Jeder am Log-Management Beteiligte sollte verstehen, dass sich hinter dem Begriff ein Prozess und kein Produkt verbirgt. Dementsprechend liegt der wahre Nutzen im Wissensmanagement und internen Aufbau von Logging-Knowhow. Dazu gehören zwangsläufig der Aufbau von Strukturen, die Definition aller personenbezogener Daten im Betrieb, eine sinnhafte Archivierung der Protokolle sowie eine übergreifende Konzernbetriebsvereinbarung (KBV).
Vom Log- zum Protokoll-Management
In den letzten zehn Jahren hat die Weiterentwicklung verteilter Systeme neue Komplexitäten in der Verwaltung von Protokolldaten geschaffen. Heutige Systeme können Tausende von Serverinstanzen oder Micro-Service-Container enthalten, die jeweils ihre eigenen Protokolldaten erzeugen. Mit der raschen Entstehung und Dominanz von Cloud-basierten Systemen ist ein explosionsartiges Wachstum maschinell generierter Protokolldaten zu erleben. Infolgedessen ist das Protokollmanagement zu einem Grundpfeiler moderner IT-Operationen geworden und unterstützt eine Reihe von Anwendungsfällen wie Debugging, Produktionsüberwachung, Leistungsüberwachung, Support und Fehlerbehebung. Da kann es in der Praxis durchaus vorkommen, dass Unternehmen bis zu einem halben Petabyte Daten prozessieren müssen.
Ohne Kompass geht es nicht
Während verteilte Systeme eine hohe Effizienz in Bezug auf die Skalierbarkeit bieten, stellen sie Teams, die sich auf Protokolldaten beziehen, vor Herausforderungen: Wo sollen sie anfangen und welchen Aufwand benötigen sie, um die benötigten Protokolldateien zu finden? IT-Administratoren, DevOps-Profis und Mitarbeiter, die den protokollerstellenden Systemen am nächsten stehen, haben die Aufgabe, dezentrale Protokolldateien unter Einhaltung von Sicherheits- und Compliance-Protokollen zu verwalten. Entwickler und Ingenieure, die Probleme auf Anwendungsebene beheben müssen, könnten sich durch den Zugriff auf Protokolldateien auf Produktionsniveau eingeschränkt fühlen. Betriebs-, Entwicklungs-, Datenwissenschaftler- und Support-Teams, die Einblicke in das Benutzerverhalten für Trendanalysen und Fehlerbehebungen benötigen, fehlt oft das technische Fachwissen, das erforderlich ist, um Protokolldaten effizient zu nutzen. Angesichts dieser Herausforderungen ist es wichtig, bei der Implementierung einer Protokollierungslösung für Unternehmen Best Practices unbedingt zu berücksichtigen.
Zehn-Punkte-Plan für höhere Sicherheit
1. Strategie festlegen: Kein Mitarbeiter sollte sich blind einloggen. Vor jedem Log-Vorgang muss vielmehr die sorgfältige Überlegung stehen, was der Anwender protokollieren möchte und warum. Die Protokollierung muss, wie jede wichtige IT-Komponente, eine Strategie verfolgen. Schon bei der Strukturierung des DevOps-Setups und selbst bei der Veröffentlichung jeder neuen Funktion achten IT-Leiter oder IT-Administratoren im Idealfall darauf, dass sie einen organisierten Protokollierungsplan beifügen. Ohne eine klar definierte Strategie kann die Menge permanent anwachsender Protokolldaten ausschließlich manuell verwaltet werden, was letztendlich den Prozess der Identifizierung wichtiger Informationen erschwert. Dieser Plan sollte auch Hinweise beinhalten, ob personenbezogene Daten, Archivierungsanforderungen oder Ähnliches involviert sind. Ein Tipp: Wenn eine IP angegeben ist, geht die Rechtsprechung eigentlich fast immer davon aus, dass die EU-DSGVO im Spiel ist. Bei der Entwicklung einer Logging-Strategie sollten Verantwortliche definieren, was aus Unternehmenssicht am wichtigsten ist und welchen Wert sie von den Logs erwarten. Ein guter Plan enthält Protokollierungsmethoden und -werkzeuge, Datenhosting-Standorte und vor allem eine Vorstellung von den spezifischen Informationen, nach denen Mitarbeiter suchen.
