Best practices en systemen voor logbeheer

Het beheren van logboeken kan een complexe onderneming zijn. Een typische organisatie genereert er niet alleen een heleboel, maar ze komen ook uit verschillende bronnen, elk met een mogelijk ander formaat en met verschillende informatie. Om een ​​schijn van orde te scheppen in iets dat snel chaotisch kan worden, is logbeheer uitgevonden. Vandaag bekijken we de best practices en systemen voor logbeheer. We hopen dat het u zal helpen dit duidelijk te doorzien.

We beginnen met een korte beschrijving van logbeheer. Vervolgens duiken we direct in de best practices van logbeheer. We bekijken of je een kant-en-klaar systeem moet gebruiken of het zelf moet doen. We zullen ook bekijken wat - en wat niet - moet worden gecontroleerd, gevolgd door logbeveiliging en -retentie, evenals opslagoverwegingen. En voordat we enkele van de beste logbeheersystemen bekijken, zullen we kijken naar de verschillende beheertaken, de beoordeling en het onderhoud van logs, de correlatie van gegevensbronnen en enkele automatiseringsoverwegingen.

Over logboekbeheer

Eenvoudig gedefinieerd, een logboek is de automatisch geproduceerde en tijdgestempelde documentatie van een gebeurtenis die relevant is voor een bepaald systeem. Wanneer een gebeurtenis plaatsvindt op een systeem, wordt een logboek (of logboekinvoer) gegenereerd. Verschillende systemen zullen logboeken genereren voor verschillende gebeurtenissen. Logboekbeheer verwijst in het algemeen naar de processen en het beleid die worden gebruikt om het genereren, verzenden, analyseren en opslaan van loggegevens te beheren en te vergemakkelijken. Logboekbeheer houdt doorgaans een gecentraliseerd systeem in waar logs van meerdere bronnen worden samengevoegd.

Logboekbeheer is echter niet alleen het verzamelen van logs. Zoals de naam al aangeeft, is het managementgedeelte belangrijk. Zodra logboeken zijn ontvangen door het logboekbeheersysteem, worden ze "vertaald" naar een algemeen formaat. Dit is nodig omdat verschillende systemen logboeken verschillend formatteren en verschillende gegevens in hun logboeken opnemen. Om het zoeken en het correleren van gebeurtenissen gemakkelijker te maken, is een van de doelen van logbeheersystemen ervoor te zorgen dat alle verzamelde loggegevens in een uniform formaat worden opgeslagen.

Over zoeken en zelfs correlatie gesproken, dit is een ander belangrijk kenmerk van de meeste logbeheersystemen. De beste logbeheersystemen beschikken over een krachtige zoekmachine. Hiermee kunnen beheerders precies bepalen wat nodig is. Bovendien groepeert gebeurteniscorrelatie automatisch gerelateerde gebeurtenissen, zelfs als ze uit verschillende bronnen komen.

Best practices voor logbeheer

Logboekbeheer is een complex proces, we kunnen er niet veel aan doen. Met deze complexiteit komt het risico om het verkeerd te doen. Om dat te voorkomen, hebben we een lijst samengesteld met enkele van de best practices voor logbeheer. Ons doel is om u zoveel mogelijk informatie te geven om het beste logbeheersysteem voor uw behoeften te kiezen, maar, belangrijker nog, om er het maximale uit te halen.

Logmanagementsysteem of doe-het-zelf?

Om de een of andere reden geloven sommige mensen dat ze een "logbeheersysteem" handmatig kunnen implementeren. Als je een van deze mensen bent, hou dan meteen op met jezelf voor de gek te houden. Hoewel het mogelijk is om een ​​of andere vorm van logbeheer handmatig te implementeren , wegen de vereiste inspanningen veel zwaarder dan wat nodig is om een ​​echt logbeheersysteem te implementeren. En met verschillende gratis en open-source tools die beschikbaar zijn, is het argument van de kosten niet geldig.

Het is bijna altijd logisch om een ​​beheerde logging-oplossing te gebruiken die is gebouwd, ondersteund en geschaald door een gerenommeerde leverancier in plaats van zelf een systeem te bouwen. Met hen hoeft u doorgaans alleen uw bronnen en bestemmingen aan te sluiten en bent u klaar om systeem- en toepassingslogboeken op een gemakkelijke manier te analyseren. U bent vrij om meer tijd te besteden aan monitoring en logboekregistratie in plaats van aan het uitbouwen van uw logboekinfrastructuur.

