Best Practices und Systeme für die Protokollverwaltung

Das Verwalten von Protokollen kann ein komplexes Unterfangen sein. Eine typische Organisation generiert nicht nur eine Menge davon, sondern sie stammen auch aus einer Vielzahl von Quellen, die jeweils ein möglicherweise anderes Format haben und unterschiedliche Informationen enthalten. Um einen Anschein von Ordnung in etwas zu bringen, das schnell chaotisch werden kann, wurde die Protokollverwaltung erfunden. Heute werfen wir einen Blick auf die Best Practices und Systeme für die Protokollverwaltung. Wir hoffen, dass es Ihnen dabei hilft, dies klar zu erkennen.

Wir beginnen mit einer kurzen Beschreibung der Protokollverwaltung. Anschließend werden wir uns mit den Best Practices der Protokollverwaltung befassen. Wir werden untersuchen, ob Sie ein vorgefertigtes System verwenden oder es selbst tun sollten. Wir werden uns auch ansehen, was zu überwachen ist - und was nicht -, gefolgt von Protokollsicherheit und -aufbewahrung sowie Überlegungen zum Speicher. Bevor wir einige der besten Protokollverwaltungssysteme überprüfen, werden wir uns die verschiedenen Verwaltungssysteme ansehen Aufgaben, Überprüfung und Pflege von Protokollen, Korrelation von Datenquellen und einige Automatisierung Überlegungen.

Informationen zur Protokollverwaltung

Ein Protokoll ist einfach definiert die automatisch erstellte und mit einem Zeitstempel versehene Dokumentation eines Ereignisses, das für ein bestimmtes System relevant ist. Wenn ein Ereignis auf einem System stattfindet, wird ein Protokoll oder ein Protokolleintrag generiert. Verschiedene Systeme generieren Protokolle für verschiedene Ereignisse. Die Protokollverwaltung bezieht sich im Allgemeinen auf die Prozesse und Richtlinien, die zur Verwaltung und Erleichterung der Generierung, Übertragung, Analyse und Speicherung von Protokolldaten verwendet werden. Die Protokollverwaltung impliziert normalerweise ein zentrales System, in dem Protokolle aus mehreren Quellen zusammengefasst werden.

Die Protokollverwaltung ist jedoch nicht nur eine Protokollsammlung. Wie der Name schon sagt, ist der Management-Teil wichtig. Sobald Protokolle vom Protokollverwaltungssystem empfangen wurden, werden sie in ein gemeinsames Format „übersetzt“. Dies ist erforderlich, da unterschiedliche Systeme Protokolle unterschiedlich formatieren und unterschiedliche Daten in ihre Protokolle aufnehmen. Um die Suche und Ereigniskorrelation zu vereinfachen, besteht eines der Ziele von Protokollverwaltungssystemen darin, sicherzustellen, dass alle gesammelten Protokolleinträge in einem einheitlichen Format gespeichert werden.

In Bezug auf die Suche und sogar die Korrelation ist dies ein weiteres wichtiges Merkmal der meisten Protokollverwaltungssysteme. Die besten Protokollverwaltungssysteme verfügen über eine leistungsstarke Suchmaschine. Damit können Administratoren genau festlegen, was benötigt wird. Darüber hinaus gruppiert die Ereigniskorrelation automatisch verwandte Ereignisse, auch wenn sie aus verschiedenen Quellen stammen.

Best Practices für die Protokollverwaltung

Die Protokollverwaltung ist ein komplexer Prozess. Wir können nicht viel dagegen tun. Mit dieser Komplexität geht das Risiko einher, etwas falsch zu machen. Um dies zu vermeiden, haben wir eine Liste der Best Practices für die Protokollverwaltung zusammengestellt. Unser Ziel ist es, Ihnen so viele Informationen wie möglich zur Verfügung zu stellen, um das beste Protokollverwaltungssystem für Ihre Anforderungen auszuwählen, aber vor allem, um das Beste daraus zu machen.

Log Management System oder DIY?

Aus irgendeinem Grund glauben einige Leute, dass sie ein „Protokollverwaltungssystem“ manuell implementieren können. Wenn Sie zu diesen Leuten gehören, hören Sie sofort auf, sich selbst zu veräppeln. Obwohl es möglich ist zu implementieren in irgendeiner Form Bei der manuellen Protokollverwaltung überwiegen die erforderlichen Anstrengungen bei weitem die Anforderungen an die Implementierung eines echten Protokollverwaltungssystems. Und da mehrere kostenlose und Open-Source-Tools verfügbar sind, ist das Kostenargument nicht gültig.