2. Log-Daten strukturieren: Parallel zur Entwicklung einer Protokollierungsstrategie ist es wichtig, das Format der Protokolle zu berücksichtigen. Wer effektive Protokollierungsformate nicht versteht, kann aus den hinterlegten Informationen keine Erkenntnisse gewinnen. Log-Strukturen sollten klar und verständlich sein, sowohl aus der Sicht des Menschen als auch aus der Sicht der Maschine. Lesbare Protokolle erleichtern Fehlerbehebungen. Die Vereinfachung ermöglicht es zudem, dass Protokollverwaltungsdienste die Informationen weiterverarbeiten. Bessere Analysemöglichkeiten und Optionen zu Datenvisualisierungen sind die Folgen. Zwei gängige Protokollstrukturierungsformate sind JSON und KVP (Key Value Pair). Beide liefern kohärente Protokolldaten für das menschliche Verständnis und ermöglichen es Protokollierungs-Softwarelösungen, Informationen aus einem semistrukturierten Format zu extrahieren.
3. Protokolldaten separieren und zentralisieren: Protokolle sollten immer automatisch gesammelt und an einen zentralen Ort geschickt werden – getrennt von ihrer Produktionsumgebung. Die Konsolidierung von Protokolldaten erleichtert die organisierte Verwaltung und erweitert die Analysefunktionen, sodass Verantwortliche Cross-Analysen effizient durchführen und Korrelationen zwischen verschiedenen Datenquellen identifizieren können. Die Zentralisierung von Protokolldaten reduziert auch das Risiko des Datenverlusts in einer Umgebung mit automatischer Skalierung. Eine Weiterleitung von Protokolldaten an einen zentralen Ort ermöglicht es Systemadministratoren, Entwicklern, QS- und Support-Teams, Zugriff auf die Daten zu gewähren, ohne Zugang zu Produktionsumgebungen bereitzustellen. Dadurch können diese Teams Protokolldaten verwenden, um Probleme zu beheben, ohne das komplette Projekt zu gefährden. Die Replikation und Isolierung von Protokolldaten minimiert auch das Risiko, dass Angreifer Protokolldaten löschen, um Sicherheitsverletzungen zu verbergen. Selbst wenn das System gefährdet ist, bleiben die Protokolle intakt. Die neunte Ausgabe von Rockwell Automations „State of Smart Manufacturing“ Report liefert Einblicke in Trends und Herausforderungen für Hersteller. Dazu wurden über 1.500 Fertigungsunternehmen befragt, knapp 100 der befragten Unternehmen kommen aus Deutschland. ‣ weiterlesen
KI in Fertigungsbranche vorn
4. End-to-End-Protokollierung: Um häufig auftretende Komplexitäten bei der Fehlerbehebung zu überwinden und eine ganzheitliche Sicht auf Anwendungen und Systeme zu erhalten, sollten Systemadministratoren alle Systemkomponenten überwachen und protokollieren. IT-Mitarbeiter sollten daran denken, aus Serverprotokollen wie zum Beispiel Windows-Sicherheitsprotokollen zu protokollieren. Ebenso wichtig ist jedoch die Protokollierung aller relevanten Metriken und Ereignisse aus der zugrunde liegenden Infrastruktur, den Anwendungsschichten und den Endbenutzer-Clients. Die End-to-End-Protokollierung ermöglicht es, die Leistung der Systeme aus Sicht des Endnutzers zu verstehen. Dies gelingt, wenn Systemadministratoren Faktoren wie Netzlatenz, Seitenladezeiten und Verzögerungen bei Datenbanktransaktionen berücksichtigen. Die hierdurch erzeugte Transparenz sichert die nahtlose Benutzerführung.
5. Verknüpfte Datenquellen: Die End-to-End-Protokollierung an einem zentralen Ort ermöglicht es Verantwortlichen, Datenströme aus diversen Quellen wie Anwendungen, Servern, Middleware, Benutzern und Content Delivery Networks (CDNs) dynamisch zu aggregieren, um die wichtigsten Trends und Kennzahlen in Beziehung zueinander zu setzen. Die Korrelation von Daten unterstützt dabei, Ereignisse, die Systemstörungen verursachen, schnell und sicher zu identifizieren und zu verstehen. So kann beispielsweise das Aufdecken von Echtzeit-Korrelationen zwischen der Nutzung von Infrastrukturressourcen und Anwendungsfehlerraten helfen, Anomalien zu identifizieren und zu reagieren, bevor Endnutzer betroffen sind.
