In IT-Netzwerken fallen jeden Tag enorme Mengen von Daten und Aktionen an. Viele Davon werden protokolliert. Dieser Beitrag beschreibt, wie ein Log Management im Unternehmen aussehen kann und wobei es helfen kann.
Inhalt
Was genau ist Log Management?
Der Begriff Log Management umfasst alle Protokolle eines IT-Systems und hilft bei der Einhaltung wichtiger Standards. Generell gilt: Alles, was in einem IT-Netzwerk passiert, kann protokolliert werden. Denn jedes System, das es in der IT-Landschaft gibt, hat ein integriertes Protokoll.
Ein Beispiel: Ein Admin hat sich bei einem Drucker angemeldet und hat die Einstellungen geändert hat. Dafür erscheint dann ein Eintrag im Logfile, der auch später noch nachverfolgt werden kann.
Log Management als zentrale Sammelstelle
In einem Netzwerk können alle Daten aus dem Log Management zentral gesammelt werden. Denn ein Admin hat auch nicht die Lust, sich mit jedem Gerät einzeln zu verbinden und sich die Log Dateien anzusehen. Selbst wenn es sich nur um 20 Geräte handelt.
Daher sind alle Geräte im besten Fall so konfiguriert, dass sie die Log Dateien an eine zentrale Stelle senden. Dann sind zumindest schon einmal alle Files an einem Punkt gesammelt. Für den Admin ist das ein großer Vorteil. Salopp gesagt, muss er zwar immer noch „im IT-Sumpf wühlen“, aber zumindest kann er das Problem zentral an einer einzigen Stelle suchen und muss nicht von Gerät zu Gerät gehen. In der Realität bringt das für den Admin einen großen zeitlichen Vorteil.
In der Praxis sucht der Admin dann über Filter im Log Management System nach Informationen zu einem bestimmten Vorfall und kann sich bestimmte Informationen prominent darstellen lassen
Fragestellungen für eine Recherche im Log Management System können sein
- Ein Dienst läuft nicht
- Anmeldungen an einer bestimmten Stelle schlagen fehl
- Es gibt Probleme mit IP-Adressen
- Ein Drucker meldet Papierstau
Diese Fehler lassen sich zum Beispiel gesammelt über ein Tool abbilden. Ein solches Tool kann auch E-Mails zustellen.
Mit Log Management Fehlern auf der Spur
Führt ein Admin nun die Recherche im Log Management System durch, weil es zu einem Fehler gekommen ist, springt ihn die Fehlermeldung wahrscheinlich nicht direkt klar und deutlich an. Es ist eher unwahrscheinlich, dass die Fehlermeldung „Drucker bei XY hat einen Papierstau verursacht“ erscheint.
Die Fehlermeldungen im Log Management System sind eher kryptisch gehalten. In der Realität meldet ein Drucker mit einer bestimmten Kennung einen bestimmten Fehlercode bzw. meldet einen Status. Dann muss der Admin in der Dokumentation nachsehen, was dieser Ereigniscode genau bedeutet. Kommt ein Fehler zum Beispiel öfter vor, sind automatische E-Mail-Erinnerungen praktisch. Diese informieren dann nur über einen bestimmten Code, wenn die Filter entsprechend gesetzt sind.
Um mit Log-Daten umgehen zu können, muss ein Admin bzw. der Verantwortliche Protokolldaten lesen und auswerten können.
In der Praxis geht es meistens um Probleme im Serverumfeld. Das kann ein Defekt der Hardware sein, wie eine kaputte Festplatte oder ein Switch, bei dem an einem Port besonders viele Fehler übertragen werden.
Security Information and Event Management
An dieser Stelle noch einmal zurück zum Thema IT-Sicherheit. Um das Log Management zu einem Tool für die Sicherheitsüberwachung zu machen, kommt in der Praxis eine Lösung namens Security Information and Event Management – kurz SIEM – zum Einsatz. Eine SIEM-Lösung nutzt das Log Management als Basis oder setzt auf eine bestehende Log-Management-Plattform auf.
SIEM versucht über Machine Learning, Algorithmen und Signaturen verschiedene Verhaltensmuster in den Protokollen zu entdecken oder Schwachstellen daraus abzuleiten. Damit kann das System helfen, Viren oder Malware aufzuspüren.
Für eine allumfassende IT-Sicherheitslösung reicht es nicht aus, nur einen Virenscanner zu betreiben. Es gibt genügend Ereignisse, die ein Antivirus-Scanner nicht erkennt.
Über die SIEM-Lösung kann der Admin (oder die KI) im besten Fall ermitteln, woher der Virus kam, also zum Beispiel über eine E-Mail oder einen Download. Da hilft das System, proaktiv tätig zu sein.
SIEM-Lösungen sind Tools für Experten und für alle Unternehmen interessant, die einen hohen Schutzbedarf in der IT haben. Je größer und komplexer ein Netzwerk ist, desto schwieriger ist es im Schadensfall oft die genaue Ursache zu erkennen.
Was die IT-Sicherheit in Ihrem Unternehmen angeht, unser abschließender Tipp: Sehen Sie sich Ihre Einkommenssituation an. Ist Ihr Unternehmen ein lukratives Ziel für Cyberbösewichte, weil es viel zu holen gibt?
Dann sollten Sie mehr in Ihren Schutz investieren und zum Beispiel zu IT-Sicherheit als Managed Service greifen. Schließlich kaufen sich die Bösewichte heute auch schon „Malware als Managed Service“, um Unternehmen anzugreifen.
Die Investition in die IT-Sicherheit muss zum Unternehmen passen. Je größer das Unternehmen, desto interessanter für Angreifer. Investieren Sie lieber in Ihr IT-Sicherheitskonzept als das Geld an Hacker abzugeben. Und lassen Sie den Schutz regelmäßig überprüfen – auch wenn das Geld kostet. Doch nur State-of-the-Art-Lösungen schützen Ihr Unternehmen zuverlässig. Sprechen Sie uns gerne an, auch zum Thema Log Management. Wir setzen bei Log Management auf Drittanbieter und bieten die Tools als Managed Services an. Vereinbaren Sie jetzt ein unverbindliches Beratungsgespräch mit einem unserer Experten.