Sådan bruger du logs aktivt

Spørger du dig selv hvordan I bruger logs i din IT-drift, så er det overvejende sandsynligt at det sker efter "strudsemetoden"... Med strudsemetoden forbinder jeg følgende: (Se også vores Youtube videoer om LogManagement)

• Du ser ikke aktivt i dine hver dag
• Når der opstår et problem forsøger du at finde nålen i høstakken ved at gå til den node som du tror har problemet og gennemsøge loggen for ofte at finde ingenting eller se at loggen er overskrevet og data er tabt (næsten alle logs er cykliske og overskriver sig selv når de er fulde.)
• Logs er for nørder med god tid, så derfor ser du ikke i dem

Men logs er fingeraftrykket på hvad der sker med bl.a. dine noder, applikationer, brugere, sikkerhed så de inderholder meget værdifuld information som kan hjælpe dig til at klare følgende fire opgaver nemmere og hurtigere:

• Hardware og software fejl. Fx problemer med diske, ram, varme, fugt og crashede applikationer eller uønsket software. 
• Hvad har en bestemt bruger gjort på et bestemt tidspunkt. Hvilke noder, applikationer og hjemmesider har en bruger arbejdet med på et givet tidspunkt. Hvilke filer er kopierede eller slettede og hvornår / hvor længe har en bruger været logget ind på forskellige systemer.
• Sikkerhedsbrister. Er der nogen som har brugt virksomhedens ressourcer på en uretmæssig måde, forsøgt at få adgang til fortrolig information eller foretaget destruktive handlinger. Er der nogen som udefra (eller måske vigtigere indefra) har tilegnet sig rettigheder som administrator og derved har uretmæssig adgang til dine systemer / noder.
• Compliance. Kan du bevise overfor revisionen at du indsamler, vurderer og arkiverer logs så sporbarheden i din IT-drift er sikret.

For at få det fulde udbytte af dine logs er det derfor nødvendigt med følgende simple actions:

• Arkivering: Opsæt et centralt og gerne intelligent log-indsamlingspunkt (se fx Correlog) (Se YouTube video om Correlog) som står for den samlede arkivering af alle dine logs og traps. 
• Konfigurering: Konfigurer dine netværksenheder (switches, routere, firewalls, access punkter, prober, SAN m.fl.) til at sende syslogs til (IP-adressen på) din centrale log-server.
• Agenter: Installer en agent på alle dine servere og workstations som omdanne Windows eventlogs og applikationslogs til syslogs som sendes til den centrale log-server.
• Datamængder: Sørg for at der er styr på arkiveringen af logs og dan dig et overblik over mængden af logs (både antallet fra minut og mængden i Gb af dine logs over fx en måned). Det er vigtigt at din log-server kan håndtere mængden af logs på en hensigtsmæssig måde.
• Korrelering: Opsæt filtre som både proaktivt og reaktivt (via rapporter) kan fortælle dig hvad du skal være opmærksom på dine logs fortæller dig.
• Alarmering: Opsæt e-mail alarmer som fortæller dig / din servicedesk når log-serveren finder en alvorlig fejl (fx et hardware crash eller en sikkerhedsbrist)

Du er nu i stand til følgende på baggrund af dine logs:

• Søge i alle dine logs fra ét sted på tværs af noder, brugere og applikationer (lidt som i Google). Det gør arbejdet med logs fantastisk meget nemmere, hurtigere og mere effektivt.
• Proaktivt alarmere på fejl og sikkerhedsbrister så de får mindst mulig indvirkning på IT-driften. Derved sikrer du en højere oppetid for dine IT systemer.
• Rapportere på logs (mængder, hændelser og korrelationer) så du kan vurdere hvilket udstyr der er mest udsat, fejlbehæftet eller skal efterses. Du gør revisionen "glad" og sikrer proaktivt en højere oppetid.
• Korrelere logs så du opdager sikkerhedsbrister, der kan føre til datatab og nede tid.
• Øge sporbarheden ved historisk analyse af fejl, nedbrud, (bruger)adfærd. Fordi du har indsamlet dine logs aktivt er du sikker på at kunne gå tilbage i tiden og se præcist hvem der gjorde hvad på et bestemt tidspunkt. Der giver dig en bedre mulighed for at analysere en historisk fejl og på den måde forstå hvordan du kan forhindre at den samme fejl sker igen.

- Christian Schmidt, Draware A/S