Logghåndtering og analyse

20-11-2017

Hver dag samler servere, brannmurer og programvare opp meldinger og transaksjoner og lagrer informasjonen i form av logger. Akkumulert sett kan volumet av logger bli enormt og uoversiktlig, men samles disse kan de inneholder et vell av nyttig data som bedrifter kan bruke til å analysere alt fra feil og ytelser, compliance/samsvar til å oppdage IT-sikkerhetshendelser. 

Det er her loggadministrasjonsløsninger kommer inn, og gir verdi til bedriftens loggdata. Det finnes flere verktøy tilgjengelig, noen av de mest populære inkluderer Splunk, Logstash, New Relic, Graylog m.fl. De er tilgjengelige både som SaaS/cloud-tjenester, og for lokale installasjoner i bedriftens IT-plattform både som kommersielle og åpen kildekode-produkter.

Noen av bruksområdene hvor en logganalyse gir åpenbar verdi er:

Utvikling og DevOps – Vi har tidligere skrevet om DevOps, og hvordan utviklingstakten har økt vesentlig. Da vil logganalyse være et kraftfullt verktøy for utviklerne. Gjennom å analysere feilmeldinger i logger fra servere og infrastruktur, kan utviklere raskere finne feil i kode, korrigere dette og bidra til at kvaliteten på programvaren holdes høy. Samtidig kan utviklingsløpene fra kode til produksjonssetting bli kortet ned.

Drift og systemadministrasjon – Fra et driftsperspektiv vil logganalyse være essensielt for å holde kvaliteten oppe i leveransen, både ved å oppdage avvik på et tidlig tidspunkt og rask identifisering av årsak. Kapasitetsstyring er også et viktig moment, hvor systemenes helse og utnyttelsesgrad overvåkes fortløpende og genererer varslinger på bakgrunn av gitte terskelverdier. Enkelte av verktøyene kommer også med støtte for maskinlæring og prediktiv analyse. Det kan gi store muligheter innen kapasitetsstyring og proaktiv hendelseshåndtering.

Sikkerhet og compliance – I forhold til sikkerhet er logganalyse et av de viktigste verktøyene. Verktøyet er uvurderlig fordi det skaper oversikt. Loggadministrasjon vil gi helt essensiell innsikt i sikkerhetshendelser og trusler i bedriftens IT-plattform. Sanntidsprosessering av loggdata danner grunnlaget for SIEM (Security Incident and Event Management)-funksjonalite. Prosesseringen vil bidra både til identifisering og forhindring av sikkerhetshendelser. Loggkorrelasjon, analyse og SOC-tjenester kan i dag leveres av spesialiserte leverandører som for eksempel Mnemonic.

Fra et compliance-perspektiv vil datagrunnlaget kunne dokumentere etterlevelsen av krav fra både myndigheter og relevante standarder/tilsyn, som eksempelvis PCI-DSS. Innføringen av nye standarder på europeisk nivå vil ytterligere styrke behovet for å kunne dokumentere både etterlevelse og grensesnitt mot andre aktører, som for eksempel PSD2.

Hold deg oppdatert! Legg igjen din epost og få informasjon om nye blogginnlegg, webinarer og eventer direkte i din innboks!

Hvordan få størst mulig nytte av disse verktøyene?

Sentraliser logginnsamling og oppbevaringen
Den største mulighetene innfor logganalyse og administrasjon vil du få om du lykkes med å etablere en sentral logginsamling i virksomheten, hvor loggene kan gi et holistisk datagrunnlag for IT-plattformene fra «vegg til vegg».  

Dashboard og tilgangsstyring
Ulike brukere har ulike behov. Sentralt ved logghåndteringen er enkelt å kunne ekstrahere informasjonen brukeren trenger. Forskjellige dashbord kan tilrettelegges for ulike brukergrupper. Her er det forskjellige predefinerte dashbord og varierende grad av tilpasningsmuligheter mellom de ulike verktøyene.

Siden verktøy for logganalyse og administrasjon har flere bruksområder, bør verktøyet også kunne håndtere flere typer brukere med tilhørende rettighetsadministrasjon. Ulike loggkilder vil inneholde forskjellig grad av sensitive opplysninger. Rettigheter og tilgangsstyring er viktig å ivareta i forhold til å åpne for bruk av et så kraftig verkøy for bedriftens brukere og ansatte, for eksempel gjennom å differensiere mellom IT-sikkerhetsansvarlige, utviklere og innleide konsulenter.

Sanntidsanalyse og varsling
Sanntidsanalyse og tilhørende varsling fra et sentralt loggarkiv vil gjøre deteksjon av sikkerhetshendelser og andre avvik preventivt. Å dokumentere hva som har skjedd har en marginal verdi for virksomheten i forhold til muligheten til å oppdage og forhindre uønskede hendelser. Dette kan være knyttet til både sikkerhetshendelser og (mangel på) kvalitet i leveransene. Risikovurderinger vil her være relevant. Prosesser for håndtering av disse hendelsene må etableres, enten intern i virksomheten eller med tjenesteleverandøren av IT-plattformen.

Vær varsom med loggdata
Husk at logg-data bør behandles med samme varsomhet med hensyn til sikkerhet og compliance som systemene de logger fra.

Basefarm har lang erfaring i å implementere loggverktøyene Splunk og New Relic i kundeplattformer. Som første managed hosting leverandører i Norge har Basefarm etablert open source-tjenesten ELK (Elasticsearch, Logstash & Kibana) som en SaaS-tjeneste.

btn-top

Ønsker du mer informasjon om logghåndtering og analyse?

Ta kontakt med en av våre spesialister for mer informasjon!

btn-top