Weten wat u moet controleren (en wat niet)

Weten wat je moet loggen is belangrijk, maar het is nog belangrijker om te weten wat je niet moet loggen. Alleen omdat je iets kunt loggen, wil nog niet zeggen dat je dat ook moet doen. Te veel loggen doet vaak niets anders dan het moeilijker maken om gegevens te vinden die er echt toe doen. Bovendien voegt het extra volume aan logbestanden complexiteit en kosten toe aan uw logopslag- en beheerprocessen. Het is belangrijk om vooruit te denken over wat wel en niet wordt gelogd voordat u begint met het implementeren van een logbeheerplatform. Het voorkomt kostbare fouten en stelt u in staat om uw gereedschap beter op maat te maken.

Bedenk goed wat je eigenlijk moet loggen. Productieomgevingen die van cruciaal belang zijn voor compliance of voor auditdoeleinden, moeten hoogstwaarschijnlijk worden gelogd. Dat geldt ook voor gegevens die u helpen bij het oplossen van prestatieproblemen, het oplossen van problemen met de gebruikerservaring of het bewaken van beveiligingsgerelateerde gebeurtenissen.

Omgekeerd zijn er zaken die u niet hoeft te loggen zoals bijvoorbeeld testomgevingen die geen essentieel onderdeel zijn van uw bedrijfsprocessen. Er zijn ook gegevens die u niet wilt loggen om nalevings- of veiligheidsredenen. Als een gebruiker bijvoorbeeld een do-not-track-instelling heeft ingeschakeld, moet u geen gegevens loggen die aan die gebruiker zijn gekoppeld.

Een logbeveiligings- en bewaarbeleid implementeren

Logboeken kunnen gevoelige gegevens bevatten. Om die reden moet u een logbeveiligingsbeleid hebben. Het is bijvoorbeeld van onschatbare waarde om ervoor te zorgen dat gevoelige gegevens worden geanonimiseerd of versleuteld. Ook vereist het veilige transport van loggegevens naar logbeheersystemen het gebruik van versleuteld transport met TLS of HTTPS op de client en aan de serverzijde.

Wat een bewaarbeleid betreft, kunnen logboeken van verschillende bronnen of systemen verschillende bewaartijden vereisen. Logboeken die voornamelijk worden gebruikt voor het oplossen van problemen, kunnen bijvoorbeeld werken met relatief korte bewaartijden, zoals een paar dagen of zelfs een paar uur. Aan de andere kant vereisen beveiligingsgerelateerde logboeken of zakelijke transactielogboeken langere bewaartijden, vaak voor naleving van de regelgeving. Daarom moet uw bewaarbeleid flexibel en aanpasbaar zijn, afhankelijk van de logboekbron of het type logboek.

Overwegingen bij logboekopslag

Het bijhouden van loggegevens neemt waardevolle opslagruimte in beslag. Bij het plannen van de opslagcapaciteit voor logboeken moet u rekening houden met hoge belastingspieken. In de meeste gevallen is de hoeveelheid logboekgegevens per dag relatief constant. Het hangt vooral af van het systeemgebruik en/of het aantal transacties per dag. Wanneer er echter iets misgaat, kunt u een versnelde groei van het logvolume verwachten. Als uw logboekopslag limieten heeft die u overschrijdt, kunt u de nieuwste logboeken kwijtraken. Om dit effect te verminderen, gebruiken de beste logbeheersystemen een cyclische buffer. Het verwijdert eerst de oudste gegevens voordat er een opslaglimiet wordt toegepast.

Logboekopslag moet ook een eigen beveiligingsbeleid hebben. De meeste aanvallers zullen proberen hun sporen in logbestanden te vermijden of te verwijderen. Om dat te voorkomen, moet u logboeken in realtime naar de centrale logboekopslag sturen - bij voorkeur off-site - en deze beveiligen. Dus als een aanvaller toegang heeft tot uw infrastructuur, zullen off-site logs het bewijs ongemoeid houden.

Logboeken bekijken en bijhouden

Logboekonderhoud is een belangrijk onderdeel van logbeheer, zo niet het belangrijkste onderdeel. Niet-onderhouden logboeken kunnen leiden tot langere probleemoplossing, risico's van gegevensblootstelling en hogere opslagkosten voor logboeken. Bekijk de logboeken die door uw systemen zijn gegenereerd en pas het logboekniveau aan uw behoeften aan. U moet rekening houden met usability, operationele en veiligheidsaspecten.

