Mobile-Menu

Definition Was ist Logging / (Event-)Log-Management?

Im IT-Umfeld bedeutet Logging das automatische Protokollieren von Statusinformationen und Ereignissen während des Betriebs von IT-Systemen oder der Ausführung von Softwareprozessen. Bei den protokollierten Informationen und Ereignissen handelt es sich um Fehlermeldungen, Systemnachrichten oder Statusmeldungen und anderes. Das Log- oder Event-Management hat die Aufgabe, die Protokolldaten zu sammeln, zu aggregieren und zu speichern, um das Suchen, Analysieren und Reporten zu ermöglichen.

Firmen zum Thema

Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Die wichtigsten IT-Fachbegriffe verständlich erklärt.
(Bild: © aga7ta - stock.adobe.com)

Der Begriff Logging beschreibt im IT-Umfeld das automatisierte Protokollieren von System- und Prozessmeldungen. Bei den protokollierten Logdaten handelt es sich um Statusinformationen oder Ereignisse, die beim Betrieb von IT-Systemen oder bei der Ausführung von Hard- und Softwareprozessen auftreten.

Ergebnisse des Loggings sind Logdateien, die häufig in Form von Textdateien vorliegen. Die in diesen Dateien protokollierten Informationen und Ereignisse sind mit einem Zeitstempel versehen und innerhalb der Logdatei in der Regel chronologisch angeordnet. Oft sind Logdateien in ihrer maximalen Größe beschränkt, weshalb die Informationen und Ereignisse nach einer bestimmten Zeit überschrieben werden.

Das Log-Management, auch als Event-Management bezeichnet, hat die Aufgabe, die vom Logging protokollierten Daten an einer zentralen Stelle kontinuierlich zu sammeln, zu aggregieren und zu speichern. Anschließend lassen sich die Daten durchsuchen, analysieren und reporten. Das Log- und Event-Management hilft beispielsweise, Probleme zu identifizieren, Prozesse nachzuvollziehen, die Systemleistung zu optimieren oder Cyberangriffe und andere Sicherheitsvorfälle zu erkennen und abzuwehren.

In einigen Bereichen und Branchen ist das Log-Management verpflichtend vorgeschrieben, um beispielsweise gesetzlichen Pflichten nachzukommen, Compliance-Richtlinien zu erfüllen oder die Nachvollziehbarkeit von Transaktionen sicherzustellen. Unter Umständen kann eine revisionssichere Archivierung der Logdaten erforderlich sein. SIEM-Lösungen (Security Information and Event Management) setzen auf dem Log-Management auf.

Die verschiedenen Aufgaben des Log- und Event-Managements

Das Log- und Event-Management hat zahlreiche Aufgaben zu erfüllen. Es handelt sich dabei um diese grundlegenden Aufgaben:

  • Sammeln der vom Logging der verschiedenen Systeme gelieferten Logdaten
  • Aggregieren der Logdaten an zentraler Stelle
  • Speichern, Archivieren und Vorhalten der Logdaten
  • Bereitstellen von Suchfunktionen
  • Bereitstellen von Analysefunktionen
  • Bereitstellen von Reporting-Funktionen

Das Sammeln der Logdaten erfolgt aktiv oder passiv. Entweder senden die protokollierenden Systeme ihre Logdaten an das Event-Management oder das Event-Management holt die Daten bei den Systemen ab.

Im IT- und Netzwerkumfeld existieren zahlreiche Standards und Protokolle, die die Struktur und Form der Logdaten definieren oder mit denen die Logdaten herstellerübergreifend versendet und gesammelt werden können. Hierzu zählen Syslog, SNMP (Simple Network Management Protocol), FTP (File Transfer Protocol) oder WMI (Windows Management Instrumentation).

