Protokollmanagement

Schluss mit „Wer war’s?“

| Autor / Redakteur: Pierre Gronau / Sebastian Human

Mit strategisch klugem Logging lassen sich auch komplexe IT-Strukturen übersichtlich halten.
Mit strategisch klugem Logging lassen sich auch komplexe IT-Strukturen übersichtlich halten. (Bild: Gronau IT Cloud Computing GmbH)

Strategisch geschicktes Logging sorgt bei komplexen IT-Strukturen für Übersicht. Über die immense Priorität eines getrennten Protokollmanagements und sechs konzeptionelle Hilfestellungen zum Aufbau einer sicheren Mitschrift aller Vorgänge.

Sichere Identitäten gelten als wesentlicher Ausgangspunkt für Sicherheitsketten, die Datenerhebung, Datentransport und Datenverarbeitung auf Hardware-, Software- und Prozess-Ebene absichern. Denn klar ist: Sobald es einem Angreifer gelingt, sich unberechtigt einer Identität zu bemächtigen, laufen alle darauf aufbauenden Maßnahmen wie zum Beispiel Zugriffsschutz ins Leere.

Um einen Sicherheitsprozess einzurichten, müssen die Verantwortlichen organisatorische Veränderungen durchführen und eine Strategie planen.

Logmanagement in der Industrie 4.0

Die Tragweite eines guten Logmanagements offenbart sich erst bei Betrachtung der Rechtslage, des Gefahrenpotentials von Sicherheitsvorfällen und der Hardware-Software Entwicklung. Jeder am Logmanagement Beteiligte sollte verstehen, dass sich hinter dem Begriff ein Prozess und kein Produkt verbirgt. Dementsprechend liegt im Wissensmanagement, im internen Aufbau von Logging-Know-how, der wahre Benefit.

Vom Log- zum Protokollmanagement

Durch die in den letzten Jahren zunehmende Verteilung von Server-Instanzen, die allesamt eigene Logs erzeugen, und die Einführung von Cloud-Technologien schnellten Datenmengen in die Höhe: Unternehmen müssen heutzutage in der Lage sein, bis zu einem halben Petabyte zu verarbeiten. Somit entpuppt sich ein effizientes Protokollmanagement als elementarer Teil aller IT-Vorgänge.

Verteilte Systeme bieten enorme Vorteile in der Skalierbarkeit. Jedoch muten sie Sicherheitsteams wie ein unbezwingbarer Berg von Dokumenten an, wenn sie ein bestimmtes Protokoll suchen. Angesichts dieser Herausforderung ist es wichtig, bei der Implementierung einer Logginglösung für Unternehmen unbedingt Best Practices zu berücksichtigen.

Ideales Szenario in sechs Punkten

1. Vorgehen des Protokollanten

Ein idealer Mitarbeiter kennt schon vor dem Login den Sinn und Zweck seiner Handlung. Wenn der Benutzer ein Protokoll anlegt, sollte ihm eine genaue Vorschrift seines IT-Leiters zur Formatierung und Organisation vorliegen. Denn nur wenn die Protokolle einem Muster folgen, können sie automatisch verwaltet werden. Dieser Plan sollte auch Hinweise auf personenbezogene Daten, Archivierungsanforderungen oder Ähnliches beinhalten. Ein Tipp am Rande: Ist die IP angegeben, geht die Rechtsprechung eigentlich fast immer davon aus, dass die EU-DSGVO eine Rolle spielt.

Logmanagement ist ein Prozess, kein Produkt
Logmanagement ist ein Prozess, kein Produkt (Bild: Gronau IT Cloud Computing GmbH)

Für die Entwicklung solch einer Strategie gehen Verantwortliche wie folgt vor: Zunächst überlegen sie, welche Informationen aus Unternehmenssicht am wichtigsten sind. Dann wählen sie dazu passende Protokollierungsmethoden. Hierbei spielen die Angaben, die die Mitarbeiter benötigen, die größte Rolle.

2. Formatierung der Logdaten

Parallel zur Entwicklung einer Protokollierungsstrategie ist es wichtig, das Format der Protokolle zu berücksichtigen. Wer effektive Protokollierungsformate nicht versteht, kann aus den hinterlegten Informationen keine Erkenntnisse gewinnen. Logstrukturen sollten für Mensch und Maschine verständlich sein. Denn lesbare Protokolle erleichtern Fehlerbehebungen. Simplifizierung führt zu zweierlei Vorteilen: Erstens verstehen Menschen, die extern arbeiten, die Protokolle besser. Zweitens funktioniert nur so eine automatische Datenvisualisierung. Gängige Formate, die diesem Zweck dienen, sind JSON oder KVP – beide für Mensch und Maschine schlüssig.

