Von Nils Krumrey, Enterprise Presales Ingenieur, LogPoint

Wenn Kunden mit uns sprechen, ist die erste Anforderung auf ihrer Liste oft „Log-Management“. Das klingt recht unkompliziert. Aber wenn Sie mehr tun wollen, als nur ein Kästchen anzukreuzen, lohnt es sich, sich damit auseinanderzusetzen, was Log-Management tatsächlich bedeutet.

Was bedeutet Logging?

Jede Art von zeitlichen Ereignisdaten ist ein Protokoll. Traditionell betrachten wir Logs als lange, komplizierte Textdateien, aber die heutigen Logs können praktisch von überall her kommen, in jeder Form. Ein Virenscanner, der Update-Ereignisse von Kunden in seiner Datenbank aufzeichnet? Das ist ein Protokoll. Netzwerkflussdaten aus einer Virtual Private Cloud in AWS? Wieder ein Protokoll. Und natürlich gibt es all die üblichen Verdächtigen wie Windows-Ereignisprotokolle, Webserver-Protokolle, Dateizugriffsprotokolle usw.

Was ist Log Management?

Wenn wir Protokolle haben, warum müssen sie dann verwaltet werden? Der Begriff „Log Management“ stammt aus einer Zeit, in der Protokolle hauptsächlich aus Textdateien bestanden und Administratoren mit Plattenplatz rangen und log99 zu log00 wurde. Damals mussten Logs „wegverwaltet“ werden, damit das Quellsystem wieder atmen konnte.

Während Textdateien für Syslog, APIs und Datenbanken Platz gemacht haben, ist das einfache log00-Beispiel immer noch der Ausgangspunkt für die Protokollverwaltung. Vielleicht nicht so sehr in Bezug auf den Plattenplatz heutzutage, sondern um sicherzustellen, dass wir Protokolle erfassen, bevor sie verschwinden. Es ist erstaunlich, wie viele Systeme ihre Protokolle immer noch überschreiben und wie schnell sie dies tun. Bei der Verwendung herkömmlicher Log-Server existieren oftmals Protokolle nur 24 Stunden oder weniger, bevor sie überschrieben werden und verschwinden. Wenn wir diesen Protokolldaten später einen Sinn geben wollen, müssen wir sicherstellen, dass sie gesammelt werden und nicht verloren gehen.

Die verschiedenen Schritte des Log Managements

Wir haben bestimmt, was eine Logmeldung ist und warum sie erfasst werden müssen, aber wie machen wir das praktisch?

Log Sammlung

Zuerst muss die Logmeldung gesammelt werden. Entweder muss sie aufgegriffen werden (die Lösung holt sie ab), oder etwas muss sie vor unserer Haustür abgeben (die Lösung sammelt sie ein). Das Sammeln von Log-Dateien kann für echte Log-Dateien erreicht werden, indem man sich in ein System einloggt und sie mittels SCP oder SFTP abruft. Alternativ kann das Quellsystem so konfiguriert werden, dass es nett ist und regelmäßig Protokolle mit dem eingebauten FTP-Server der Lösung abliefert. Abgesehen von Dateien können es auch Syslog-Daten (weit verbreitet bei Netzwerkgeräten) oder SNMP-Traps sein. In der Windows-Welt könnte es ein Agent, ein Windows Event Forwarding Collector oder WMI sein. Bei Datenbanken könnte es sich um ODBC handeln. Die Office 365-Verwaltungs-API oder die Defender-Alert-API oder die EventHubs-API. Ein S3-Eimer.

Die Methoden der Logsammlung sind in der Tat endlos. Es ist jedoch von entscheidender Bedeutung, dass die Log-Management-Lösung die Plattformen und Techniken unterstützt, die Sie zur Erzeugung von Protokolldaten verwenden. Andernfalls wird es blinde Flecken geben.

Zentralisierte Log-Aggregation

Ein Grund, Protokolle zu sammeln, ist, dafür zu sorgen, dass sie an einem sicheren Ort aufbewahrt werden, den man schnell aufsuchen kann. Es hat wenig Sinn, Log-Dateien an vielen verschiedenen Orten zu haben. Eine zentralisierte Log-Aggregation ist daher ein schneller Weg, um aus den gesammelten Logs einen Wert zu schöpfen. Man muss wissen, wo sie sich befinden und wie man jederzeit auf sie zugreifen kann.

Die gewählte Lösung muss effizient und ohne zusätzliche Kosten in dezentralisierten Umgebungen eingesetzt werden. Beispielsweise könnte ein entfernter Standort eine überraschende Anzahl von Protokollnachrichten produzieren, die die WAN-Verbindung sättigen würden. Ebenso könnten bei bestimmten Cloud-Plattformen Log-Aus- und -Einträge zu unerschwinglichen Kosten führen. In diesen Szenarien könnte es von entscheidender Bedeutung sein, Protokolle lokal zu speichern oder in der Cloud zu belassen, aber dennoch in der Lage zu sein, sie aus der Ferne von einem zentralen Suchsystem aus zu durchsuchen. Auch hier sollte die Lösung flexibel genug sein, um sich an Ihre Bedürfnisse und Ihre Umgebung anzupassen.

