Suchen

Expertenbeitrag

Pierre Gronau

Pierre Gronau

Geschäftsinhaber der Gronau IT Cloud Computing GmbH

Protokollmanagement

Schluss mit „Wer war’s?“

| Autor/ Redakteur: Pierre Gronau / Sebastian Human

Strategisch geschicktes Logging sorgt bei komplexen IT-Strukturen für Übersicht. Über die immense Priorität eines getrennten Protokollmanagements und sechs konzeptionelle Hilfestellungen zum Aufbau einer sicheren Mitschrift aller Vorgänge.

Firmen zum Thema

Mit strategisch klugem Logging lassen sich auch komplexe IT-Strukturen übersichtlich halten.
Mit strategisch klugem Logging lassen sich auch komplexe IT-Strukturen übersichtlich halten.
( Bild: Gronau IT Cloud Computing GmbH )

Sichere Identitäten gelten als wesentlicher Ausgangspunkt für Sicherheitsketten, die Datenerhebung, Datentransport und Datenverarbeitung auf Hardware-, Software- und Prozess-Ebene absichern. Denn klar ist: Sobald es einem Angreifer gelingt, sich unberechtigt einer Identität zu bemächtigen, laufen alle darauf aufbauenden Maßnahmen wie zum Beispiel Zugriffsschutz ins Leere.

Um einen Sicherheitsprozess einzurichten, müssen die Verantwortlichen organisatorische Veränderungen durchführen und eine Strategie planen.

Logmanagement in der Industrie 4.0

Die Tragweite eines guten Logmanagements offenbart sich erst bei Betrachtung der Rechtslage, des Gefahrenpotentials von Sicherheitsvorfällen und der Hardware-Software Entwicklung. Jeder am Logmanagement Beteiligte sollte verstehen, dass sich hinter dem Begriff ein Prozess und kein Produkt verbirgt. Dementsprechend liegt im Wissensmanagement, im internen Aufbau von Logging-Know-how, der wahre Benefit.

Vom Log- zum Protokollmanagement

Durch die in den letzten Jahren zunehmende Verteilung von Server-Instanzen, die allesamt eigene Logs erzeugen, und die Einführung von Cloud-Technologien schnellten Datenmengen in die Höhe: Unternehmen müssen heutzutage in der Lage sein, bis zu einem halben Petabyte zu verarbeiten. Somit entpuppt sich ein effizientes Protokollmanagement als elementarer Teil aller IT-Vorgänge.

Verteilte Systeme bieten enorme Vorteile in der Skalierbarkeit. Jedoch muten sie Sicherheitsteams wie ein unbezwingbarer Berg von Dokumenten an, wenn sie ein bestimmtes Protokoll suchen. Angesichts dieser Herausforderung ist es wichtig, bei der Implementierung einer Logginglösung für Unternehmen unbedingt Best Practices zu berücksichtigen.

Ideales Szenario in sechs Punkten

1. Vorgehen des Protokollanten

Ein idealer Mitarbeiter kennt schon vor dem Login den Sinn und Zweck seiner Handlung. Wenn der Benutzer ein Protokoll anlegt, sollte ihm eine genaue Vorschrift seines IT-Leiters zur Formatierung und Organisation vorliegen. Denn nur wenn die Protokolle einem Muster folgen, können sie automatisch verwaltet werden. Dieser Plan sollte auch Hinweise auf personenbezogene Daten, Archivierungsanforderungen oder Ähnliches beinhalten. Ein Tipp am Rande: Ist die IP angegeben, geht die Rechtsprechung eigentlich fast immer davon aus, dass die EU-DSGVO eine Rolle spielt.

Logmanagement ist ein Prozess, kein Produkt
Logmanagement ist ein Prozess, kein Produkt
( Bild: Gronau IT Cloud Computing GmbH )

Für die Entwicklung solch einer Strategie gehen Verantwortliche wie folgt vor: Zunächst überlegen sie, welche Informationen aus Unternehmenssicht am wichtigsten sind. Dann wählen sie dazu passende Protokollierungsmethoden. Hierbei spielen die Angaben, die die Mitarbeiter benötigen, die größte Rolle.