3. Datenmengen zentral verwalten

Um eine zuverlässige Log-Sammlung zu gewährleisten, sollten Verwalter sie getrennt und unabhängig vom restlichen Produktionsprozess speichern. Zentrale Verwaltung erleichtert schließlich nicht nur den Überblick über die Fülle an Logs, sondern ermöglicht auch effiziente Analysen. Beispielsweise können Analysten Wechselwirkungsanalysen durchführen – und dabei Zusammenhänge zwischen Datenmengen erkennen. Dazu minimiert die zentrale Verwaltung das Risiko von Datenverlusten, die beim Manövrieren getrennter Mitschriften leicht auftreten.

4. Kontext hinzufügen

Nutzen Anwender Protokolle als Daten, sollten sie den Kontext jedes Datenpunktes berücksichtigen. Die Information, dass ein Werker auf eine Schaltfläche klickt, hilft weniger als die Information, er habe gezielt auf die Schaltfläche „Verbrauchsmaterial bestellen“ geklickt. Das Hinzufügen eines weiteren Kontextes enthüllt die Art der Aktion. So kann eine Maschine bei Überschreitung eines Schwellenwertes automatisch einen Techniker anfordern, wenn die Protokolldaten Verschleiß zeigen. Hat ein Klick des Mitarbeiters zu einem Fehler geführt, erleichtert der verfügbare Kontext die Lösungsfindung.

5. Neue Anwendungsbereiche

Heutzutage dienen Protokolle längst nicht mehr nur der Behebung von Fehlern oder als letzte Instanz des Debuggings. Automatische Protokollierung erweitert das Spektrum der Einsatzmöglichkeiten auf neue Felder. Sie erlaubt Entwicklern, wichtige Trends abzusehen, die Nutzererfahrung zu verbessern und häufige Fehlerquellen zu erfassen. Geordnete Logdaten versetzen KI in die Lage, Ereignistypen mit Werten zu versehen und diese über einen Zeitraum zu vergleichen.

6. Das gesamte Team stärken

Ein Protokollverwaltungs- und Analysedienst sollte nicht nur einem hochtechnisierten Team zugänglich sein. Dies schränkt die Möglichkeiten des Unternehmens, von Protokolldaten zu profitieren, erheblich ein. Protokollmanagement- und Analysetools sollte Entwicklern Live-Tail-Debugging, Administratoren Echtzeitalarmierung, Datenwissenschaftlern aggregierte Datenvisualisierungen und Support-Teams Live-Such- und Filterfunktionen bieten, ohne dass diese Personen jemals auf die Produktionsumgebung zugreifen müssen.

Weitere Infos zum Thema:

ftp://ftp.software.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_Leef_format_guide.pdf

https://community.microfocus.com/t5/ArcSight-Connectors/ArcSight-Common-Event-Format-CEF-Implementation-Standard/ta-p/1645557?attachment-id=68077

HTTP, XMPP, CoAPP und MQTT: IoT-Protokolle für die Kommunikation

Internet of Things

HTTP, XMPP, CoAPP und MQTT: IoT-Protokolle für die Kommunikation

27.03.19 - Zwar ist auch zwischen IoT-Geräten eine Echtzeitübertragung der Daten wünschenswert, allerdings selten dauerhaft effektiv. Mit IoT-Protokollen können Daten auch zeitverzögert übertragen werden. Dadurch kann der Datenverkehr besser gesteuert werden. Wir geben einen Überblick. lesen

Massive Sicherheitslücken in weit verbreiteten IoT-Protokollen

Security

Massive Sicherheitslücken in weit verbreiteten IoT-Protokollen

06.12.18 - Sicherheitsunternehmen Trend Micro hat hunderttausende ungesicherte MQTT- und CoAP-Verbindungen zwischen Maschinen entdeckt. Beide Protokolle werden häufig auch in Industrial IoT-Anwendungen eingesetzt. Gefährdet sind Unternehmen weltweit. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45862599 / Industrie 4.0 und IIC)