WhatsUpGold Blogs

Netzwerkprotokollarchivierung = perfekte Rückwärtssichtbarkeit

Doug Barney | Posted on | Sicherheit

Die Netzwerküberwachung ist ideal, um einen Echtzeitüberblick über Ihre vernetzte Umgebung zu erhalten, und mit Berichten können Sie auch in die Vergangenheit zurückblicken. Protokolle sind der Schlüssel zu diesem Blick in den Rückspiegel, da sie alle Daten für alle überwachten Elemente enthalten.

Aber ohne die Archivierung von Netzwerkprotokollen können Sie nur so weit zurückblicken. Wussten Sie, dass es laut einer IBM/Ponemon-Studie durchschnittlich 287 Tage dauert, bis eine Datenpanne entdeckt und eingedämmt wird? Wie wollen Sie wissen, was damals passiert ist, und wie können Sie sicherstellen, dass so etwas nicht noch einmal passiert, wenn Sie diese neun Monate alten Protokolle nicht analysieren können? Das können Sie nicht. 

Um die Sicherheitsforensik zu unterstützen und das Netzwerk wirklich zu verstehen, implementieren kluge IT-Profis bewährte Verfahren zur Verwaltung von Netzwerkprotokollen (die mit der Protokollierung und Analyse beginnen) und perfektionieren diese Verfahren mit der Archivierung von Netzwerkprotokollen. 

Was sind Protokolle?

Stellen Sie sich ein Protokoll als "Journal-of-Record" für jedes Ereignis oder jede Transaktion vor, die auf einem Server, Computer oder einer Hardwarekomponente in Ihrem Netzwerk stattfindet. So gut wie alles in Ihrer IT-Umgebung verfügt über eine Art Protokoll. Microsoft-Systeme erzeugen Windows-Ereignisprotokolldateien. UNIX-basierte Server und Geräte verwenden den Standard System Log (oder Syslog). Apache und IIS erzeugen W3C/IIS-Protokolldateien. Protokolldateien enthalten eine Fülle von Informationen, die die Anfälligkeit eines Unternehmens für Eindringlinge, Malware, Schäden, Verluste und rechtliche Verpflichtungen verringern.

Protokolldaten müssen gesammelt, gespeichert, analysiert und überwacht werden, um die Standards zur Einhaltung von Vorschriften wie Sarbanes Oxley, Basel II, HIPAA, GLB, FISMA, PCI DSS und NISPOM zu erfüllen und darüber zu berichten. Dies ist eine gewaltige Aufgabe, da Protokolldateien aus vielen verschiedenen Quellen, in unterschiedlichen Formaten und in riesigen Mengen anfallen und viele Unternehmen nicht über eine angemessene Protokollverwaltungsstrategie zur Überwachung und Sicherung ihres Netzwerks verfügen.  Weitere Einzelheiten zu den Protokolltypen finden Sie auf der Seite WhatsUp Gold Best Practices for Event Log Management.

Warum Netzwerk Log Management?

Logs sind detaillierte Aufzeichnungen von Ereignissen, wie das Flugprotokoll eines Piloten oder das Kilometerprotokoll eines LKW-Fahrers. In jedem dieser Fälle gibt das Protokoll Aufschluss darüber, wo Sie gewesen sind. Im Falle Ihres Netzwerks enthält das Protokoll eine detaillierte Aufzeichnung aller Ereignisse, einschließlich der Benutzeraktionen. Und mit Netzwerk ist jede Netzwerkressource gemeint, die Sie überwachen möchten, einschließlich Server, Geräte, Anwendungen wie Datenbanken und Websites usw. Die Aufzeichnung enthält Ereignisse und Leistungsdaten, was für Anwendungen von großem Nutzen ist, aber auch wichtig ist, um zu wissen, wie sich Netzwerkkomponenten im Laufe der Zeit entwickelt haben.

Wow! Das ist eine ganze Menge Zeug. Ja, und es kann teuer und mühsam sein, all diese Daten zu speichern. Aus diesem Grund führen viele Unternehmen kurzfristige Protokolle und werfen die älteren Daten weg. Aber es sind diese älteren Daten, die es Ihnen ermöglichen, die Sicherheitsverletzung zu untersuchen, die Sie gerade entdeckt haben, die aber eigentlich schon 280 Tage zurückliegt.

Netzwerk-Log-Management - Archivierung zur Rettung

Die Archivierung von Protokollen bietet einen enormen IT-Nutzen, wirft aber auch eine Reihe von Problemen auf. "Wenn IT-Manager über Protokollierung und Archivierung nachdenken, stehen sie vor einem Dilemma: Wenn sie genügend Daten aufbewahren, sind die Anforderungen von Audits und gesetzlichen Vorschriften erfüllt, die Geschäftskontinuität wird gewahrt und die Wiederherstellung nach einer Katastrophe läuft reibungslos ab. Werden jedoch zu viele Daten aufbewahrt, können die Kosten für die Speicherung dieser Daten und die für die Pflege der Archive erforderlichen Ressourcen in die Höhe schießen und viele der Vorteile zunichte machen", so Computerworld.

"Was wir brauchen, ist eine sorgfältige, geschäftsbasierte Balance zwischen Sicherheit und Speicherung. Die einfache Speicherung der Daten reicht nicht aus. Die Art und Weise, wie die Daten gespeichert werden, und wie die damit verbundenen Bedrohungen abgewehrt werden, sind entscheidende Teile des Puzzles. Selbst das ausgeklügeltste Storage Area Network (SAN) nützt nicht viel, wenn ein Angreifer auf die Protokolle zugreifen und sie löschen oder anderweitig manipulieren kann."