2. Formatierung der Logdaten

Parallel zur Entwicklung einer Protokollierungsstrategie ist es wichtig, das Format der Protokolle zu berücksichtigen. Wer effektive Protokollierungsformate nicht versteht, kann aus den hinterlegten Informationen keine Erkenntnisse gewinnen. Logstrukturen sollten für Mensch und Maschine verständlich sein. Denn lesbare Protokolle erleichtern Fehlerbehebungen. Simplifizierung führt zu zweierlei Vorteilen: Erstens verstehen Menschen, die extern arbeiten, die Protokolle besser. Zweitens funktioniert nur so eine automatische Datenvisualisierung. Gängige Formate, die diesem Zweck dienen, sind JSON oder KVP – beide für Mensch und Maschine schlüssig.

3. Datenmengen zentral verwalten

Um eine zuverlässige Log-Sammlung zu gewährleisten, sollten Verwalter sie getrennt und unabhängig vom restlichen Produktionsprozess speichern. Zentrale Verwaltung erleichtert schließlich nicht nur den Überblick über die Fülle an Logs, sondern ermöglicht auch effiziente Analysen. Beispielsweise können Analysten Wechselwirkungsanalysen durchführen – und dabei Zusammenhänge zwischen Datenmengen erkennen. Dazu minimiert die zentrale Verwaltung das Risiko von Datenverlusten, die beim Manövrieren getrennter Mitschriften leicht auftreten.

4. Kontext hinzufügen

Nutzen Anwender Protokolle als Daten, sollten sie den Kontext jedes Datenpunktes berücksichtigen. Die Information, dass ein Werker auf eine Schaltfläche klickt, hilft weniger als die Information, er habe gezielt auf die Schaltfläche „Verbrauchsmaterial bestellen“ geklickt. Das Hinzufügen eines weiteren Kontextes enthüllt die Art der Aktion. So kann eine Maschine bei Überschreitung eines Schwellenwertes automatisch einen Techniker anfordern, wenn die Protokolldaten Verschleiß zeigen. Hat ein Klick des Mitarbeiters zu einem Fehler geführt, erleichtert der verfügbare Kontext die Lösungsfindung.

5. Neue Anwendungsbereiche

Heutzutage dienen Protokolle längst nicht mehr nur der Behebung von Fehlern oder als letzte Instanz des Debuggings. Automatische Protokollierung erweitert das Spektrum der Einsatzmöglichkeiten auf neue Felder. Sie erlaubt Entwicklern, wichtige Trends abzusehen, die Nutzererfahrung zu verbessern und häufige Fehlerquellen zu erfassen. Geordnete Logdaten versetzen KI in die Lage, Ereignistypen mit Werten zu versehen und diese über einen Zeitraum zu vergleichen.

6. Das gesamte Team stärken

Ein Protokollverwaltungs- und Analysedienst sollte nicht nur einem hochtechnisierten Team zugänglich sein. Dies schränkt die Möglichkeiten des Unternehmens, von Protokolldaten zu profitieren, erheblich ein. Protokollmanagement- und Analysetools sollte Entwicklern Live-Tail-Debugging, Administratoren Echtzeitalarmierung, Datenwissenschaftlern aggregierte Datenvisualisierungen und Support-Teams Live-Such- und Filterfunktionen bieten, ohne dass diese Personen jemals auf die Produktionsumgebung zugreifen müssen.

Weitere Infos zum Thema:

ftp://ftp.software.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_Leef_format_guide.pdf

https://community.microfocus.com/t5/ArcSight-Connectors/ArcSight-Common-Event-Format-CEF-Implementation-Standard/ta-p/1645557?attachment-id=68077

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45862599)

Über den Autor

Pierre Gronau

Pierre Gronau

Geschäftsinhaber der Gronau IT Cloud Computing GmbH

Pixabay; Pexels; Photo by Jamie Street on Unsplash; gemeinfrei; Photo by CMDR Shane on Unsplash; Quelle: Fotolia ID-81964157; ; Gronau IT Cloud Computing GmbH; gemeinfrei (geralt / pixabay); Anna-Lena Hillenbrand; Siemens Healthineers; Palo Alto Networks