Log-Management: Wichtige gesetzliche Pflicht für Unternehmen

Sammeln von Log-Dateien allein reicht nicht aus

Um jederzeit im Nachhinein nachvollziehen zu können, was sich in einer Anwendung oder im Netzwerk abgespielt hat ist es wichtig, dass auch wirklich alle relevanten Log-Daten im zentralen Speicher ankommen. Denn könnte beispielsweise ein Angreifer verhindern, dass Informationen über seine erfolglosen Anmeldeversuche an einer Applikation übertragen werden, blieben seine Aktivitäten viel länger oder sogar vollständig unentdeckt.

Daher sollten Unternehmen beim Aufbau einer Log-Infrastruktur darauf achten, dass diese alle Syslog-Meldungen zwischenspeichert, wenn eine Verbindung von einer Log-Quelle zum zentralen Speicher vorübergehend unterbrochen ist. Zu diesem Zweck verfügen einige Syslog-Relays über einen festplattenbasierten Nachrichtenpuffer. Fällt dann beispielsweise die WAN-Verbindung zwischen einer Niederlassung und dem zentralen Rechenzentrum aus, kann der Sylog-Relay in der Außenstelle weiterhin alle dort generierten Meldungen einsammeln und zwischenspeichern. Steht die Verbindung zur Zentrale wieder, leert er seinen Puffer in den zentralen Meldungsspeicher.

Alternativ könnte die Syslog-Infrastruktur auch den Log-Lieferanten darauf hinweisen, dass ein Transport der Meldungen aktuell nicht möglich ist. Dann kann beispielsweise eine Anwendung ihre Daten entweder selber zwischenspeichern – oder aus Sicherheitsgründen sogar ihren Betrieb einstellen, bis eine Zustellung der Log-Meldungen wieder möglich ist. Eine weitere Variante ist, bei Nichterreichbarkeit des zentralen Syslog-Servers die Meldungen vorübergehend an einen Backup-Server zu leiten.

Schließlich kann die Syslog-Infrastruktur jede von einem Server, Netzwerkgerät oder einer Anwendung eingesammelte Meldung mit einer einmaligen Sequenznummer versehen. So lässt sich auch später jederzeit nachvollziehen – und in regulierten Branchen nachweisen –, dass alle generierten Meldungen auch übertragen und zentral abgelegt wurden.