Hvorfor er logmanagement så vigtigt?

De fleste ved sikker ikke engang hvad logmanagement er og det er helt sikker også forståeligt. Men aligevel kan det være et helt centralt element i at sikere vores it systemer og ikke mindst finde hoved og hale i tingen hvis uheldet skulle være ude og man bliver hacket.

Med et logmanagement system vil du få en central opsamlig af logfiler. Det betyder at det vil være meget nemmere f.eks. at finde ud af din infrastruktur er under angreb. Det er også en helt klar fordel hvis angrebet skulle lykkeds, for så har du logs for hvad der sker, et centralt sted.

Der findes en hel række af forskellige logmanagement systemer, men jeg arbejder og benytter selv Elasticsearch. Med Elasticsearch, Logstash, Kibana og forskellige beats, er der næsten uendelige muligheder for at samle data op.

Med et Elasticsearch cluster er der en meget stor scallerbarhed, så det er mulight at 1000 vis af TB data. Det gør det mulight at have f.eks. Eventlogs fra Windows servere og netværkslogs fra firewall mm. for for en lang periode på f.eks. 13 måneder. Hvis uheldet skulle være ude har du så mulighed for at gå ind i Kibana og benytte et grafisk interface til at finde logs frem og grave i hvad er er sket.

Med Elasticsearch er det også muligt at sætte SIEM op. Dette benyttes til at finde hendelser, så du kan forhindere at det eskalere.

Så logmangement er vigtigt, ellers bliver det virkeligt svært og dyrt at håndtere sikkerhedes problemer.