Suchen

Strategisches Log-Management Erst die Korrelation von Event-Logs dient der Netzwerk-Sicherheit

| Autor / Redakteur: Gisela Knabl / Stephan Augsten

Log-Daten sind in Netzwerken die wesentliche Informationsquelle, um Hard- und Software-Probleme sowie Ressourcen-Engpässe zu lokalisieren oder um Risiken und Angriffe insbesondere im Vorfeld zu identifizieren. Jede IT-Komponente von Router, Firewall und Datenbank über das Betriebssystem bis hin zur Anwendung liefert Log-Files zu jeder Aktion. Einen wirklichen Mehrwert bieten die Daten aber erst dann, wenn sie miteinander in Beziehung gebracht werden.

Firmen zum Thema

Event-Logging zahlt sich erst dann aus, wenn alle wichtigen Mitarbeiter und Ressourcen auf eine zentrale Plattform zugreifen können.
Event-Logging zahlt sich erst dann aus, wenn alle wichtigen Mitarbeiter und Ressourcen auf eine zentrale Plattform zugreifen können.
( Archiv: Vogel Business Media )

Eine korrelierende Analyse von Log-Daten und gesetzten Richtlinien erlaubt es, anhand von Mustern drohende Probleme zu erkennen. Diesen Vorteil gilt es zu nutzen – das heißt, aus den Roh-Informationen der Log-Files schnell strategisch verwertbare Erkenntnisse zu gewinnen.

Schritt eins dazu ist die lückenlose Sammlung und Normierung aller Log-Daten. Nur dann sind Zusammenhänge auch präzise erkennbar. Im zweiten Schritt gilt es, Daten für beschleunigte Suchen und Basisanalysen zu indexieren, um zeitnah Maßnahmen gegen drohende Probleme ergreifen zu können. Angesichts der schieren Massen an Log-Daten – allein eine E-Mail erzeugt etwa vier Log-Files – ist dazu ein hoher Automatisierungsgrad mit ausgefeilten Algorithmen erforderlich.

Im dritten Schritt folgt eine integrierte Auswertung der Log-Daten anhand spezifischer Unternehmensziele. Während die einen Unternehmen vordergründig auf die Konformität mit gesetzlichen und industriellen Vorgaben (Compliance) abzielen, stehen bei anderen eher Sicherheitsaspekte oder hohe Anforderungen an die IT-Performance mit schneller Fehleridentifizierung im Fokus.

Strategisches Log-Management gewinnt an Bedeutung

Die meisten Unternehmen sammeln die Log-Daten einzelner Netzkomponenten. Bei Problemen können sie in diesen Log-Silos zumindest manuell nach Fehlerquellen suchen – als letzte Maßnahme, sofern keine andere Lösung gefunden wurde.

Inwieweit Unternehmen bereits dazu übergegangen sind, aus ihrem brachliegenden Datengrab an Log-Files geschäftliche Vorteile zu ziehen, untersucht regelmäßig das SANS-Institut. Diese Organisation ist die weltweit größte für Trainings und Zertifizierungen im Bereich Informationssicherheit.

Der 2008 gemeinsam mit dem Log-Management-Spezialisten LogLogic herausgegebene Markt-Report zeigt, dass der Anteil der Unternehmen mit Log-Servern kontinuierlich von 38 Prozent in 2006 auf 75 Prozent in 2008 gestiegen ist. 80 Prozent der Unternehmen sammeln Log-Daten, 67 Prozent archivieren sie.

Seite 2: Log-Management gehört laut SANS-Studie zu Best Practices

(ID:2020537)