Es ist fast immer sinnvoll, eine verwaltete Protokollierungslösung zu verwenden, die von einem seriösen Anbieter erstellt, unterstützt und skaliert wird, anstatt ein eigenes System aufzubauen. Mit ihnen müssen Sie in der Regel nur Ihre Quellen und Ziele verbinden und können System- und Anwendungsprotokolle auf einfache Weise analysieren. Sie können mehr Zeit für die Überwachung und Protokollierung aufwenden, als Ihre Protokollierungsinfrastruktur aufzubauen.

Wissen, was zu überwachen ist (und was nicht)

Es ist wichtig zu wissen, was protokolliert werden soll, aber es ist noch wichtiger zu wissen, was nicht protokolliert werden soll. Nur weil Sie etwas protokollieren können, müssen Sie es nicht unbedingt tun. Wenn Sie zu oft protokollieren, wird es nur schwieriger, tatsächlich wichtige Daten zu finden. Darüber hinaus erhöht das zusätzliche Protokollvolumen die Komplexität und die Kosten Ihrer Protokollspeicher- und -verwaltungsprozesse. Es ist wichtig, dass Sie sich überlegen, was protokolliert wird und was nicht, bevor Sie mit der Implementierung einer Protokollverwaltungsplattform beginnen. Dies verhindert kostspielige Fehler und ermöglicht Ihnen eine bessere Größe Ihres Werkzeugs.

Überlegen Sie genau, was Sie tatsächlich protokollieren müssen. Produktionsumgebungen, die für die Einhaltung oder für Überwachungszwecke von entscheidender Bedeutung sind, sollten höchstwahrscheinlich protokolliert werden. Dies gilt auch für Daten, mit denen Sie Leistungsprobleme beheben, Probleme mit der Benutzererfahrung lösen oder sicherheitsrelevante Ereignisse überwachen können.

Umgekehrt gibt es Dinge, die Sie nicht protokollieren müssen, wie z. B. Testumgebungen, die kein wesentlicher Bestandteil Ihrer Geschäftsprozesse sind. Es gibt auch Daten, die Sie aus Compliance- oder Sicherheitsgründen nicht protokollieren möchten. Wenn ein Benutzer beispielsweise die Einstellung "Nicht verfolgen" aktiviert hat, sollten Sie keine Daten protokollieren, die diesem Benutzer zugeordnet sind.

Implementieren einer Protokollsicherheits- und Aufbewahrungsrichtlinie

Protokolle können vertrauliche Daten enthalten. Aus diesem Grund benötigen Sie eine Protokollsicherheitsrichtlinie. Dies ist beispielsweise von unschätzbarem Wert, um sicherzustellen, dass vertrauliche Daten anonymisiert oder verschlüsselt werden. Der sichere Transport von Protokolldaten zu Protokollverwaltungssystemen erfordert außerdem die Verwendung eines verschlüsselten Transports mit TLS oder HTTPS auf dem Client und auf der Serverseite.

Für eine Aufbewahrungsrichtlinie erfordern Protokolle aus verschiedenen Quellen oder Systemen möglicherweise unterschiedliche Aufbewahrungszeiten. Beispielsweise können Protokolle, die hauptsächlich zur Fehlerbehebung verwendet werden, mit relativ kurzen Aufbewahrungszeiten wie einigen Tagen oder sogar einigen Stunden arbeiten. Auf der anderen Seite erfordern sicherheitsrelevante Protokolle oder Geschäftstransaktionsprotokolle längere Aufbewahrungszeiten, häufig zur Einhaltung gesetzlicher Vorschriften. In Anbetracht dessen sollte Ihre Aufbewahrungsrichtlinie je nach Protokollquelle oder Protokolltyp flexibel und anpassbar sein.

