overskrives og forsvinder. Hvis vi senere vil have styr på disse logdata, skal vi sikre os, at de bliver indsamlet og ikke går tabt.

.

Logindsamling

Vi har bestemt, hvad en logmeddelelse er, og hvorfor de skal fanges, men hvordan får vi det til at fungere i praksis?

Først skal logmeddelelsen indsamles. Den skal enten afhentes, eller også skal noget afleveres ved vores dørtrin. Logindsamling kan opnås for ægte logfiler ved at logge på et system og hente dem ved hjælp af SCP eller SFTP.

Alternativt kan kildesystemet løbende konfigureres og aflevere logs med løsningens indbyggede FTP-server. Bortset fra filer kan det være Syslog-data (udbredt til netværksenheder) eller SNMP-fælder. I Windows’ verden kan det være en agent, en Windows Event Forwarding Collector eller WMI. Det kan være ODBC for databaser. Office 365 Management API eller Defender Alert API eller EventHubs API. En S3 bucket.

Logindsamlingsmetoderne er faktisk uendelige. Men det er afgørende, at logstyringsløsningen understøtter de platforme og teknikker, du bruger til at generere logdata. Ellers vil der være blinde vinkler.

Centraliseret logaggregering

En af grundene til at indsamle logger er at sikre, at de bor et sikkert sted og et sted, hvor du hurtigt kan komme til dem. Det nytter ikke meget at have logfiler flere steder, hvor de slet ikke kan bruges. . Du har brug for at vide, hvor de er, og hvordan du får adgang til dem når som helst, så centraliseret logaggregering er derfor en hurtig måde at få værdi på

I skal kunne implementere en løsning effektivt og helst uden ekstra omkostninger i distribuerede miljøer. For eksempel kan et eksternt websted producere et overraskende antal logmeddelelser, der ville mætte WAN-linket. På andre cloud-platforme kan logud og -ind medføre alt for store omkostninger. I disse scenarier kan det være afgørende at opbevare logfiler lokalt eller i skyen, samtidig med at du stadigvæk er i stand til at søge gennem dem via fjernadgang fra et centralt Search Head. Konvergeret SIEM er fleksibelt nok til at tilpasse sig dine behov og dit miljø.

Langtidsopbevaring af logfiler, logopbevaring og logrotation

En beslutning, som alle kunder skal træffe, er, hvor længe logmeddelelser skal gemmes. Her er der en række overvejelser:

  • Compliance: Er der lovgivningsmæssige årsager til, at logmeddelelser skal gemmes eller kan de rent faktisk kasseres? PCI, GDPR og virksomhedspolitikker kommer i spil her, både for data, der skal opbevares, og data, der skal kasseres. Det er en fordel at fastlægge detaljerede opbevaringspolitikker. Måske skal specifikke logmeddelelser, der indeholder visse personligt identificerbare oplysninger, opbevares i kortere tid, eller nogle af deres felter skal krypteres.
  • Operationelle behov: Er der visse use cases, hvor det vil være gavnligt at have en logmeddelelse, efter at noget er sket? Hvor lang tid efter aktiviteten fandt sted, kan der f.eks. realistisk (eller juridisk) være tale om et krav fra tredjemand om ophavsret mod en studerende, der downloader film ulovligt på universitetsnetværket?
  • Logvolumen og -omkostninger: Logmeddelelser optager diskplads, og diskplads koster penge. Nogle leverandører tager endda betaling for mængden af data, der lagres ved hjælp af deres værktøjer. Dette medfører en specifik omkostning for hver dag, logmeddelelser gemmes og opbevares. I sidste ende er der et punkt, hvor omkostningerne ved at opbevare logfiler i længere tid opvejer de fordele, de kan give. Så skal de sandsynligvis kasseres.

Vælge den rigtige opbevaringsløsning til logstyring

Når det drejer sig om lagring af selve loggerne, er der forskellige måder at håndtere det på. Nogle cloud- og administrerede tjenester inkluderer alle lageromkostninger i en abonnementspris. Alligevel er yderligere opbevaring ofte dyr. Og der er ikke meget kontrol over, hvad der bliver gemt hvor og hvor længe, når dataene efterlader kundens ejerskab.

Med andre løsninger ejes data af de kunder, der implementerer deres egne opbevaringslag. Afhængigt af arkitekturen kan svaret automatisk flytte ældre data til et langsommere opbevaringslag (såsom langsommere NAS-drev i stedet DAS/SAN og SSD’er). Nogle leverandører sender logdata til et offline- eller “arkiv”-lag. Hvilket nødvendiggør en langsom gendannelsesproces, hvis logdataene faktisk er nødvendige.

Som sædvanlig giver en fleksibel løsning mest kontrol over logopbevaring og -omkostninger. Opretholdelse af ejerskab over data, lagring af forskellige logmeddelelser i forskellige tidsperioder, beskyttelse af følsomme data, samtidig med at løsningen stadig kan søge i dem, og automatisk administration af opbevaringslag bør fjerne de fleste udfordringer ved en ufleksibel logstyringsløsning.

Loganalyse, logsøgning og rapportering – Hvorfor skulle du bruge logstyring?

Så hvor efterlader det os? Vi har indsamlet logs, og vi har sikret, at de opbevares centralt og i det rette tidsrum. Men efter alt dette arbejde giver det helt sikkert mening at bruge dem til noget!

Det er her almindelig logstyring knytter sig til konvergeret SIEM (Security Information and Event Management). Selvom sikkerhed er et vigtigt fokusområde med SIEM, kan enhver hændelse fra en logfil findes, alarmeres og visualiseres via dashboards og rapporter.

Derfor er indsamling og opbevaring af logfiler et vigtigt første skridt. Nogle gange er indsamling og opbevaring af logs alt, hvad der er nødvendigt for at opfylde visse compliance-krav. Men den reelle værdi begynder at komme fra alle de ting, du kan gøre med loggene. For eksempel loganalyse.

Med konvergeret SIEM får du adgang til loggenes fulde styrke. Alle logmeddelelser er centralt tilgængelige med det samme. Det betyder, at du altid ved, hvor du skal fejlfinde. Uanset om det drejer sig om netværksforbindelsesproblemer, virusscanneralarmer, brugere, der bliver ved med at låse sig selv ude, og alt muligt andet, der ellers ville have krævet manuel søgen efter svært læselige logfiler fra en lang række systemer – hvis de overhovedet stadigvæk er tilgængelige.

 

Hvis du vil have endnu mere avancerede funktioner, der rækker ud over logstyringsværktøjer, skal du sørge for at tjekke nogle af de andre blogs på LogPoint-webstedet.

Kontakt Logpoint

Kontakt os og hør, hvorfor brancheførende virksomheder vælger Logpoint:

Kontakt Logpoint

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews