Unverzichtbar: Die unterschätzte Rolle von zentralem Logging im Kontext von IT-Sicherheit

In einem digital getriebenen Zeitalter ist es für Organisationen von entscheidender Bedeutung, einen klaren Überblick über ihre IT-Infrastrukturen zu haben. Zwei Hauptinstrumente in diesem Prozess sind das Monitoring und das Logging. Beide spielen entscheidende Rollen, werden jedoch unterschiedlich eingesetzt und bieten verschiedene Einblicke.

Jens Decker erklärt im folgenden Beitrag die Unterschiede und wozu ein gutes Logging nützlich sein kann.

Monitoring vs. Logging

Der Hauptunterschied zwischen den Daten, die durch Monitoring und Logging erzeugt werden, liegt in ihrem Fokus und ihrer Granularität.

Lassen Sie mich das anhand der folgenden Tabelle verdeutlichen:

Monitoring Logging
Hauptzweck Überwachung der Systemgesundheit in Echtzeit Erfassen von detaillierten Ereignisinformationen
Hauptvorteil Früherkennung von Problemen Tiefgehende Fehleranalyse und Forensik
Datentyp Aggregierte Performance-Daten Granulare Ereignisdetails
Beispiel Durchschnittliche CPU-Auslastung in den letzten 10 Minuten Einzelnes Log-Ereignis, das einen spezifischen Fehler während einer Transaktion zeigt
Tabelle: Monitoring vs. Logging

Erklärung zur Datenart

  • Monitoring:
    • Aggregierte Daten: Monitoring-Daten sind in der Regel aggregierte Daten, die über einen bestimmten Zeitraum gesammelt werden. Dies können Durchschnittswerte, Maxima, Minima oder andere zusammengefasste Datenpunkte sein.
    • Trendinformation: Durch den Fokus auf aggregierte Daten können Monitoring-Systeme Trends und Muster identifizieren. Dies ermöglicht die Früherkennung von Problemen und hilft, Systemengpässe oder Ausfälle zu vermeiden.
    • Beispiel: Wenn das Monitoring-Tool eine durchschnittliche CPU-Auslastung von 95% über einen Zeitraum von 10 Minuten meldet, gibt das einen Hinweis darauf, dass der Server überlastet sein könnte.
  • Logging:
    • Granulare Daten: Logging-Daten sind detailliert und spezifisch für einzelne Ereignisse oder Transaktionen. Jedes Log-Ereignis enthält spezifische Informationen wie Timestamps, Benutzer-IDs, IP-Adressen, Fehlercodes und Nachrichten.
    • Forensische Details: Das granulare Detailniveau von Logs macht sie wertvoll für die Fehlerbehebung und forensische Untersuchungen. Sie können genau zeigen, was zu einem bestimmten Zeitpunkt auf einem System passiert ist.
    • Beispiel: Ein Log-Ereignis könnte zeigen, dass eine bestimmte Datenbanktransaktion um 14:03:15 Uhr einen Fehler verursacht hat, zusammen mit dem spezifischen Fehlercode und einer detaillierten Nachricht.

Zusammenfassend lässt sich sagen, dass das Monitoring dazu dient, einen allgemeinen Überblick über den Zustand eines Systems zu geben, während das Logging die detaillierten Informationen liefert, die benötigt werden, um spezifische Probleme oder Vorfälle zu verstehen und zu behandeln.

Warum ein zentrales Logging?

Das Wachstum und die Komplexität von IT-Umgebungen haben zu einer Explosion von Daten geführt. Ohne eine zentrale Stelle zur Sammlung dieser Daten ist es nahezu unmöglich, einen klaren Überblick zu behalten oder Muster zu erkennen.

