Wie lassen sich Log-Daten richtig filtern und analysieren?

In Unternehmen fallen viele Log-Daten an, die beim Troubleshooting Hilfe leisten können. Bei der Analyse helfen eindeutige IDs und Tags, um wichtige Ergebnisse herauszufiltern.

Damit ein IT-Profi vorliegende Log-Daten effektiv analysieren kann, muss er sich zunächst klar darüber werden, welche Details, Ereignisse und Aktivitäten von besonderem Interesse für ihn sind. Zum Glück bieten bereits die einfachsten Tools und Viewer zur Analyse von Protokolldateien viele Möglichkeiten, um die vorhandenen Daten zu filtern und um darin ausführlich zu suchen.

Log-Daten werden häufig benötigt, um Troubleshooting sowie Optimierungen durchzuführen, um Systeme besser zu managen und um die Sicherheit im Unternehmen und die Einhaltung der regulatorischen Vorgaben zu gewährleisten. Mit der Zeit werden die anfallenden Log-Dateien aber immer größer und enthalten teilweise gigantische Datenmengen. Das Durcharbeiten dieser Informationsberge ist äußerst aufwendig und erfordert viel Zeit. Ausgefeilte Filter sind deswegen eine der wichtigsten Maßnahmen, um den Aufwand möglichst gering zu halten.

Beispielsweise sind eindeutige Identifikationsmerkmale meist besonders wichtig. Als User-ID können E-Mail-Adressen oder Benutzernamen dienen, die sich mit protokollierten Transaktionen korrelieren lassen. Administratoren können diese eindeutigen Identifikationsmerkmale verwenden, um Filter zu erstellen, mit denen sich bestimmte Aktionen oder Ereignisse genauer unter die Lupe nehmen lassen. Oft lassen sich bestimmte Vorgänge durch einen bestimmten Anwender, ein System oder ein anderes Identifikationsmerkmal sowie einen bestimmten Zeitraum eingrenzen.

Auf diese Weise können die IT-Mitarbeiter schnell herausfinden, was ein Anwender unternommen hat oder was auf einem System geschehen ist. Zum Beispiel kann so analysiert werden, ob ein Anwender versucht hat, sich mit einem für ihn gesperrten System zu verbinden oder auf eine verbotene Datei zuzugreifen. Andere herausfilterbare Informationen sind etwa, ob und wann ein System nicht auf Anfragen reagiert hat oder ob und wann es zu unerwarteten Fehlern gekommen ist.

Aggregation und Analytics verbessern das Filtern von Log-Daten

Das Filtern von protokollierten Daten und die Suche mit Hilfe von eindeutigen Identifikationsmerkmalen ist sogar noch effektiver, wenn die IT-Mitarbeiter auf Log-Dateien aus mehreren Quellen zugreifen können. Die Aggregation von Log-Dateien und der Einsatz von modernen Analytics-Tools machen es möglich, dass mit nur einem einzigen Vorgang gleichzeitig nach bestimmten Aktivitäten auf völlig unterschiedlichen Systemen sowie in diversen genutzten Diensten und Anwendungen gesucht werden kann. Die Voraussetzung dafür ist allerdings, dass die Log-Dateien in einem Format vorliegen, das auch wirklich zusammengeführt werden kann. Ist das der Fall, dann kann die IT-Abteilung deutlich detailliertere Analysen der vermuteten Ursachen durchführen und dabei die Aktivitäten einzelner Nutzer und ihre Auswirkungen gezielt untersuchen.

Die wesentlichen Grundelemente einer effektiven Logging-Strategie

Entwerfen Sie eine Logging-Strategie, die sich auf die Bedürfnisse Ihres Unternehmens konzentriert, so dass die Sammlung der anfallenden Daten priorisiert werden kann. Konsolidieren und speichern Sie diese Protokolldaten an einer dedizierten Stelle, um den Zugriff auf sie zu vereinfachen. Achten Sie außerdem darauf, die wesentlichen Standards zur Protokollierung von Daten zu kennen und zu unterstützen. Das beschleunigt nicht nur die Verarbeitung, sondern erhöht auch zugleich die Sicherheit.

Viele Werkzeuge zur Analyse von Log-Dateien ermöglichen es, eigene Tags und Markierungen zu setzen. Dadurch lassen sich wichtige Ereignisse in Ihrer IT-Umgebung, die Ihre ungeteilte Aufmerksamkeit erfordern, leichter identifizieren und darauf reagieren.

Tags lassen sich auch für komplexere Suchen verwenden. Sie dienen also nicht nur dazu, bestimmte wichtige Ereignisse oder Einträge herauszuheben, sondern können auch genutzt werden, um bedeutende Kombinationen von Ereignissen aufzuspüren. Das kann zum Beispiel zunächst eine Speicherwarnung sein, die auf einem für das jeweilige Unternehmen kritischen Storage-System ausgelöst wird. Die IT-Mitarbeiter können die Tags dann einsetzen, um schnell korrespondierende Ereignisse herauszufiltern. Auch Alarme lassen sich auf diese Weise einfacher auslösen.

Der Einsatz moderner Filter mit eindeutigen Identifikationsmerkmalen sowie Tags beschleunigt die Suche nach Fehlern im Netzwerk und erleichtert das Troubleshooting. Existierende Probleme lassen sich so schneller aufspüren und beheben.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Logfiles und Protokolldaten speichern und auswerten

Dieser Umfang empfiehlt sich mit Logfiles aus der Cloud

Den SIEM-Einsatz optimal vorbereiten

Erfahren Sie mehr über Netzwerksicherheit

ComputerWeekly.de
Close