In einem digital getriebenen Zeitalter ist es für Organisationen von entscheidender Bedeutung, einen klaren Überblick über ihre IT-Infrastrukturen zu haben. Zwei Hauptinstrumente in diesem Prozess sind das Monitoring und das Logging. Beide spielen entscheidende Rollen, werden jedoch unterschiedlich eingesetzt und bieten verschiedene Einblicke.
Jens Decker erklärt im folgenden Beitrag die Unterschiede und wozu ein gutes Logging nützlich sein kann.
Der Hauptunterschied zwischen den Daten, die durch Monitoring und Logging erzeugt werden, liegt in ihrem Fokus und ihrer Granularität.
Lassen Sie mich das anhand der folgenden Tabelle verdeutlichen:
Monitoring | Logging | |
---|---|---|
Hauptzweck | Überwachung der Systemgesundheit in Echtzeit | Erfassen von detaillierten Ereignisinformationen |
Hauptvorteil | Früherkennung von Problemen | Tiefgehende Fehleranalyse und Forensik |
Datentyp | Aggregierte Performance-Daten | Granulare Ereignisdetails |
Beispiel | Durchschnittliche CPU-Auslastung in den letzten 10 Minuten | Einzelnes Log-Ereignis, das einen spezifischen Fehler während einer Transaktion zeigt |
Tabelle: Monitoring vs. Logging
Zusammenfassend lässt sich sagen, dass das Monitoring dazu dient, einen allgemeinen Überblick über den Zustand eines Systems zu geben, während das Logging die detaillierten Informationen liefert, die benötigt werden, um spezifische Probleme oder Vorfälle zu verstehen und zu behandeln.
Das Wachstum und die Komplexität von IT-Umgebungen haben zu einer Explosion von Daten geführt. Ohne eine zentrale Stelle zur Sammlung dieser Daten ist es nahezu unmöglich, einen klaren Überblick zu behalten oder Muster zu erkennen.
Das Monitoring bietet einen Echtzeit-Überblick über die Systemgesundheit. Es ist wie ein Arzt, der den Puls, den Blutdruck und die Temperatur eines Patienten misst. Das zentrale Logging hingegen ist wie eine medizinische Aufzeichnung, die jedes Detail über den Patienten enthält.
Am späten Freitagabend, wenn nur wenige Nutzer online sein sollten, beobachtet das Monitoring-System einen ungewöhnlichen Anstieg des ausgehenden Datenverkehrs von einem Kundenserver und reagiert wie es reagieren soll, es alarmiert die Bereitschaft.
Die Netzwerkauslastungsdiagramme zeigen einen konstanten, hohen Datenfluss von dem Server zu einer externen IP-Adresse. Dies ist untypisch für den normalen Betrieb und könnte auf einen Datenexfiltrationsversuch hindeuten.
Der Gesamtzustand des „Patienten“ hatte sich in eine ungewöhnliche Richtung entwickelt und es wäre ein guter Zeitpunkt zu schauen warum das so ist und mögliche Gegenmaßnahmen einzuleiten.
Wir mussten schnell feststellen, welche Daten kompromittiert sein könnten und wie der ungewöhnliche Datenverkehr zustande kam.
Die detaillierten Log-Daten zeigten, dass eine ältere, nicht aktualisierte Anwendung eine offensichtlich Schwachstelle aufwies. Die Logs protokollieren den Zugriff auf verschiedene Datenbanken und Dateien. Insbesondere konnten wir sehen, welche Datenbanktabellen abgefragt wurden und welche Dateien übertragen wurden. Zusätzlich enthielten die Logs die IP-Adresse des Angreifers, den genutzten Port und den Zeitpunkt des Zugriffs.
Somit konnten wir den Server zügig vom Netz nehmen, die weitere Exfiltration von Daten wurde verhindert und wir konnten zusätzlich, durch eine gezielte Auswertung aller Loggingdaten zum gleichen Zeitpunkt, ausschließen das der Angreifer weitere Server erfolgreich infiltrieren konnte.
In der komplexen Welt der IT ist es für Administratoren und Manager unerlässlich, sowohl einen Überblick (durch Monitoring) als auch detaillierte Einblicke (durch Logging) zu haben. Während das Monitoring den schnellen Überblick bietet, liefert das Logging die nötige Tiefe für die Problembehandlung, Sicherheitsforensik und Compliance.
In unserer Beitragsserie zeigen wir Ihnen wie Sie mit einfachen Mitteln die richtigen Schritte zum mehr Transparenz in Ihrer IT und damit mehr Sicherheit gehen und hier lesen Sie welche wichtige Rolle das Management in der IT Sicherheit spielt.
Was in den ersten 48h eines Angriffs passieren kann, lesen Sie hier.