6. Identifikatoren verwenden: Eindeutige Identifikatoren nützen im Debugging, Support und bei Analysen. Sie erlauben es, komplette Benutzersitzungen und Aktionen einzelner Benutzer genau zu verfolgen. Wenn IT-Mitarbeiter die eindeutige ID eines Benutzers kennen, können sie die Suche nach allen Aktionen filtern, die dieser Benutzer in einem bestimmten Zeitraum durchgeführt hat. Bei einer Aufschlüsselung seiner Aktivität lässt sich eine gesamte Transaktion vom ersten Klick bis zur ausgeführten Datenbankabfrage verfolgen.
7. Kontext hinzufügen: Sobald Protokolle als Daten verwendet werden, ist es wichtig, den Kontext jedes Datenpunkts zu berücksichtigen. Zu wissen, dass ein Werker auf eine Schaltfläche geklickt hat, ist möglicherweise nicht so nützlich, wie zu wissen, dass er beispielsweise gezielt auf die Schaltfläche ‚Verbrauchsmaterial bestellen‘ geklickt hat. Das Hinzufügen eines weiteren Kontextes kann die Art der Aktion offenbaren. So kann bei einer Maschine nach Überschreiten eines Schwellenwertes automatisch ein Techniker angefordert werden, wenn die Protokolldaten Verschleiß der Maschine offenbaren. Wenn der Klick des Mitarbeiters zu einem Fehler geführt hat, erleichtert der verfügbare Kontext eine schnellere Lösung.
8. Überwachung in Echtzeit: Serviceunterbrechungen haben im Endkundengeschäft eine Vielzahl unglücklicher Folgen – darunter unzufriedene Kunden, verlorene Käufe und fehlende Daten. Wenn in der Industrie Probleme auf Produktionsniveau auftreten, kann eine Echtzeit-Überwachungslösung entscheidend sein, da oft jede Sekunde zählt. Neben einfachen Benachrichtigungen entscheidet die Fähigkeit, Probleme zu untersuchen und wichtige Informationen in Echtzeit zu identifizieren. Eine ‚Live-Tail‘-Sicht auf ihre Protokolldaten kann Entwickler und Administratoren befähigen, Protokollereignisse nahezu in Echtzeit zu analysieren, wenn Benutzer mit ihren Anwendungen oder Systemen interagieren. Die Live-Tail-Suche und -Berichterstattung ermöglicht es zudem den Support-Teams, Kundenprobleme zu untersuchen und zu lösen, sobald sie auftreten.
9. Mit Protokollen Trends erkennen: Fehlerbehebung und Debugging verkratzen nur die Oberfläche der Protokolldaten. Während Protokolle früher als schmerzhafte letzte Möglichkeit galten, Informationen zu finden, können die heutigen Protokollierungsdienste jeden, vom Entwickler bis zum Datenwissenschaftler, befähigen, nützliche Trends und wichtige Erkenntnisse aus ihren Anwendungen und Systemen zu identifizieren. Die Behandlung von Protokollereignissen als Daten schafft die Möglichkeit, statistische Analysen, zukünftig auch mit künstlicher Intelligenz (KI) auf Benutzerereignisse und Systemaktivitäten anzuwenden. Die Berechnung von Durchschnittswerten hilft, anomale Werte besser zu identifizieren. Die Gruppierung von Ereignistypen und Summenwerten ermöglicht es zudem, Ereignisse über die Zeit zu vergleichen. Diese Einblicke öffnen die Tür zu besser fundierten Geschäftsentscheidungen auf der Grundlage von Daten, die außerhalb der Protokolle oft nicht verfügbar sind. Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen
Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise
10. Das gesamte Team stärken: Ein Protokollverwaltungs- und Analysedienst, der nur einem hochtechnisierten Team zugänglich ist, schränkt die Möglichkeiten des Unternehmens erheblich ein, von Protokolldaten zu profitieren. Protokollmanagement- und Analysetools sollte Entwicklern Live-Tail-Debugging, Administratoren Echtzeitalarmierung, Datenwissenschaftlern aggregierte Datenvisualisierungen und Support-Teams Live-Such- und Filterfunktionen bieten, ohne dass jemand jemals auf die Produktionsumgebung zugreifen muss.
Links
[1] ftp://ftp.software.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_Leef_format_guide.pdf
[2] https://community.softwaregrp.com/t5/ArcSight-Connectors/ArcSight-Common-Event-Format-CEF-Implementation-Standard/ta-p/1645557?attachment-id=68077
[3] http://www.secef.net/home/idmef/idmef-introduction/
[4] http://www.secef.net/home/iodef/iodef-introduction/
