Server-Logs effizient verwalten und überwachen

Tipps und Best Practices für das Log-Management

Mit einem effektiven Log-Management können Administratoren folgende Aufgaben erledigen:

• Erzeugung eines Audit-Trails für forensische Analysen. Mitunter wird ein unbefugtes Eindringen vermutet, oder ein Datenabfluss ist wirklich aufgetreten. Anhand eines soliden Audit-Trails sind Forensik-Experten in der Lage, die Schritte aller, die in der letzten Zeit das Rechenzentrum genutzt haben, nachzuvollziehen. Diese Daten können dann in verwertbare Informationen umgewandelt werden.
• Unbefugtes Eindringen verhindern und überwachen. Eine aktive Kontrolle des Server-Logs schützt vor zufälligem wie auch bösartigem Eindringen in das System. Sind alle Logs korrekt aufgesetzt, dann werden sämtliche wichtigen Systeme überwacht, und die Alarmglocken läuten, sobald unerlaubte Aktivitäten entdeckt werden.
• Eindämmung von Sicherheitsvorfällen. Korrekt eingerichtetete Logs warnen die Techniker umgehend, falls ein unerlaubtes Ereignis in einem Rechenzentrum auftritt. Ein solides Log-Management erlaubt eine genaue Erkennung der Problemstelle sowie eine Isolierung des betroffenen Netzwerks oder Server-Abschnitts, damit sich der Schaden nicht weiter ausbreitet.
• Aktiver Schutz der Umgebung. Werkzeuge für Baseline-Analysen und Log-Management ermöglichen eine vorausschauende Sicherheitsmethodik. Werden Lücken in der Sicherheit oder Fehler bei den bestehenden Systemen rechtzeitig erkannt, können Techniker Gegenmaßnahmen ergreifen, bevor ein ernsthafter Fall eintritt. Zum Beispiel kann das heißen, dass nur ein Server-Port gepatcht werden muss, um zu verhindern, dass es später zu einem echten Fall von Datenverlust kommt.
• Konfiguration von Echtzeit-Warnungen. Rechenzentren sind das Herz des IT-Betriebs eines Unternehmens. Log-Management ist zwar wichtig, doch genauso wichtig ist die Fähigkeit, Echtzeit-Warnungen zu bekommen und diese im Auge zu behalten. Ein gutes Warnsystem ermöglicht Administratoren, zu sehen, was mit ihrer Umgebung passiert. So können Probleme ohne Zeitvergeudung gelöst werden. Kommt es zu einem unbefugten Eindringen oder einem kritischen Ereignis, dann zählt jede Sekunde.
• Verwaltung aktiver Netzwerk-Logs und Erstellung einer Nutzungs-Baseline. Ebenso unterstützen Logs Sie bei der Zukunftsplanung der Systemumgebung. So können Netzwerk-Logs dazu dienen, eine Baseline für die bestehende Umgebung zu erstellen. Daraus können Techniker erkennen, woran es noch fehlt, und effizientes Wachstum planen.
• Erstellung von Log-Büchern, die an zukünftige IT-Anforderungen angepasst werden können. Die Pflege eines aktiven Log-Buchs, das alle Logs einer bestimmten Umgebung aufzeichnet, verhilft zu einem durchgehenden Verständnis des Rechenzentrums. Ist bekannt, was die einzelnen System tun, wann sie zu wenig oder zu viel leisten und wie sie genutzt werden, dann können die Techniker die Infrastruktur dem sich ändernden Geschäftsumfeld anpassen. Anhand eines laufend aktualisierten Logbuchs können Mitarbeiter zudem lernen, wie sich die Umgebung im Zeitverlauf entwickelt.

Dabei darf nicht vergessen werden, dass jede Systemumgebung einzigartig ist und dass jeweils unterschiedliche Anforderungen an das Server-Log-Management bestehen. Möglicherweise müssen die Protokolle wegen gesetzlicher Anforderungen eine bestimmte Zeit lang aufbewahrt werden. Oder die Erstellung eines Audit-Trail ist als Nachweis zur Erfüllung von Compliance-Vorgaben wie SOX oder HIPA erforderlich. Das Thema gewinnt für sämtliche Unternehmen quer über alle Branchen an Bedeutung. Ein unzureichend geführtes Log-Management kann gravierende materielle und immaterielle Schäden nach sich ziehen, zum Beispiel Datenverluste, Sicherheitsverstöße oder erhöhtes Risiko für ein Kompromittieren von Daten und Systemumgebung.