Langfristige Speicherung, Aufbewahrung und Rotation von Protokollen

Eine Entscheidung, die jeder Kunde treffen muss, ist die Frage, wie lange die Logmeldungen gespeichert werden sollen. Hier gibt es eine Vielzahl von Überlegungen:

  • Compliance: gibt es regulatorische Gründe, warum Logmeldungen aufbewahrt oder sogar verworfen werden müssen? Hier kommen PCI, DS-GVO und Unternehmensrichtlinien ins Spiel — sowohl für Daten, die aufbewahrt werden müssen, als auch für Daten, die verworfen werden müssen. Die Festlegung detaillierter Aufbewahrungsrichtlinien ist von Vorteil. Vielleicht sollten bestimmte Protokollnachrichten, die bestimmte persönlich identifizierbare Informationen enthalten, für einen kürzeren Zeitraum aufbewahrt werden, oder einige ihrer Felder verschlüsselt werden.
  • Operationelle Bedürfnisse: gibt es bestimmte Anwendungsfälle, in denen eine Logmeldung im Nachhinein von Vorteil wäre? Zum Beispiel, wie lange nach der Aktivität könnte es realistisch (oder legal) einen Urheberrechtsanspruch Dritter gegen einen Studenten geben, der Filme illegal über das Universitätsnetz herunterlädt?
  • Log-Volumen und Kosten: Log-Meldungen nehmen Plattenplatz in Anspruch, und Plattenplatz kostet Geld. Einige Anbieter berechnen sogar die Menge der mit ihren Tools gespeicherten Daten. Das führt zu spezifischen Kosten für jeden Tag, an dem Log-Nachrichten gespeichert und aufbewahrt werden. Letzten Endes kommt der Punkt, an dem die Kosten für eine längere Aufbewahrung der Protokolle den Nutzen, den sie bringen könnten, überwiegen. Dann sollten sie wahrscheinlich verworfen werden.

Auswahl der richtigen Speicherlösung

Wenn es um die Speicherung von Protokollen selbst geht, gibt es verschiedene Möglichkeiten, sich damit auseinanderzusetzen. Einige Cloud- und Managed Services enthalten alle Speicherkosten in einem Abonnementpreis. Dennoch ist eine zusätzliche Speicherung tendenziell teuer. Außerdem gibt es wenig Kontrolle darüber, was wo und wie lange gespeichert wird, wobei die Daten das Eigentum des Kunden verlassen.

Bei anderen Lösungen sind die Daten Eigentum der Kunden, die ihre eigenen Speicherebenen einsetzen. Je nach Architektur können ältere Daten automatisch auf eine langsamere Speicherebene verschoben werden (z. B. langsamere Platten-NAS anstelle von DAS/SAN und SSDs). Einige Anbieter senden Protokolldaten an eine Offline- oder „Archiv“-Ebene. Was einen langsamen Wiederherstellungsprozess erforderlich macht, wenn die Protokolldaten tatsächlich benötigt werden.

Wie üblich bietet eine flexible Lösung die größte Kontrolle über die Aufbewahrung und die Kosten der Protokolle. Die Beibehaltung der Eigentümerschaft an Daten, die Speicherung verschiedener Protokollnachrichten für unterschiedliche Zeiträume, der Schutz sensibler Daten bei gleichzeitiger Möglichkeit, diese zu durchsuchen, und die automatische Verwaltung der Speicherebenen durch die Lösung sollten die meisten Herausforderungen einer unflexiblen Protokollverwaltungslösung beseitigen.

Log-Analyse, Log-Suche und Berichterstattung – Warum sollten Sie Log-Management einsetzen?

Und was bedeutet das für uns? Wir haben Protokolle gesammelt, und wir haben dafür gesorgt, dass sie zentral und für die richtige Zeitspanne aufbewahrt werden. Aber nach all dieser Arbeit macht es sicherlich Sinn, sie tatsächlich für etwas zu verwenden!

Hier wird die bloße Protokollverwaltung zu einem SIEM, oder Sicherheitsinformations- und Ereignisverwaltung. Auch wenn die Sicherheit ein wichtiger Schwerpunktbereich ist, kann mit SIEM jedes Ereignis aus einer Protokolldatei gefunden, darauf aufmerksam gemacht und über Dashboards und Berichte visualisiert werden.

Das Sammeln und Speichern von Protokollen ist also ein wichtiger erster Schritt. Manchmal ist das Sammeln und Speichern von Protokollen alles, was erforderlich ist, um bestimmte Compliance-Anforderungen zu erfüllen. Der wahre Wert zeigt sich jedoch erst in all den Dingen, die Sie mit den Protokollen tun können. Zum Beispiel: Protokollanalyse.

Mit einem SIEM erhalten Sie Zugriff auf die volle Leistung der Protokolle. Alle Logmeldungen sind fast sofort zentral verfügbar. Das bedeutet, dass Sie immer wissen, wo Sie Fehler beheben können… Ganz gleich, ob es sich um Probleme mit der Netzwerkkonnektivität, Virenscanner-Warnungen, Benutzer, die sich immer wieder selbst aussperren, und alle möglichen anderen Dinge handelt, die sonst manuell durch schwer lesbare Protokolldateien aus einer Vielzahl von Systemen hätten gejagt werden müssen – wenn diese überhaupt noch verfügbar sind. Mit dieser Art von Log Monitoring können Sie Cyberbedrohungen effektiv aus dem Weg gehen.

Für noch fortschrittlichere Funktionen, die über die Log-Management-Tools hinausgehen, sollten Sie sich unbedingt einige der anderen Blogeinträge auf der LogPoint-Website ansehen >/a>!

LogPoint kontaktieren

Melden Sie sich bei uns und erfahren Sie, weshalb sich marktführende Unternehmen für LogPoint entscheiden:

Kontakt aufnehmen

Hier erfahren Sie mehr über LogPoint

Vereinbaren Sie einen Demo-Termin
Kundenreferenzen
Einschätzungen unserer Kunden