Indsamling og brug af logs: Benytter du strudsemetoden? Hvorfor ikke bruge dine logs proaktivt, så du udover at kunne søge i alle dine logs et samlet sted, også får automatisk besked, når dine logs fortæller dig noget, du SKAL være opmærksom på?

Strudsemetoden

Vi definerer strudsemetoden som den "brug" af logs, hvor man sent i et forløb opdager et problem og derefter manuelt går tilbage på en server / switch og søger igennem loggen for at se, om man kan finde et problem. Eller lader sine switches (og måske også servere) sende alle syslogs ind i en fælles base og så glemmer alt om dem. Denne fælles "skraldespand" gør det meget besværligt efterfølgende at søge i logs, og der er ingen proaktiv korrelering. Med andre ord: Man bruger ikke logs aktivt.

Om logging

De fleste IT afdelinger bruger logs efter strudsemetoden. Det betyder ingen indsamling, ingen proaktiv anvendelse og kun en reaktiv brug af logs ved at dykke ned i devices logs for at finde nålen i høstakken, som måske kan give et fingerpeg om en driftsforstyrrelse eller en sikkerhedsbrist.

Alternativt bruger du måske logs ved at pege alle dine enheder hen på en samlet base, hvor du gemmer logs i hvad der bedst kan beskrives som en skraldespand. Det nemmeste er at trykke "delete all" - meget nemmere end at brugs disse logs aktivt.

Men logs er den ultimative kilde til information om tilstanden, fejl og sikkerhedsbrister i alle dine IT systemer, og du går derfor glip af muligheden for en bedre IT-drift, hvis du ikke bruger dine logs aktivt: Det vil sige:

  • Aktiv indsamling af logs fra dine servere, routere, swicthes, firewalls, access punkter, applikationer, m.fl. til én fælles database. Logs forwardes normalt som syslogs og typisk omformes dine windows eventlogs til syslogs vha. en lokal agent på den enkelte server.
  • Log korrelering er en disciplin, hvor din logløsning intelligent "smager på" og sammenligner de indkomne logs mht. frekvens og sammenhæng. Det muliggør, at systemet automatisk advarer dig, når der er noget i dine logs, du SKAL være opmærksom på. Derved bruger du dine logs proaktivt.
  • Logsøgning udføres via dit logsystem i et interface, der gør det muligt (og nemt) at søge på tværs af alle dine logs i et bestemt tidrum efter en bestemt type af information (fx hvad har en bestemt IP adresse foretaget sig på nettet sidste onsdag mellem 12 og 14?).
  • Compliance og rapportering er andre store funktioner i en god log løsning, fordi du med de indbyggede funktioner i din log løsning gør det nemt at holde både revisionen og ledelsen tilfredse med beviselig compliance og indbyggede rapporter på inventory, sikkerhed, driftsfejl, applikationsfejl mm.