Das Aggregieren der Logdaten findet an zentraler Stelle statt. Die Informationen werden beispielsweise in eine Datenbank geschrieben. Darüber hinaus muss das Log-Management dafür sorgen, dass die langfristige Speicherung und Archivierung der gesammelten und aggregierten Logdaten möglich ist. Auf Basis der aggregierten Daten stellt das Event-Management Funktionen bereit, um die Daten zu durchsuchen und bestimmte Meldungen oder Ereignisse zu finden, die Daten zu analysieren und Analyse- oder Suchergebnisse in Form von Berichten darzustellen.

Gesetzliche Anforderungen für ein Logging / (Event-)Log-Management

In einigen Bereichen wie im Finanzumfeld oder im Gesundheitswesen kann ein Log-Management erforderlich sein, um gesetzlichen Pflichten nachzukommen, Compliance-Richtlinien zu erfüllen oder die Nachvollziehbarkeit von Transaktionen sicherzustellen. So unterstützt das Event-Management beispielsweise die Einhaltung von Standards wie HIPAA (Health Insurance Portability and Accountability Act), SOX (Sarbanes-Oxley Act) oder der DSGVO (Datenschutz-Grundverordnung).

Softwarelösungen für das Log- und Event-Management

Das Log- und Event-Management ist über Softwarelösungen realisiert. Diese Lösungen basieren auf einer Infrastruktur, die das Sammeln der Daten der verschiedenen Logging-Quellen ermöglicht. Auf zentralen Servern installierte Datenbanken dienen zum Aggregieren und Speichern der Daten. Sie stellen auch die Funktionen zum Durchsuchen der Logdaten bereit.

Weitere Komponenten der Softwarelösungen des Log-Managements sind Benutzeroberflächen für die Analyse, das Reporting und die Visualisierung der Daten. Langzeitspeicher dienen zu Archivierung der Logdaten. Viele Softwarelösungen setzen zudem Verfahren und Methoden der Künstlichen Intelligenz (KI) und des Maschinellen Lernens (ML) ein, mit denen sich große Datenmengen automatisiert organisieren und intelligent auswerten lassen.

Logging / (Event-)Log-Management und SIEM

Häufig fällt im Umfeld des Log- und Event-Managements der Begriff SIEM. SIEM ist das Akronym für Security Information and Event Management. Es bezeichnet eine Lösung, mit der sich sicherheitsrelevante Ereignisse, Sicherheitsvorfälle oder Anomalien innerhalb von IT-Umgebungen erkennen, beobachten und Maßnahmen zur automatisierten Alarmierung und zur Abwehr ergreifen lassen. SIEM-Lösungen basieren auf den Grundfunktionen des Log-Managements und ermöglichen eine forensische Sicherung von Events. Sie liefern einen schnellen Überblick über die Sicherheitslage der IT und gewähren Security-Experten tiefe Einblicke in die Aktivitäten der Systeme.

Vorteile des Log- und Event-Managements

Der Einsatz eines leistungsfähigen Log- und Event-Managements bietet unter anderem folgende Vorteile:

  • liefert tiefe Einblicke in die Prozesse, Abläufe und in den Systemstatus der IT-Systeme und Netzwerke
  • verbessert die Observability der IT
  • stellt Funktionen bereit, mit denen sich Logdaten schnell durchsuchen lassen
  • ermöglicht umfangreiche Analysen der Logdaten
  • ermöglicht die Berichterstattung
  • hilft gesetzliche Vorgaben oder Compliance-Richtlinien einzuhalten
  • unterstützt beim Erkennen, Analysieren und Beheben von IT-Problemen
  • steigert die Sicherheit durch die Möglichkeit des Identifizierens, Nachvollziehens und Analysierens von Sicherheitsvorfällen
  • bildet die Basis für SIEM-Lösungen
  • verbessert die Reaktionsfähigkeit eines Unternehmens
  • stellt die Nachvollziehbarkeit von Transaktionen sicher
  • ermöglicht historische Analysen

(ID:47787186)