Strudsemetoden
Indsamling og brug af logs: Benytter du strudsemetoden? Hvorfor ikke bruge dine logs proaktivt, så du udover at kunne søge i alle dine logs et samlet sted, også får automatisk besked, når dine logs fortæller dig noget, du SKAL være opmærksom på?
Strudsemetoden
Vi definerer strudsemetoden som den "brug" af logs, hvor man sent i et forløb opdager et problem og derefter manuelt går tilbage på en server / switch og søger igennem loggen for at se, om man kan finde et problem. Eller lader sine switches (og måske også servere) sende alle syslogs ind i en fælles base og så glemmer alt om dem. Denne fælles "skraldespand" gør det meget besværligt efterfølgende at søge i logs, og der er ingen proaktiv korrelering. Med andre ord: Man bruger ikke logs aktivt.
Om logging
De fleste IT afdelinger bruger logs efter strudsemetoden. Det betyder ingen indsamling, ingen proaktiv anvendelse og kun en reaktiv brug af logs ved at dykke ned i devices logs for at finde nålen i høstakken, som måske kan give et fingerpeg om en driftsforstyrrelse eller en sikkerhedsbrist.
Alternativt bruger du måske logs ved at pege alle dine enheder hen på en samlet base, hvor du gemmer logs i hvad der bedst kan beskrives som en skraldespand. Det nemmeste er at trykke "delete all" - meget nemmere end at brugs disse logs aktivt.
Men logs er den ultimative kilde til information om tilstanden, fejl og sikkerhedsbrister i alle dine IT systemer, og du går derfor glip af muligheden for en bedre IT-drift, hvis du ikke bruger dine logs aktivt: Det vil sige:
- Aktiv indsamling af logs fra dine servere, routere, swicthes, firewalls, access punkter, applikationer, m.fl. til én fælles database. Logs forwardes normalt som syslogs og typisk omformes dine windows eventlogs til syslogs vha. en lokal agent på den enkelte server.
- Log korrelering er en disciplin, hvor din logløsning intelligent "smager på" og sammenligner de indkomne logs mht. frekvens og sammenhæng. Det muliggør, at systemet automatisk advarer dig, når der er noget i dine logs, du SKAL være opmærksom på. Derved bruger du dine logs proaktivt.
- Logsøgning udføres via dit logsystem i et interface, der gør det muligt (og nemt) at søge på tværs af alle dine logs i et bestemt tidrum efter en bestemt type af information (fx hvad har en bestemt IP adresse foretaget sig på nettet sidste onsdag mellem 12 og 14?).
- Compliance og rapportering er andre store funktioner i en god log løsning, fordi du med de indbyggede funktioner i din log løsning gør det nemt at holde både revisionen og ledelsen tilfredse med beviselig compliance og indbyggede rapporter på inventory, sikkerhed, driftsfejl, applikationsfejl mm.
 | CorreLog Server 5.1Applikationen indeholder branchens bedste kombination af real-time log management, korrelation og IT enterprise søgning. En typisk installation kan udføres på mindre end fem minutter og kræver ikke, at man rebooter hosten. CorreLog's flagskibsprodukt er Enterprise Correlation Server, et 100% web-baseret beskedopsamlings- og korrelations-system designet til at indhente high-speed, real-time information i form af windows event logs, syslog meddelelser og SNMP traps. Ud fra disse data opretter CorreLog Server tickets, man kan handle på. CorreLog benytter avanceret neural netværksteknologi, auto-learning algoritmer, semantiske sensorer og andre komponenter til at give de rå logfil meddelelser mening. CorreLog SIEM Version 5.1 er netop bedømt til at være "Excellent" af SC Magazine og er tildelt 4,5 stjerner ud af 5! SC Magazine udfører den mest omfattende samling af produktbedømmelser i IT sikkerhedsbranchen og anmelder hvert år IT produkter ud fra en række kriterier, herunder funktioner, brugervenlighed, variety, performance, dokumentation, support og om man får valuta for pengene. Magasinet tildeler derefter et samlet antal stjerner og gav i år Correlation Server version 5.1.0 en samlet vurdering på 4,5 stjerner ud af 5 mulige. Se bedømmelsen her!
  |
 | EventsManagerGFI EventsManager er en event-monitorerings-, administrations- og arkiveringsløsning, der hjælper organisationer med at overholde love og regler som fx SOX, PCI DSS og HIPAA. Dette prisvindende stykke software understøtter en lang række event-typer såsom W3C, Windows events, Syslog og - i den seneste version - SNMP traps genereret af devices såsom firewalls, routere og sensorer såvel som skræddersyede devices. |
 | EventTrackerEventTracker er den mest omfattende Security Information and Event Management (SIEM) løsning på markedet i dag. Den automatiserer indsamling og lagring af alle virksomhedens event logs og kombinerer real-time Log Management med effektiv Configuration and Change Auditing i en nøglefærdig softwarepakke. |
 | LogInspectLogInspect vedligeholder og optimerer en sund og sikker data infrastruktur i alle typer organisationer. På trods af de klare fordele ved log management, som er anerkendt som en kritisk nødvendighed i en IT organisation, ser ledelser i stort omfang stadig log management som en taktisk øvelse, typisk relateret til compliance eller sikkerhed. Log management giver dog også en betydelig forretningsmæssig værdi i form af øget forretningsmæssig adræthed samt mere problemfri IT drifts- og forretningsprocesser, forbedret kommunikation og reducerede omkostninger. I en typisk virksomhed genererer systemer, applikationer og devices millioner af log meddelelser hver eneste dag. Disse logs indeholder records med al aktivitet i netværket og er en kilde af information, der forbedrer sikkerheden, muliggør compliance og optimerer IT driften. Hvorvidt du kan indhente viden fra disse data, som du kan handle på, afhænger imidlertid af, hvor godt du kan indsamle, konsolidere, lagre og analysere den information, en event log indeholder – velkommen til LogInspect fra ImmuneSecurity. |