Überlegungen zur Protokollspeicherung

Das Speichern von Protokolldaten beansprucht wertvollen Speicherplatz. Bei der Planung der Speicherkapazität für Protokolle müssen Sie hohe Lastspitzen berücksichtigen. In den meisten Fällen ist die Datenmenge pro Tag relativ konstant. Dies hängt hauptsächlich von der Systemauslastung und / oder der Anzahl der Transaktionen pro Tag ab. Wenn jedoch etwas schief geht, können Sie mit einem beschleunigten Wachstum des Protokollvolumens rechnen. Wenn Ihr Protokollspeicher Grenzwerte aufweist, die Sie überschreiten, können Sie die neuesten Protokolle verlieren. Um diesen Effekt abzuschwächen, verwenden die besten Protokollverwaltungssysteme einen zyklischen Puffer. Die ältesten Daten werden zuerst gelöscht, bevor ein Speicherlimit angewendet wird.

Außerdem sollte der Protokollspeicher eine eigene Sicherheitsrichtlinie haben. Die meisten Angreifer versuchen, ihre Spuren in Protokolldateien zu vermeiden oder zu löschen. Um dies zu vermeiden, sollten Sie Protokolle in Echtzeit an den zentralen Protokollspeicher senden - vorzugsweise außerhalb des Standorts - und ihn sichern. Wenn ein Angreifer Zugriff auf Ihre Infrastruktur hat, bleiben die Protokolle außerhalb des Standorts unverändert.

Überprüfen und Verwalten von Protokollen

Die Protokollpflege ist ein wichtiger Teil der Protokollverwaltung, wenn nicht der wichtigste. Nicht verwaltete Protokolle können zu längerer Fehlerbehebung, Datenexpositionsrisiken und höheren Kosten für die Protokollspeicherung führen. Überprüfen Sie die von Ihren Systemen generierten Protokolle und passen Sie die Protokollierungsstufe an Ihre Anforderungen an. Sie sollten Aspekte der Benutzerfreundlichkeit, des Betriebs und der Sicherheit berücksichtigen.

Machen Sie die Protokollebene konfigurierbar

Einige Systemprotokolle sind zu ausführlich, während andere nicht genügend Informationen enthalten. Leider können Sie nicht immer etwas dagegen tun. Die meisten Systeme bieten einstellbare Protokollstufen. Sie sind der Schlüssel zum Konfigurieren der Ausführlichkeit von Protokollen und zum Sicherstellen, dass das, was protokolliert werden muss, nicht wichtig ist.

Überprüfen Sie die Überwachungsprotokolle regelmäßig

Das Handeln in Sicherheitsfragen ist von entscheidender Bedeutung. Deshalb sollte man immer ein Auge auf Protokolle haben. Wenn Ihr Protokollverwaltungssystem nicht über diese Funktion verfügt - viele von ihnen tun dies -, verwenden Sie externe Sicherheitstools wie auditd oder OSSEC. Sie implementieren eine Echtzeit-Protokollanalyse und generieren Warnprotokolle, die auf potenzielle Sicherheitsprobleme hinweisen. Darüber hinaus sollten Sie Warnungen zu kritischen Ereignissen definieren, um schnell über verdächtige Aktivitäten informiert zu werden.

Datenquellen korrelieren

Die Protokollierung ist nur ein Element einer globalen Überwachungsstrategie. Für eine wirklich effektive Überwachung müssen Sie die Protokollverwaltung durch andere Arten der Überwachung ergänzen, z. B. die Überwachung anhand von Ereignissen, Warnungen und Ablaufverfolgung. Dies ist der beste Weg, um sich zu jedem Zeitpunkt ein umfassendes Bild davon zu machen, was gerade passiert. Während Protokolle gut geeignet sind, um hochauflösende Details zu Problemen bereitzustellen, ist dies am nützlichsten, wenn Sie vor dem Vergrößern der Bäume etwas Abstand zum Wald haben.

Die Protokollverwaltung funktioniert in einem Silo nicht gut. Nichts tut. Sie sollten es auf jeden Fall durch andere Arten der Überwachung ergänzen, z. B. Netzwerküberwachung, Infrastrukturüberwachung und mehr. In einer idealen Welt sollte Ihre Überwachungslösung umfassend genug sein, um alle Ihre Überwachungsinformationen an einem Ort bereitzustellen. Alternativ könnte es in andere Tools integriert werden, die diese Informationen bereitstellen. Ziel ist es, so weit wie möglich eine Einzelfensteransicht der gesamten Umgebung zu erhalten.

