Log Management
Log Management (von englisch Log file; deutsch „Protokolldatei“) umfasst u. a. das Definieren, Empfangen, Auswerten, Speichern und Löschen von Protokolldaten, die ein Computersystem während seines Betriebs erzeugt.
Logdaten
Logdaten sind Protokolle über Änderungen und den Betrieb von Computersystemen.
Log Management fasst üblicherweise die Protokolle aller IT-Systeme eines Computernetzwerks an einer zentralen Stelle, dem Log Management System, zusammen.
Durch Log Management können Unternehmen bei der Einhaltung diverser internationaler Standards wie PCI DSS, HIPAA, SOX etc. unterstützt werden bzw. sind sie vielfach auch verpflichtend umzusetzen (Stichwort: Nachvollziehbarkeit). Wirtschaftsprüfer und rechtliche Ratgeber können im Zuge von Audits daher auch den Umgang mit Logdaten bzw. das Vorhandensein eines Log Managements überprüfen. Dies kann bis zum Verlangen einer revisionssicheren Archivierung der Log-Daten reichen, je nach Kontext des Audits.
Security Information und Event Management (SIEM)
Neben der revisionssicheren Archivierung der Log-Daten besteht oft noch der Bedarf nach einer echtzeitnahen Korrelierung und Alarmierung von Sicherheitsvorfällen.[1] Hier spricht man von Security Information & Event Management (= SIEM). SIEM-Lösungen setzen meistens auf dem Log Management auf.
Die System- und Sicherheit Logdaten von Servern, Switches und Firewalls und anderen Systemen und Applikationen geben im Zweifelsfall Aufschlüsse über Sicherheitsvorfälle (Security Incidents) und unerwünschte Vorkommnisse. Die Sammlung und Archivierung bzw. forensische Sicherstellung kann allerdings eine aufwändige Angelegenheit sein, die mit einem sogenannten Security Information und Event Management System umgesetzt werden kann.
Logformate
Vor allem ein fehlender allgemeiner Standard für die Definition von Log-Einträgen erschwert eine zentrale Auswertung und Korrelation der Daten. Die Hersteller liefern hier vom Windows-Event-Log-Format über Linux Logs, Syslogs bis zu generischen ASCII-Logs verschiedenste Log-Formate, die übersetzt und zentral abgelegt werden müssen. Das Syslog-Format, das vor allem bei Netzwerkkomponenten wie Switches und Firewalls eingesetzt wird, hat zudem als UDP-Protokoll den Nachteil, dass keine gesicherte Übertragung der Logs garantiert wird.
Siehe auch
- Security Information Management (SIM)
- Security Event Management (SEM)
- Security Information und Event Management (SIEM)
Einzelnachweise
- Karen Kent (NIST), Murugiah Souppaya (NIST): Guide to Computer Security Log Management. (PDF) SP 800-92. In: Information Technology Laboratory – Computer Security Resource Center. NIST, 13. September 2006, abgerufen am 4. August 2021 (englisch).