Unternehmen, die ihre Log-Daten effizient auswerten, werden rasch den Wert und die positiven Auswirkungen auf ihren IT-Betrieb und den Gesamtbetrieb erkennen. Mit korrekt korrelierten Log-Daten können Techniker die Performance der Umgebung im Zusammenspiel mit anderen Infrastruktur-Systemen beurteilen. Zum Beispiel zeigen Log-Daten, wie ein Netzwerk-Switch für Zugriff auf das Storage-Netzwerk optimiert werden kann. Laufende, durch Log-Auswertung und Reporting-Tools gesammelte Informationen helfen zudem bei der Untersuchung der bestehenden Sicherheitsumgebung, und auch die Kosten für behördlich vorgeschriebene Audits und Maßnahmen zur Wiederherstellung können gesenkt werden. Ein gesundes und jederzeit aktuelles Log-Umfeld verschafft Ihren Technikern den nötigen Einblick in die Stabilität und Verfügbarkeit der Netzwerke, Systeme und Anwendungen.

Zwar sollte die optimale Vorgehensweise stets von der jeweiligen Organisation selbst gestaltet werden. Dennoch gibt es einige Best Practices, die sich überall anwenden lassen.

Setzen Sie Werkzeuge Dritter klug ein. Oft kaufen Techniker ein Tool für das Server-Log-Management, das sie dann nie richtig verwenden. Stattdessen sollte vor dem Kauf ein Inventar der bestehenden Infrastruktur erstellt werden. Daran können die Techniker sehen, ob die in Frage kommenden Werkzeuge für die vorhandenen Gerätschaften überhaupt geeignet sind. Verstehen Sie genau, welche Logging-Anforderungen es in Ihrem Haus gibt und was sie damit erfahren wollen, bevor Sie möglicherweise viel Geld für ein Log-Management-Tool ausgeben. Ein weiteres Beispiel ist Sicherheit. Steht sie an erster Stelle, dann sehen Sie sich nach Anbietern um, deren Software proaktive Warnmeldungen bietet. Ineffiziente Tools können eine Log-Umgebung mit sich bringen, in der Sie nur schwer (oder überhaupt nicht) die gesuchten Daten finden.

Überprüfen Sie die Logs routinemäßig. Viele Organisationen glauben, dass ihre Logs rein zur Informations- oder Störungssuche dienen, aber nicht zur Trenderkennung. Doch eine vorausschauende Überprüfung und Auswertung der Protokolldaten bedarf eines abgestimmten und disziplinierten Vorgehens.

In großen Systemumgebungen muss das Log-Management täglich durchgeführt werden, um bei den vielen Protokollen auf dem Laufenden zu bleiben. Eine tägliche Log-Überprüfung sorgt für einen Überblick über die Systemumgebung. Probleme können noch vor ihrer Entstehung erkannt werden. Auch bringt eine regelmäßige Log-Kontrolle mehr Informationen über die Systemumgebung und deren Zusammenspiel mit anderen Systemen. Selbst wenn Compliance nicht von vorrangiger Bedeutung ist, kann eine routinemäßige Log-Prüfung viel Zeit und Geld sparen, falls etwas passiert. So sollten zum Beispiel aktive Sicherheitswarnungen über alle Zugriffe in einer Systemumgebung eingerichtet sein. Bei einem korrekten Aufsetzen der Regeln wird ein Unternehmen rechtzeitig über ein unbefugtes Eindringen in Kenntnis gesetzt und kann noch vor Eintritt eines Schadens reagieren. Eine proaktive Bekämpfung möglicher Sicherheitslücken kann Unternehmen Tausende, wenn nicht Millionen von Dollar sparen, indem unberechtigter Datenabfluss verhindert wird.

Richten Sie Kontroll- und Warnsysteme ein. Viele Tools für Server-Log-Management bieten dies schon standardmäßig an. Allerdings sind in vielen Systemumgebungen die Warnsysteme nur auf mögliche Compliance-Probleme ausgerichtet, und weitere, potenziell wichtige Aspekte werden vernachlässigt. Ein gutes Log-Management umfasst aber auch Warnungen für Sicherheits- und Systemüberwachung außerhalb des Compliance-Bereichs. Nur so können die Administratoren einen vollständigen Überblick der gesamten Stabilität ihrer Umgebung behalten. Zum Beispiel zeichnen alle Geräte für das Kern-Netzwerk von Unternehmen Log-Informationen auf; diese lassen sich sammeln, überwachen und nutzen. Auf diese Weise können Administratoren dann schnell Informationen über Fehlkonfigurationen, Sicherheitslücken und den optimalen Einsatz ihrer Switches bekommen. Und noch wichtiger: Ein gutes Warnsystem ermöglicht vorausschauendes Handeln, damit das Rechenzentrum stabil und funktionsfähig bleibt.