Protokollverwaltung und -automatisierung

Die Protokollverwaltung kann Ihnen helfen, Probleme frühzeitig zu erkennen, wodurch Sie und Ihr Team wertvolle Zeit und Energie sparen. Es kann Ihnen auch dabei helfen, Möglichkeiten für die Automatisierung zu finden. Mit den meisten Protokollverwaltungstools können Sie benutzerdefinierte Warnungen einrichten, die ausgelöst werden, wenn etwas passiert. In einigen Fällen können Sie sogar automatisierte Aktionen einrichten, die ausgelöst werden, wenn diese Warnungen ausgelöst werden. Sie sollten so viel Automatisierung verwenden, wie Ihr Management-Tool zulässt. Trotz der Zeit, die Sie für die Einrichtung dieser Automatisierung aufwenden müssen, werden Sie feststellen, dass es sich gelohnt hat, wenn Sie zum ersten Mal auf einen Vorfall stoßen.

Die Top 6 Protokollverwaltungstools

Wir haben den Markt durchsucht, um das beste Protokollverwaltungstool zu finden. Wir haben versucht, eine Liste mit verschiedenen Arten von Tools zusammenzustellen. Schließlich sind die Bedürfnisse aller Menschen unterschiedlich und das beste Werkzeug für einen ist nicht unbedingt das beste für einen anderen.

SolarWinds ist ein gebräuchlicher Name im Bereich der Netzwerkadministrationstools. Es gibt es seit ungefähr zwei Jahrzehnten und es hat uns einige der besten Tools zur Bandbreitenüberwachung sowie NetFlow-Analysatoren und -Kollektoren gebracht. Das Unternehmen ist auch dafür bekannt, mehrere kostenlose Tools zu veröffentlichen, die bestimmte Anforderungen von Netzwerkadministratoren erfüllen, z. B. den Subnetzrechner oder einen Syslog-Server.

Wenn es um die Protokollverwaltung geht, heißt das Angebot des Unternehmens jetzt SolarWinds Security Event Manager. Es wurde kürzlich von umbenannt Protokoll- und Ereignismanager, wahrscheinlich um die Tatsache besser widerzuspiegeln, dass dies tatsächlich viel mehr als nur ein Protokollverwaltungssystem ist. Viele seiner erweiterten Funktionen machen es zum SIEM-Bereich (Security Information and Event Management). Es verfügt beispielsweise über eine Echtzeit-Ereigniskorrelation und eine Echtzeitkorrektur, zwei SIEM-ähnliche Merkmale.

• KOSTENLOSE TESTVERSION: SolarWinds Security Event Manager
• Offizieller Download Link: https://www.solarwinds.com/security-event-manager/registration

Werfen wir einen Blick auf einige der SolarWinds Security Event ManagerHauptmerkmale. Das Tool kann Bedrohungen schnell beseitigen, indem verdächtige Aktivitäten sofort erkannt und automatisiert reagiert werden. Es kann auch Sicherheitsereignisuntersuchungen und Forensik durchführen, um Schadensbegrenzung und Compliance zu gewährleisten. Wenn Sie über Compliance sprechen, können Sie dies mit dem Produkt demonstrieren, unter anderem dank der geprüften Berichterstattung für HIPAA, PCI DSS und SOX. Dieses Tool verfügt auch über eine Dateiintegritätsüberwachung und eine USB-Geräteüberwachung, zwei Funktionen, die weit über den in Protokollverwaltungssystemen üblichen Funktionen liegen.

Preise für die SolarWinds Security Event Manager Beginnen Sie bei 4.585 USD für bis zu 30 überwachte Knoten. Es können Lizenzen für bis zu 2500 Knoten erworben werden, wodurch das Produkt hoch skalierbar ist. Und wenn Sie praktisch überprüfen möchten, ob das Produkt für Sie geeignet ist, Eine kostenlose 30-Tage-Testversion mit vollem Funktionsumfang ist verfügbar.