Zum Glück für WhatsUp Gold-Anwender ist die einfache und intuitive Protokollarchivierung im Log Management enthalten. Die IT-Abteilung kann nun problemlos gesetzliche Vorschriften einhalten und historische Daten aufbewahren, ohne die Leistung zu beeinträchtigen. Sie können die Aufbewahrungszeiträume anpassen, Speicherorte auswählen und filtern, welche Protokolle archiviert werden sollen. Die IT-Abteilung kann außerdem archivierte Protokolle durchsuchen, löschen oder wiederherstellen - alles innerhalb der vertrauten WhatsUp Gold-Oberfläche. Weitere Details finden Sie auf unserer Funktionsseite zum Log Management.

Optimierung der Wirtschaftlichkeit von Netzwerkprotokollen

Die Wirtschaftlichkeit der Archivierung unterscheidet sich erheblich von der der Nearline-Speicherung, vor allem, wenn Sie Komprimierungstechniken verwenden, um all diese Daten zu komprimieren. Diese komprimierten und wirtschaftlich gespeicherten Daten können jederzeit dekomprimiert und zur Analyse in ein aktiveres System geladen werden. 

Weitere Gründe für die Archivierung von Netzwerkprotokollen sind die Möglichkeit:

  • Protokolldatenspeicherung optimieren und einsparen
  • Erfüllen Sie die Anforderungen an die Einhaltung gesetzlicher Vorschriften
  • Verhindern, dass Protokolldaten verloren gehen

Archivierung und Compliance von Netzwerkprotokollen

Die Archivierung von Netzwerkprotokollen ist nicht nur ein bewährtes Verfahren, sondern auch unerlässlich für einige Compliance-Vorschriften, die die Aufbewahrung von Protokollen für ein Jahr vorschreiben, oder für die weitaus strengeren SOX-Vorschriften, die Finanzinstitute zur Aufbewahrung von Protokollen für volle sieben Jahre verpflichten. Diejenigen unter Ihnen, die im Bankwesen tätig sind, wissen genau, wovon ich spreche.


"Unternehmen müssen sich mit Vorschriften auseinandersetzen. Ganz gleich, ob es sich um Behörden oder Industrieunternehmen handelt, fast alle verlangen die Einhaltung von Vorschriften durch die Protokollierung von Aktivitäten und Ereignissen. Ein zentralisiertes Protokollierungssystem über das Protokollmanagement verbessert die Effizienz dieser Compliance-Bemühungen. Was genau Ihr Unternehmen protokollieren muss und wie lange, ist jedoch von Unternehmen zu Unternehmen unterschiedlich. Datalog-Lösungen sollten flexibel sein und sich an unternehmensspezifische Audit-Kontrollen anpassen können", so Solutions Review.

Protokolle sicher und geschützt aufbewahren

Ihre Netzwerkprotokolle sind von entscheidender Bedeutung für die Sicherheitsforensik und für die Planung von Upgrades, da sie einen Überblick über Ihr Netzwerk geben. Bei der Archivierung werden diese wichtigen Daten an einem separaten Ort aufbewahrt und sind somit völlig sicher vor Datenverlusten durch versehentliches Löschen oder einen Cyberangriff. 

Gleichzeitig können diese Ereignisprotokolle von entscheidender Bedeutung sein, wenn Ihr Netzwerk selbst kompromittiert wird und zur Wiederherstellung der Funktion verwendet werden kann.

Die Bedeutung der Protokollfilterung

Wenn Sie alle möglichen Protokolldaten sammeln und aufbewahren würden, würden Sie mit Daten überschwemmt werden und die Rechnung für massive und ständig wachsende Speicherkapazitäten bezahlen. Stattdessen sollten Sie nur das sammeln, was Sie brauchen, und das archivieren, was Sie WIRKLICH brauchen. 

Das beginnt mit dem Sammeln von Daten über wichtige Geräte - nicht über jedes kleine IoT-Dingsbums, das Sie herumliegen haben - und dem anschließenden Filtern der gesammelten Daten.

Die Netzwerküberwachung kann riesige Datenmengen sammeln und Ihre Speicherdatenbank bis zum Bersten füllen, was Ihr System dramatisch verlangsamen kann. Erweiterte Filter und die konservative Verwendung der entsprechenden Einstellungen und/oder Konfiguration können den Speicherbedarf in Grenzen halten.

Netzwerkprotokollverwaltung – WhatsUp Gold Protokolle verwalten und archivieren lassen

Protokolle sind wichtig, um Trends zu erkennen und Muster zu entdecken. Die Archivierung ermöglicht einen tieferen Einblick, da Sie zurückgehen und ältere historische Daten in die von Ihnen gewählte Analyse-Engine laden können. Auf diese Weise können Sie tief in die Identifizierung und das Verständnis von Netzwerkaktivitäten einsteigen. Diese Informationen können zukünftige Netzwerk-Upgrades und -Architekturen vorantreiben und bei der Entwicklung und Implementierung neuer Sicherheitsmaßnahmen helfen. 

Get Started with WhatsUpGold

Free Trial Price Quote Live Demo

Subscribe to our mailing list

Get our latest blog posts delivered in a weekly email.

Subscribe