  1. Voller Überblick über alle Systeme: Ein zentrales Logging-System sammelt Daten aus verschiedensten Quellen, wodurch ein Gesamtbild der IT-Landschaft ermöglicht wird. Durch die Zusammenführung dieser Daten können Sie sehen, wie sich ein Ereignis in einem System auf ein anderes auswirkt.
  2. Fehlerdiagnose: Ein detailliertes Protokoll der Systemaktivitäten ermöglicht es, die Ursache von Problemen effektiv zu ermitteln. Das spart nicht nur Zeit, sondern auch wertvolle Ressourcen.
  3. Sicherheit: In einer Zeit, in der Sicherheitsverletzungen immer häufiger vorkommen, sind Logs oft der Schlüssel zur Aufdeckung, wie ein Angreifer eingedrungen ist und was er während seines Aufenthalts getan hat.
  4. Compliance: Viele Branchen unterliegen strengen Vorschriften, und ein zentrales Logging hilft, die Einhaltung dieser Vorschriften sicherzustellen.

Wie funktioniert das Zusammenspiel von Monitoring und zentralem Logging?

Das Monitoring bietet einen Echtzeit-Überblick über die Systemgesundheit. Es ist wie ein Arzt, der den Puls, den Blutdruck und die Temperatur eines Patienten misst. Das zentrale Logging hingegen ist wie eine medizinische Aufzeichnung, die jedes Detail über den Patienten enthält.

Ein Beispiel aus unserer Praxis

Was ist passiert?

Am späten Freitagabend, wenn nur wenige Nutzer online sein sollten, beobachtet das Monitoring-System einen ungewöhnlichen Anstieg des ausgehenden Datenverkehrs von einem Kundenserver und reagiert wie es reagieren soll, es alarmiert die Bereitschaft.

Die Netzwerkauslastungsdiagramme zeigen einen konstanten, hohen Datenfluss von dem Server zu einer externen IP-Adresse. Dies ist untypisch für den normalen Betrieb und könnte auf einen Datenexfiltrationsversuch hindeuten.

Der Gesamtzustand des „Patienten“ hatte sich in eine ungewöhnliche Richtung entwickelt und es wäre ein guter Zeitpunkt zu schauen warum das so ist und mögliche Gegenmaßnahmen einzuleiten.

Wie hat uns das zentrale Logging geholfen die Situation zu lösen?

Wir mussten schnell feststellen, welche Daten kompromittiert sein könnten und wie der ungewöhnliche Datenverkehr zustande kam.

Die detaillierten Log-Daten zeigten, dass eine ältere, nicht aktualisierte Anwendung eine offensichtlich Schwachstelle aufwies. Die Logs protokollieren den Zugriff auf verschiedene Datenbanken und Dateien. Insbesondere konnten wir sehen, welche Datenbanktabellen abgefragt wurden und welche Dateien übertragen wurden. Zusätzlich enthielten die Logs die IP-Adresse des Angreifers, den genutzten Port und den Zeitpunkt des Zugriffs.

Somit konnten wir den Server zügig vom Netz nehmen, die weitere Exfiltration von Daten wurde verhindert und wir konnten zusätzlich, durch eine gezielte Auswertung aller Loggingdaten zum gleichen Zeitpunkt, ausschließen das der Angreifer weitere Server erfolgreich infiltrieren konnte.

Schlussfolgerung

In der komplexen Welt der IT ist es für Administratoren und Manager unerlässlich, sowohl einen Überblick (durch Monitoring) als auch detaillierte Einblicke (durch Logging) zu haben. Während das Monitoring den schnellen Überblick bietet, liefert das Logging die nötige Tiefe für die Problembehandlung, Sicherheitsforensik und Compliance.

Weitere nützliche Themen

In unserer Beitragsserie zeigen wir Ihnen wie Sie mit einfachen Mitteln die richtigen Schritte zum mehr Transparenz in Ihrer IT und damit mehr Sicherheit gehen und hier lesen Sie welche wichtige Rolle das Management in der IT Sicherheit spielt.

Was in den ersten 48h eines Angriffs passieren kann, lesen Sie hier.

Jens Decker
Gründer & Geschäftsführer, TECXERO