An zweiter Stelle haben wir ein weiteres großartiges Produkt namens Papier Spur, eine kürzlich erfolgte Akquisition von SolarWinds. Papier Spur ist ein beliebtes Cloud-basiertes Protokollverwaltungssystem. Es aggregiert Protokolldateien aus einer Vielzahl beliebter Produkte wie Apache oder MySQL sowie Ruby on Rails-Apps, verschiedenen Cloud-Hosting-Diensten und anderen Standard-Textprotokolldateien. Papier Spur Benutzer können dann die webbasierte Suchoberfläche oder die Befehlszeilentools verwenden, um diese Dateien zu durchsuchen und Fehler und Leistungsprobleme zu diagnostizieren. Das Tool lässt sich auch in andere integrieren SolarWinds Produkte wie Librato und Geckoboard zur grafischen Darstellung der Ergebnisse.

• KOSTENLOSER PLAN VERFÜGBAR: SolarWinds Papertrail
• Offizieller Download Link: https://papertrailapp.com/plans

Papier Spur ist ein Cloud-basiertes Software as a Service (SaaS) -Angebot von SolarWinds. Es ist einfach zu implementieren, zu verwenden und zu verstehen. Und Sie erhalten innerhalb von Minuten sofortige Transparenz über alle Systeme hinweg. Das Tool verfügt über eine sehr effektive Suchmaschine, die sowohl gespeicherte als auch Streaming-Protokolle durchsuchen kann. Und es ist blitzschnell.

Papier Spur ist unter mehreren Plänen verfügbar, einschließlich eines kostenlosen Plans. Es ist jedoch etwas begrenzt und erlaubt nur 100 MB Protokolle pro Monat. Es wird jedoch Erlauben Sie im ersten Monat 16 GB Protokolle, was einer kostenlosen 30-Tage-Testversion entspricht. Bezahlte Pläne beginnen bei 7 USD / Monat für 1 GB / Monat Protokolle, 1 Jahr Archiv und 1 Woche Index. Durch die Rauschfilterung kann das Tool Daten erhalten, indem keine nutzlosen Protokolle gespeichert werden.

3. ManageEngine EventLog Analyzer

ManageEngine, ein weiterer gebräuchlicher Name bei Netzwerkadministratoren, ist ein hervorragendes Protokollverwaltungssystem namens ManageEngine EventLog Analyzer. Das Produkt sammelt, verwaltet, analysiert, korreliert und durchsucht die Protokolldaten von über 700 Quellen mithilfe einer Kombination aus agentenloser und agentenbasierter Protokollsammlung sowie Protokollimport.

Geschwindigkeit ist eine der ManageEngine EventLog AnalyzerStärke. Es kann Protokolldaten mit beeindruckenden 25.000 Protokollen pro Sekunde verarbeiten und Angriffe in Echtzeit erkennen. Es kann auch eine schnelle forensische Analyse durchführen, um die Auswirkungen eines Verstoßes zu verringern. Die Überwachungsfunktionen des Systems erstrecken sich auf die Protokolle, Benutzeraktivitäten, Änderungen des Serverkontos, Benutzerzugriffe und mehr der Netzwerk-Perimetergeräte und helfen Ihnen, die Sicherheitsüberprüfungsanforderungen zu erfüllen.

Das ManageEngine EventLog Analyzer ist in einer funktionsreduzierten kostenlosen Edition erhältlich, die nur 5 Protokollquellen unterstützt, oder in einer Premium-Edition, die bei 595 US-Dollar beginnt und je nach Anzahl der Geräte und Anwendungen variiert. Eine kostenlose 30-Tage-Testversion mit vollem Funktionsumfang ist ebenfalls verfügbar.

4. Ipswitch Log Management Suite

Das Log Management Suite ist ein Produkt von Ipswitch, die gleiche Firma, die uns gebracht hat WhatsUp Gold, ein äußerst beliebtes Netzwerküberwachungstool. Dies ist ein automatisiertes Tool, das Systemprotokolle, Windows-Ereignisse und W3C / IIC-Protokolle sammelt, speichert, archiviert und speichert. Darüber hinaus werden Sie durch die kontinuierliche Protokollüberwachung auf verdächtige Aktivitäten aufmerksam gemacht.

Häufig geprüfte Ereignisse wie Zugriffsrechte und Datei-, Ordner- und Objektberechtigungen können verfolgt werden. Generieren von Warnungen nach Bedarf und Erstellen von Compliance-Berichten für HIPAA, SOX, FISMA, PCI, MiFID oder Basel II Beachtung. Das Tool kann Ihnen dank seiner automatisierten Filter-, Korrelations-, Berichts- und Konvertierungsfunktionen auch dabei helfen, Ihre Rohprotokolldaten in aussagekräftige Daten für Manager oder IT-Sicherheitsteams umzuwandeln.