Logboekniveau configureerbaar maken

Sommige systeemlogboeken zijn te uitgebreid, terwijl andere onvoldoende informatie bieden. Helaas kun je er niet altijd iets aan doen. De meeste systemen bieden instelbare logniveaus. Ze zijn de sleutel om de breedsprakigheid van logboeken te configureren en ervoor te zorgen dat wat moet worden geregistreerd, is en wat niet belangrijk is niet.

Controlelogboeken regelmatig inspecteren

Optreden bij veiligheidskwesties is cruciaal. Daarom moet men altijd de logs in de gaten houden. Als uw logbeheersysteem die functie niet heeft, veel van hen, gebruik dan externe beveiligingshulpmiddelen zoals auditd of OSSEC. Ze implementeren realtime logboekanalyse en genereren waarschuwingslogboeken die wijzen op mogelijke beveiligingsproblemen. En daarnaast moet u waarschuwingen voor kritieke gebeurtenissen definiëren om snel op de hoogte te worden gesteld van verdachte activiteiten.

Gegevensbronnen correleren

Loggen is slechts één onderdeel van een wereldwijde monitoringstrategie. Voor echt effectieve monitoring moet u logbeheer aanvullen met andere soorten monitoring, zoals monitoring op basis van gebeurtenissen, waarschuwingen en tracering. Dat is de beste manier om een ​​volledig beeld te krijgen van wat er op elk moment in de tijd aan de hand is. Hoewel logs goed zijn voor het verstrekken van high-definition details over problemen, is dit vooral handig als u wat afstand neemt om naar het bos te kijken voordat u inzoomt op de bomen.

Logbeheer werkt niet goed in een silo. Niets doet. U moet het zeker aanvullen met andere soorten bewaking, zoals netwerkbewaking, infrastructuurbewaking en meer. En in een ideale wereld zou uw monitoringoplossing uitgebreid genoeg moeten zijn om al uw monitoringinformatie op één plek te bieden. Als alternatief kan het worden geïntegreerd met andere tools die deze informatie verstrekken. Het doel hierbij is om zoveel mogelijk een enkelvoudig zicht op de gehele omgeving te hebben.

Logboekbeheer en automatisering

Logboekbeheer kan u helpen problemen vroegtijdig op te sporen, waardoor u en uw team waardevolle tijd en energie besparen. Het kan u ook helpen bij het vinden van mogelijkheden voor automatisering. Met de meeste hulpprogramma's voor logbeheer kunt u aangepaste waarschuwingen instellen die worden geactiveerd wanneer er iets gebeurt. Bij sommige kunt u zelfs geautomatiseerde acties instellen die worden gestart wanneer deze waarschuwingen worden geactiveerd. U moet zoveel mogelijk automatisering gebruiken als uw beheertool toestaat. Ondanks de tijd die u kwijt bent aan het opzetten van deze automatisering, zult u merken dat het de eerste keer dat u een incident tegenkomt, de moeite waard was.

De 6 beste tools voor logboekbeheer

We hebben de markt afgezocht op zoek naar de beste tool voor logbeheer. We hebben geprobeerd een lijst samen te stellen met verschillende soorten tools. Ieders behoeften zijn immers anders en het beste gereedschap voor de een is niet per se het beste voor de ander.

1. SolarWinds Security Event Manager (GRATIS PROEF)

SolarWinds is een veel voorkomende naam op het gebied van netwerkbeheertools. Het bestaat al ongeveer twee decennia en het heeft ons enkele van de beste tools voor bandbreedtebewaking en NetFlow-analyzers en -verzamelaars opgeleverd. Het bedrijf staat ook bekend om het publiceren van verschillende gratis tools die inspelen op een aantal specifieke behoeften van netwerkbeheerders, zoals een subnetcalculator of een syslog-server.

Als het gaat om logbeheer , wordt het aanbod van het bedrijf nu de SolarWinds Security Event Manager genoemd . Het is onlangs hernoemd van Log & Event Manager , waarschijnlijk om beter weer te geven dat dit eigenlijk veel meer is dan alleen een logbeheersysteem. Veel van zijn geavanceerde functies plaatsen het in het bereik van Security Information and Event Management (SIEM). Het heeft bijvoorbeeld realtime gebeurteniscorrelatie en realtime herstel, twee SIEM-achtige functies.

