TODO Artikel muss neu strukturiert werden!
Ein Programm aus der Sparte des Log-Management ist GrayLog. Die Aufgabe von GrayLog ist es, Logs und Protokolle zu sammeln sowie diese zentral und aufgearbeitet der Administration zu präsentieren. Die Software hilft somit in der praktischen Umsetzung des Compliance in der IT und steigert die Effektivität der Administration.
GrayLog bietet die Möglichkeit, sowohl auf Logs von Software als auch von Hardware zuzugreifen. Es ist kompatibel mit Logs in den Formaten syslog, GELF, JSON/REST-URL und RAW. Einmal eingerichtet, werden Protokolle in Echtzeit und automatisch gesammelt. Auf diese Weise lassen sich zum Beispiel Zugriffsdaten von Web- und FTP-Servern oder Netzwerkprotokolle von Switches und Modems sammeln. GrayLog vereinheitlicht die Logs, die in der Regel in sehr unterschiedlichen Formaten vorliegen. Durch das parsen werden die Logs einheitlich gelistet, sodass man später beispielsweise Logs zeitlich sortieren oder auf bestimmte Ereignisse eingrenzen kann. Somit haben Administratoren die Möglichkeit, schnell und ohne weiteren Aufwand auf aktuelle oder ältere Logfiles von beliebigen Quellen zuzugreifen. Die manuelle Suche, die auch die Anmeldung an dem jeweiligen Dienst beinhaltet, auf dessen Logs zugegriffen werden soll, entfällt dank dieser Eigenschaft. Dies ist zum einen hilfreich in der unmittelbaren Fehlersuche, um das Problem zu identifizieren und schnellstmöglich eine Lösung zu finden. Zum anderen können so auch sich anbahnende Fehlerquellen identifiziert und Störungen im laufenden Betrieb verhindert werden.
In der heutigen Zeit, in der dezentrale IT-Infrastruktur eine ebenso große Rolle einnimmt wie DevOps oder Continuous Deployment, muss auch das Log-Management auf diese Umgebungsvariablen reagieren. GrayLog ist in der Lage, auf Protokolle von unterschiedlichen Quellen zuzugreifen. Dies beinhaltet auch Logs, die von Applikationen in Containern, auf virtuellen Systemen oder auf ausgelagerter IT-Infrastruktur erstellt werden. Auf dem System, von dem Logs erfasst werden sollen, wird hierfür ein Log Agent eingerichtet. Diese Agents sind für faktische alle Betriebssysteme verfügbar, wie etwa für die verschiedenen Versionen von Windows, zahlreiche Linux-Derivate oder CentOS. Über die lokale Konfiguration lässt sich genau bestimmten, von welchen Applikationen oder welcher Hardware Logs gesammelt und über das Netzwerk an den zentralen GrayLog-Dienst gesendet werden sollen. An diesem stehen dann die ausgewählten Protokolle aller integrierten Systeme zur Verfügung, ungeachtet dessen, wie ausgedehnt das Firmennetzwerk ist.
Das User-Management von GrayLog erlaubt es, verschiedene Benutzergruppen und Accounts mit unterschiedlichen Befugnissen zu erstellen. Gerade in größeren Unternehmen ist dies hilfreich, um Aufgabenbereiche klar zu vergeben oder zu trennen. Die Indexierung in GrayLog geschieht mittels Elasticsearch. Dies gibt einem viel Freiheit bei der Wahl des Ausgabeformats der Logs. Elasticsearch dient gleichzeitig als User-Schnittstelle mit Such- und Analysefunktionen. Es überzeugt vor allem durch seine Skalierbarkeit. In kleinen Betrieben lässt sich GrayLog mit Elasticsearch auch auf Laptops betreiben, um zentral den Überblick über die Logs zu behalten. In großen Unternehmen mit mehreren Zweigstellen, ausgedehnten Netzwerken und umfassender Serverstruktur fungiert Elasticsearch als Zugriffspunkt auf alle Protokolle des gesamten Clusters.
Ein weiterer Vorteil von GrayLog ist das Dashboard. Auf diesem werden die Statistiken grafisch dargestellt, was einen zugänglichen und leicht verständlichen Weg zu den klassischen, textbasierten Logfiles öffnet. Beispielsweise lassen sich auf einen Blick die Zugriffsdaten einer Webseite analysieren. Die Belastung des Webservers zu einem bestimmten Zeitpunkt können ebenso abgefragt werden wie die Herkunftsorte der Zugriffe. Rückschlüsse auf das Benutzerverhalten lassen sich so ebenso erkennen wie etwaige Auslastungsprobleme der Hardware zu Spitzenzeiten. Dies ermöglicht es, Prognosen für die Zukunft zu erstellen und zu identifizieren, welche Bereiche der IT-Infrastruktur aufgewertet werden sollten. Auch unbefugte Zugriffe oder Betrugsversuche lassen sich mithilfe von Logs erkennen. Die manuelle Suche nach solchen Events ist sehr aufwändig oder gar unmöglich. Anhand der automatischen Auswertung können solche Versuche jedoch schnell erkannt werden, was den Administratoren die Möglichkeit gibt, gezielt darauf zu reagieren und Schaden abzuwenden. Hilfreich sind hier die automatischen Benachrichtigungen, die sich frei definieren lassen. So können bei einer bestimmten Anzahl an fehlerhaften Logins oder bei der Überschreitung einer festgelegten Grenze der Serverauslastung Aktionen festgelegt werden. Hierbei kann es sich um eine Benachrichtigung an die Administration oder auch um eine selbstständige Reaktion handeln. Zum Beispiel können IP-Ranges automatisch geblockt werden, wenn verdächtige Login-Versuche identifiziert werden. Wir von dataliquid bieten Ihnen Log-Management auf Basis von GrayLog als Dienstleistung an. Auf diesem Weg erhalten Sie ein nach Ihren Wünschen konfiguriertes System, das alle gewünschten Logs für Sie zusammenstellt. Mit der übersichtlichen Benutzeroberfläche von GrayLog und den Suchfunktionen von Elastcisearch haben Sie dann jederzeit den Überblick über den Zustand Ihrer Programme und der Hardware. Erstellen Sie wichtige Prognosen anhand des Nutzerverhaltens auf Ihrer Webseite und gewährleisten Sie die Sicherheit durch die lückenlose Überwachung der Zugriffsdaten.