Preisinformationen für die Log Management Suite ist nicht ohne weiteres erhältlich von Ipswitch. Das Produkt kann entweder direkt beim Verlag oder über gekauft werden IpswitchReseller-Netzwerk. Eine kostenlose Testversion ist ebenfalls verfügbar.

5. Alert Logic Log Manager

AlarmlogikDas Hauptaugenmerk liegt auf Sicherheit und Compliance. Und da die Protokollverwaltung eng mit beiden verbunden ist, ist es keine Überraschung, dass das Unternehmen die Alert Logic Log Manager. Dieses Cloud-basierte Tool bietet eine automatisierte und einheitliche Protokollverwaltung in allen Ihren Umgebungen. Es sammelt, aggregiert und durchsucht Protokolldaten aus den Cloud-, Server-, Anwendungs-, Sicherheits- und Netzwerkressourcen.

Das Alert Logic Log Manager Beinhaltet die Protokollüberwachung und -analyse sowie die Protokollüberprüfung, die von menschlichen Analysatoren live durchgeführt wird. AlarmlogikDie Experten werden Sie 365 Tage im Jahr über mögliche Bedrohungsaktivitäten informieren. Der Dienst wird auch dazu beitragen, die Protokollprüfungsanforderungen von SOC 2, HIPAA und SOX zu erfüllen und die Last der Überprüfung von Protokollen und der Verfolgung von Ereignissen zu entlasten, um PCI / DSS 10.6, 10.6.1, 10.6.3 zu erfüllen

Preisinformationen für die Alert Logic Log Manager ist nicht im Internet verfügbar und Sie müssen Kontakt aufnehmen Alarmlogik Verkäufe, um ein formelles Angebot zu erhalten. Eine kostenlose Testversion ist ebenfalls nicht verfügbar, eine kostenlose Demo kann jedoch durch Kontaktaufnahme arrangiert werden Alarmlogik.

6. Nagios Log Server

Vielleicht wissen Sie es bereits Nagios als ausgezeichnetes Netzwerküberwachungspaket. Das Produkt wird sowohl als kostenlose Open-Source- als auch als kommerzielle Version angeboten und hat einen soliden Ruf. Für die Protokollverwaltung NagiosDas Angebot heißt das Nagios Log Server. Es ist ein Komplettpaket mit zentraler Protokollverwaltung, -überwachung und -analyse. Dieses Tool kann das Durchsuchen Ihrer Protokolldaten vereinfachen. Außerdem können Sie Warnungen festlegen, um über potenzielle Bedrohungen informiert zu werden. Darüber hinaus ist in die Software eine hohe Verfügbarkeit und ein Failover integriert. Die einfachen Assistenten zum Einrichten von Quellen können Ihnen bei der Konfiguration Ihrer Server und anderer Geräte helfen, ihre Protokolldaten an die Plattform zu senden, sodass Sie innerhalb von Minuten mit der Überwachung Ihrer Protokolle beginnen können.

Das Nagios Log Server Bietet eine einfache Korrelation von Protokollereignissen über alle Protokollierungsquellen hinweg mit nur wenigen Klicks. Mit dem System können Sie Protokolldaten in Echtzeit anzeigen und Probleme in Echtzeit analysieren und lösen, sobald sie auftreten. Eine weitere Stärke des Produkts ist seine beeindruckende Skalierbarkeit. Dieses Tool erfüllt Ihre Anforderungen mit dem Wachstum Ihres Unternehmens. Bei Bedarf zusätzlich Nagios Log Server Instanzen können einem Überwachungscluster hinzugefügt werden, sodass Sie schnell mehr Leistung, Geschwindigkeit, Speicher und Zuverlässigkeit hinzufügen können.

Mit all diesen Funktionen würde man einen hohen Preis erwarten. Dies ist nicht der Fall und der Einzelinstanzpreis für die Nagios Log Server ist ein sehr vernünftiger $ 3 995. Obwohl keine kostenlose Testversion angeboten wird, steht eine kostenlose Online-Demo zur Verfügung, falls Sie das Produkt vor einer Kaufentscheidung lieber aus erster Hand betrachten möchten.