• GRATIS PROEF: SolarWinds Security Event Manager
• Officiële downloadlink: https://www.solarwinds.com/security-event-manager/registration

Laten we eens kijken naar enkele van de belangrijkste functies van SolarWinds Security Event Manager . De tool kan bedreigingen snel elimineren door onmiddellijke detectie van verdachte activiteiten en geautomatiseerde reacties. Het kan ook onderzoek naar beveiligingsgebeurtenissen en forensisch onderzoek uitvoeren voor mitigatie en naleving. En nu we het toch over compliance hebben, met het product kunt u het demonstreren, dankzij de door audits bewezen rapportage voor onder andere HIPAA, PCI DSS en SOX. Deze tool heeft ook bewaking van bestandsintegriteit en bewaking van USB-apparaten, twee functies die veel verder gaan dan wat we vaak zien in logbeheersystemen.

Prijzen voor de SolarWinds Security Event Manager beginnen bij $ 4.585 voor maximaal 30 bewaakte nodes. Licenties voor maximaal 2500 nodes kunnen worden gekocht, waardoor het product zeer schaalbaar is. En als u hands-on wilt verifiëren dat het product geschikt voor u is, is er een gratis, volledige proefversie van 30 dagen beschikbaar.

2. SolarWinds Papertrail (GRATIS PLAN BESCHIKBAAR)

Op de tweede plaats hebben we nog een geweldig product, Papertrail genaamd , een recente aanwinst door SolarWinds . Papertrail is een populair cloudgebaseerd logbeheersysteem . Het verzamelt logbestanden van een breed scala aan populaire producten zoals Apache of MySQL, evenals Ruby on Rails-apps, verschillende cloudhostingservices en andere standaard tekstlogbestanden. Papertrail- gebruikers kunnen vervolgens de webgebaseerde zoekinterface of de opdrachtregelprogramma's gebruiken om door deze bestanden te zoeken om bugs en prestatieproblemen te diagnosticeren. De tool kan ook worden geïntegreerd met andere SolarWinds- producten zoals Librato en Geckoboard voor grafische resultaten.

• GRATIS PLAN BESCHIKBAAR: SolarWinds Papertrail
• Officiële downloadlink: https://papertrailapp.com/plans

Papertrail is een cloudgebaseerd SaaS-aanbod (Software as a Service) van SolarWinds . Het is gemakkelijk te implementeren, te gebruiken en te begrijpen. En het geeft u binnen enkele minuten direct inzicht in alle systemen. De tool heeft een zeer effectieve zoekmachine die zowel opgeslagen als streaming logs kan doorzoeken. En het is razendsnel.

Papertrail is beschikbaar onder verschillende abonnementen, waaronder een gratis abonnement. Het is echter enigszins beperkt en staat slechts 100 MB aan logs per maand toe. Het zal echter 16 GB aan logboeken toestaan ​​in de eerste maand, wat overeenkomt met een gratis proefperiode van 30 dagen . Betaalde abonnementen beginnen bij $ 7/maand voor 1 GB/maand aan logboeken, 1 jaar archief en 1 week index. Met ruisfiltering kan de tool gegevens bewaren door geen nutteloze logboeken op te slaan.

3. ManageEngine EventLog Analyzer

ManageEngine , een andere veel voorkomende naam bij netwerkbeheerders, maakt een uitstekend logbeheersysteem , de ManageEngine EventLog Analyzer . Het product verzamelt, beheert, analyseert, correleert en doorzoekt de loggegevens van meer dan 700 bronnen met behulp van een combinatie van agentless en agent-based logverzameling en logimport.

Snelheid is een van de sterke punten van de ManageEngine EventLog Analyzer . Het kan loggegevens verwerken met een indrukwekkende 25.000 logs/seconde en aanvallen in realtime detecteren. Het kan ook snelle forensische analyses uitvoeren om de impact van een inbreuk te verminderen. De auditmogelijkheden van het systeem strekken zich uit tot de logboeken van de netwerkperimeterapparaten, gebruikersactiviteiten, serveraccountwijzigingen, gebruikerstoegangen en meer, zodat u kunt voldoen aan de behoeften op het gebied van beveiligingsaudits.

De ManageEngine EventLog Analyzer is beschikbaar in een gratis editie met beperkte functies die slechts 5 logbronnen ondersteunt of in een premium-editie die begint bij $ 595 en varieert afhankelijk van het aantal apparaten en applicaties. Er is ook een gratis, volledige proefversie van 30 dagen beschikbaar.

