Brauche ich eigentlich Protokollierung und ein zentrales Management von Protokollen?

Die meisten IT- und OT-Systeme erzeugen Protokolle über ihren Zustand und über Ereignisse, die auf den Systemen passieren. Unter Windows sind das die Ereignisprotokolle und bei Linux Systemen wie auch Netzwerk Geräten oftmals über Syslog. Warum machen die das?

Schnellere Fehlersuche und Root-Cause-Analyse

Wenn ich heute zum Arzt gehe und meine Beschwerden schildere, dann fragt dieser mich meistens aus, wann hat das angefangen, haben Sie Fieber, was tut weh? In der IT sind das die Protokoll- oder auch Log-Informationen.

Wenn ein Fehler in der Infrastruktur auftritt, dann sind die Probleme durch gute und zentralisierte Log Daten deutlich schneller zu identifizieren und die Ursache ist schneller analysiert. Ich muss nicht auf jeden Server oder jedes Device schauen und zahlreiche Logdateien durchsuchen. Ich habe direkt eine zusammengefasste Sicht auf alle Ereignisse.

Ich reduziere dadurch die durchschnittliche Reparaturzeit (Mean Time to Repair, MTTR) und die durchschnittliche Erkennungszeit (Mean Time to Detect, MTTD). Dadurch können Ausfallzeiten reduziert werden und IT Teams können sich schneller wieder ihren eigentlichen Aufgaben widmen.

Proaktive Performance-Optimierung

Log Daten brauche ich aber nicht nur im Fehlerfall. Wenn man sich regelmäßig die Protokolle seiner Systeme anschaut, dann kann man Anzeichen für Probleme frühzeitig erkennen und reagieren, bevor die Probleme auftreten. Man erhält wertvolle Informationen zur Systemauslastung, Antwortzeiten und Ressourcennutzung.
Damit kann ich Botttlenecks in Anwendungen und der Infrastruktur identifizieren, Ressourcenzuteilung optimieren und eine vorrausschauende Kapazitätsplanung auf Basis historischer Daten erstellen. Außerdem kann ich die User Experience verbessern, da ich schnellere Systeme mit reduzierten Ladezeiten erhalten, sofern ich den Engpässen frühzeitig entgegensteuere.

Erweiterte Sicherheit und Bedrohungserkennung

Die klassischen Cyber Security Systemen sind reaktiv und bekämpfen Angriffe, wenn diese da sind. Mit einer Überwachung von Log Dateien und Ereignissen in der Infrastruktur ist es möglich frühzeitig schon Angriffsversuche zu erkennen. Damit kann man den eigentlichen Angriff schon direkt blockieren. Außerdem hat man auch retrospektive Daten, um im Notfall nachvollziehen zu können, wie ein Angriff stattgefunden hat und unterstützt damit die Forensik.

Change Management und Audit Trail

Durch ein ausführliches Log Management kann man Änderungen an der Systemlandschaft nachvollziehen und auch Nutzeraktivitäten erfassen, wo es regulatorisch notwendig ist, beispielweise im Datenschutz oder bei branchenspezifischen Anforderungen wie dem Audit Trail in computergestützten Systemen im GMP-Umfeld der Pharma Branche.
Da ein gutes Log Management eine unveränderliche Aufzeichnung ermöglicht, gibt es eine gute Transparenz eine eine vollständige Dokumentation meiner IT- und OT-Systeme. Man kann Probleme im Change-Management schneller erkennen und frühzeitig eine Rollback Entscheidung treffen.

Service-Level-Management

Durch Log Daten hat man außerdem die Möglichkeit die Erbringung von Diensten durch die eigenen Systeme und technische Dienstleistungen von Lieferanten präzise zu dokumentieren und zu überwachen. Durch eine Echtzeitüberwachung relevanter Messwerte und eine Korrelation mit anderen Systemen kann man automatische Alarme bei der Annäherung an kritische Schwellwerte erhalten.

Mit der Erstellung von übersichtlichen Dashboards unterstützt man die Arbeit der verschiedenen Abteilungen und sorgt damit für transparentere Kommunikation. Über die automatisierten regelmäßigen Reports und Berichte dokumentiert man die SLA-Erfüllung gegenüber den relevanten Parteien wie Kunden und Geschäftsleitung.

Wie kann man anfangen?

Modernes Log Management geht weit über die traditionelle Fehlersuche hinaus und schafft einen erheblichen Mehrwert für das Unternehmen. Es ist aber auch eine komplexe Thematik, die man nicht mal so eben einführen kann. Der Schlüssel liegt in der Zentralisierung, Automatisierung und intelligenten Analyse der Daten, um aus rohen Logs verwertbare Erkenntnisse zu gewinnen.

Daher sollte man langsam anfangen und mit den Low-Hanging-Fruits wie Schwachstellenanalyse, Systemmeldungen und Archivierung beginnen und nach und nach die Systeme erweitern, bis man am Ende eine vollwertige Sicht auf seine Systemlandschaft hat.