Erstellen Sie Log-Management-Richtlinien. Bei gutem Log-Management wird die regelmäßige Server-Log-Auswertung zu einer wichtigen täglichen Prozedur. Sind alle Berichte eingeholt, dann müssen sie auf ihre Konsistenz und auf Lücken im Ablauf untersucht werden. Oft kann ein aggregierter Log-Bericht auf die Störung einer Sicherheitsfunktion oder auf einen Fehler einer Systemkomponente hinweisen. Große Unternehmen unterhalten zum Beispiel verteilte Rechenzentren mit einer Vielzahl an Geräten. Gut ausgearbeitete Log-Management-Richtlinien umfassen die Komponenten an allen Endpunkten der Infrastruktur und übermitteln diese Informationen an ein zentralisiertes Log-Management-Tool. Damit sind die Techniker in der Lage, die Load-Balancers, Security Gateways und andere Appliances im Rechenzentrum auf Unstimmigkeiten oder Fehler zwischen den verschiedenen Standorten zu überprüfen. Auf Basis solider Richtlinien können auch über lange Zeit hinweg Protokolle gesammelt werden. Eine Auswertung der Logs einer bestimmten Zeitspanne ermöglicht dann die Verknüpfung wichtiger Sicherheits- und Systemdaten. Auch dies dient der Verhinderung von unbefugtem Eindringen und der Systemstabilität.

Testen Sie Ihr Log-Management. Penetrationstests oder interne Compliance-Tests helfen Ihnen dabei, die richtigen Informationen in Ihren Protokollen aufzuzeichnen. Und noch wichtiger: Mit Tests kann man erkennen, ob die richtigen Daten erfasst werden und bei den richtigen Ereignissen gewarnt wird, und sie bieten Gelegenheit zur Überprüfung und Nachjustierung der Prozesse. Regelmäßiges Testen kann auf Dauer auch die Umgebung für Log-Management verbessern und noch effektiver machen. Und während der Tests können die Techniker nicht nur überprüfen, ob das Logging funktioniert, sondern auch bereits, ob unberechtigte Systemanwendungen laufen oder ob es einen Sicherheitsverstoß gab, der ihnen entgangen ist.

Sichern Sie Ihre Logs ab. Das Server-Log-Management sollte von einem dafür autorisierten Team durchgeführt werden, zu dem nur eine begrenzte Anzahl von Personen gehört. Wird einem zu breiten Personenkreis darauf Zugriff gewährt, dann öffnet sich die Tür für versehentliche (oder bösartige) Löschungen oder Änderungen an der eingerichteten Logging-Umgebung. Das wiederum kann die Compliance-Integrität oder die regulatorischen Anforderungen untergraben.

Wirksames Logging unterstützt die Systemumgebung

Bei der Arbeit mit Log-Management kommt es darauf an, zu verstehen, welche Rolle die Logs in einem Rechenzentrum spielen. Firewall-, Server- und Anwendungs-Logs zusammen können dafür genutzt werden, eine Systemumgebung viel sicherer zu machen. Wie erwähnt: Wenn der Administrator die Logs im Auge behält und auf ihrer Basis Warnmeldungen einrichtet, kann er Sicherheitsprobleme in seiner Umgebung schnell entdecken. Mit proaktiv verstandenem Logging lässt sich die Umgebung also vor möglichen Einbrüchen schützen. Noch wichtiger ist der Schutz von Unternehmensdaten – und auch bei der Verhinderung von Datenverlusten spielt Log-Management eine wichtige Rolle.

Ein einziger Sicherheitsvorfall kann ein Unternehmen teuer zu stehen kommen – sowohl im Sinne eines finanziellen Verlustes als auch in Form eines Reputationsschadens. Wirksame Log-Management-Techniken helfen Administratoren dabei, eine stabile und gut überwachte Systemumgebung aufzubauen, in der proaktive Sicherheit gewährleistet ist.

Bill Kleyman, MBA, MISM, ist begeisterter Technologie-Experte mit umfangreicher Erfahrung im Management von Netzwerk-Infrastrukturen. Als Ingenieur hat er unter anderem große Virtualisierungsprojekte realisiert sowie Netzwerke für Unternehmen geplant und implementiert. Derzeit arbeitet er als Architekt für Virtualisierungslösungen bei MTM Technologies, einer USA-weit tätigen IT Beratungsfirma. Zuvor war er als Technologie-Direktor bei World Wide Fittings Inc. tätig.