4. Ipswitch Log Management Suite

De Log Management Suite is een product van Ipswitch , hetzelfde bedrijf dat ons WhatsUp Gold heeft gebracht , een immens populaire tool voor netwerkbewaking. Dit is een geautomatiseerd hulpmiddel dat systeemlogboeken, Windows-gebeurtenissen en W3C/IIC-logboeken verzamelt, opslaat, archiveert en opslaat. Bovendien zal de continue bewaking van logbestanden u waarschuwen voor verdachte activiteiten.

Regelmatig gecontroleerde gebeurtenissen zoals toegangsrechten en bestands-, map- en objectprivileges kunnen worden gevolgd, waar nodig waarschuwingen genereren en worden gebruikt om nalevingsrapporten op te stellen voor HIPAA-, SOX-, FISMA-, PCI-, MiFID- of Basel II-compliance. De tool kan u ook helpen uw onbewerkte loggegevens om te zetten in zinvolle gegevens voor managers of IT-beveiligingsteams, dankzij de geautomatiseerde functies voor filteren, correleren, rapporteren en converteren.

Prijsinformatie voor de Log Management Suite is niet direct beschikbaar bij Ipswitch . Het product kan rechtstreeks bij de uitgever of via het wederverkopersnetwerk van Ipswitch worden gekocht . Er is ook een gratis proefversie beschikbaar.

5. Logisch logbeheer voor waarschuwingen

De primaire focus van Alert Logic ligt op beveiliging en compliance. En aangezien logbeheer nauw verwant is aan beide, is het geen verrassing dat het bedrijf de Alert Logic Log Manager aanbiedt . Deze cloudgebaseerde tool biedt geautomatiseerd en uniform logbeheer in al uw omgevingen. Het verzamelt, aggregeert en doorzoekt loggegevens van de cloud, server, applicatie, beveiliging en netwerkactiva.

De Alert Logic Log Manager omvat logboekbewaking en -analyse, evenals logboekbeoordeling die live wordt gedaan door menselijke analysatoren. De experts van Alert Logic zullen u 365 dagen per jaar op de hoogte stellen van mogelijke bedreigingsactiviteiten. De service helpt ook om te voldoen aan de vereisten voor logboekbeoordeling van SOC 2, HIPAA en SOX en verlicht de last van het beoordelen van logboeken en het opvolgen van gebeurtenissen, om te voldoen aan PCI/DSS 10.6, 10.6.1, 10.6.3

Prijsinformatie voor de Alert Logic Log Manager is niet direct beschikbaar via internet en u moet contact opnemen met de verkoop van Alert Logic om een ​​formele offerte te krijgen. Een gratis proefversie is ook niet beschikbaar, maar een gratis demo kan worden geregeld door contact op te nemen met Alert Logic .

6. Nagios-logserver

Je kent Nagios misschien al als een uitstekend netwerkbewakingspakket. Aangeboden een gratis en open-source evenals in een commerciële versie, heeft het product een solide reputatie. Voor logbeheer wordt het aanbod van Nagios de Nagios Log Server genoemd . Het is een compleet pakket met gecentraliseerd logbeheer, monitoring en analyse. Deze tool kan het zoeken in uw loggegevens vereenvoudigen. Het laat je ook waarschuwingen instellen om op de hoogte te worden gebracht van potentiële bedreigingen. Bovendien heeft de software een hoge beschikbaarheid en ingebouwde failover. De eenvoudige installatiewizards van de bron kunnen u helpen bij het configureren van uw servers en andere apparaten om hun loggegevens naar het platform te sturen, zodat u binnen enkele minuten kunt beginnen met het bewaken van uw logbestanden.

De Nagios Log Server biedt eenvoudige correlatie van loggebeurtenissen over alle logbronnen in slechts een paar klikken. Met het systeem kunt u loggegevens in realtime bekijken, zodat u problemen in realtime kunt analyseren en oplossen, zodra ze zich voordoen. Een ander sterk punt van het product is de indrukwekkende schaalbaarheid. Deze tool blijft aan uw behoeften voldoen terwijl uw organisatie groeit. Indien nodig kunnen extra Nagios Log Server- instances worden toegevoegd aan een monitoringcluster, zodat u snel meer kracht, snelheid, opslag en betrouwbaarheid kunt toevoegen.

Met al deze features zou je een flink prijskaartje verwachten. Dit is niet het geval en de prijs voor één exemplaar voor de Nagios Log Server is een zeer redelijke $ 3 995. Ondanks dat er geen gratis proefversie wordt aangeboden, is er een gratis online demo beschikbaar, mocht u het product liever uit de eerste hand bekijken alvorens een aankoopbeslissing te nemen.