Anforderungen an ein professionelles Log-Management

Fazit

Logs liefern sehr detaillierte Informationen über alle IT-Ereignisse im Netzwerk - sowohl in Echtzeit als auch für forensische Untersuchungen im Nachhinein. Das lückenlose Sammeln, Speichern und Archivieren von Log-Dateien an sich ist eine Vorgabe, die viele Unternehmen aufgrund von Regularien oder Gesetzen erfüllen müssen. Hauptgrund für diese Bestimmungen ist es, Unregelmäßigkeiten und Sicherheitsvorfälle nachträglich lückenlos aufklären zu können.

Aufgrund der Menge an Log-Dateien, die auch in KMUs stündlich generiert werden, ist eine spätere Analyse aufwendig und im Prinzip nur mit geeigneten Tools effizient möglich. Die Echtzeitauswertung, die von Log-Management-Lösungen angeboten wird, ist hier die bessere Wahl, weil auf kritische Ereignisse zeitnah reagiert werden kann. Alarme oder anzustoßende Prozesse bei vordefinierten Ereignissen erleichtern das Handling. Die Korrelation von Log-Ereignissen aus verschiedenen Quellen ist das zu erreichende Optimum. Dabei werden nicht nur statische Fehlercodes in einer Log-Datei erkannt und gemeldet. Komplexe Ereignisse, die mehrere IT-Komponenten und deren Logs betreffen, werden analysiert und lösen einen Alarm und Meldungen aus, wenn bestimmte logische Abhängigkeiten zu anderen Meldungen in einem bestimmten Zeitraum auftreten.

Zusätzlich müssen geeignete Log-Management- und SIEM-Lösungen Datenschutzstandards beherrschen. Log-Informationen, besonders wenn der Versand zwischen unterschiedlichen Standorten über öffentliche Netze läuft, müssen verschlüsselt oder durch Zertifikate gesichert sein. Speicherung und Archivierung von Log-Dateien müssen manipulationssicher erfolgen und mit einem eindeutigen Zeitstempel versehen werden. Und schließlich muss die Lösung in der Lage sein, auf unterschiedlich schwerwiegende Ereignisse entsprechend zu reagieren. Entweder wird die Info an einen Verantwortlichen gemeldet, oder es wird ein Alarm an eine Gruppe abgesetzt, das Ereignis an eine andere Managementlösung weitergeleitet, oder es werden Prozesse ausgelöst.

Um eine Log-Management-Lösung möglichst umfänglich und trotzdem kurzfristig einsetzen zu können, sind integrierte Regeln, die Vorgaben von den zu beachtenden Regularien oder Compliance-Anforderungen abbilden, notwendig. Zusätzlich wird jede Organisation im Laufe der Zeit noch ganz spezifische Regeln definieren. Inzwischen gibt es immer mehr Lösungen, die sowohl bei deren Implementierung als auch bei Anpassungen ohne externes Consulting auskommen.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.