Konzept Logging: Einleitung

1. Einleitung

Dieses Dokument beschreibt die konzeptionellen Grundlagen des Loggings in der IsyFact. Es adressiert die einheitliche Erstellung von Logs in den entwickelten Anwendungen sowie deren Auswertung. Es bildet damit die Grundlage der technisch und fachlich einheitlichen Umsetzung des Loggings in der gesamten Anwendungslandschaft und die davon abhängige effiziente Auswertung der Logeinträge.

Die daraus abgeleitete Umsetzung des Loggings im Rahmen einer Anwendungsentwicklung und die möglichen Auswertungen der Logs sind in den Nutzungsvorgaben Logging beschrieben. Zu beachten ist, dass die Nutzungsvorgaben an einen größeren Leserkreis gerichtet sind und einige Aspekte, sind nicht nur für das Logging-Konzept sondern auch für die Nutzungsvorgaben relevant. Um Redundanzen zu vermeiden, werden diese Aspekte alle in den Nutzungsvorgaben beschrieben und im vorliegenden Dokument darauf verwiesen.

2. Aufbau und Zweck des Dokuments

Ziel des Dokuments ist die Definition eines ganzheitlichen Standards für das Logging, von Erstellung (Inhalt und Ausgabe) der Logs durch die Systeme, über Verarbeitung der Logs durch die Infrastruktur, bis hin zur anwendungslandschaftsübergreifenden Auswertung der Logeinträge. Hierbei werden die Anforderungen von Betrieb, Test, Softwareentwicklungsreferat und Softwarelieferanten berücksichtigt.

Das Dokument ist entsprechend dieser Zielsetzungen in die folgenden Kapitel untergliedert:

Im Kapitel Anforderungen an das Logging werden die Zielsetzungen und Anforderungen an das Logging definiert, die die Grundlage für die nachfolgenden Kapitel bilden.

Im Kapitel Vorgaben zur Logerstellung werden die Vorgaben zur Erstellung der Logs innerhalb der Anwendungen gemäß der IsyFact definiert.

Im Kapitel Log Auswertung werden die Informationen beschrieben, die letztendlich im Auswertungstool zur Verfügung stehen und damit die Grundlagen zur Durchführung von Analysen darstellen.

Im Kapitel Anhang: Logging Glossar werden die Begriffe und Abkürzungen definiert, die spezifisch für das Themenfeld „Logging“ sind.

Abgrenzung

Logging ist ein querschnittliches Thema einer Anwendungslandschaft mit Schnittstellen zu zahlreichen weiteren Themen. Folgende Abgrenzungen werden dabei getroffen:

In diesem Dokument werden die Grundlagen geschaffen, um eine effiziente Auswertung der Logs zu ermöglichen. Die eigentliche Auswertung mit Hilfe von Analysetools ist nicht Teil des Dokuments.
Konfiguration von Drittsystemen: Die Konfiguration des Loggings von Systemen, die nicht mit der IsyFact entwickelt wurden (bspw. Apache Webserver, Apache Tomcat, Mailserver), wird in den Konzepten der einzelnen Systeme adressiert. Das Logging-Konzept definiert jedoch, welche Informationen durch die einzelnen Systeme bereitgestellt werden (Kapitel Log Auswertung).
Monitoring, Logging, Protokollierung: Unter „Logging“ wird in diesem Dokument „Logging zu technischen Zwecken“ verstanden.

Die Protokollierung behandelt das Mitschreiben von Informationen zu durchgeführten Geschäftsvorfällen auf Grund fachlicher Anforderungen.

Das Monitoring zur betrieblichen Überwachung der Anwendungslandschaft und frühzeitigen Eskalation von Problemen ist im Konzept Überwachung beschrieben.

In folgender Tabelle werden die drei verschiedenen Disziplinen detailliert voneinander abgegrenzt:

	Logging	Monitoring/Überwachung	Protokollierung
erfasst werden	Anwendungszustände, Fehlermeldungen	Anwendungszustände, Fehlermeldungen	Aktionen innerhalb der Anwendung
wo erfasst	Log-Server	zentrales Monitoring System, z.B. Nagios	Datenbank Protokollrecherche
Auswertung erfolgt	kontinuierlich	kontinuierlich	bei Verdacht auf security incident
Auswerteart	automatisch - inklusive Korrelation von Ereignissen und ggf. Meldung an Überwachungs-System anlassbezogen - Prüfung einzelner Logdateien bei Störung oder Verdacht auf security incident	automatisch - inklusive Alarmierungsfunktionen	nur manuell
Einschränkung der Auswertung auf	Administratoren	Administratoren	dedizierte Fachadministratoren der Protokollrecherche
Zielsetzung	zeitnahe Feststellung von Störungen und potentiellen Angriffen	Überwachung des Betriebszustands der Anwendungen plus Alarmierung bei Störungen	Nachvollziehbarkeit, Vorfallsaufklärung

Logging

Monitoring/Überwachung

Protokollierung

erfasst werden

Anwendungszustände, Fehlermeldungen

Aktionen innerhalb der Anwendung

wo erfasst

Log-Server

zentrales Monitoring System, z.B. Nagios

Datenbank Protokollrecherche

Auswertung erfolgt

kontinuierlich

bei Verdacht auf security incident

Auswerteart

automatisch - inklusive Korrelation von Ereignissen und ggf. Meldung an Überwachungs-System

anlassbezogen - Prüfung einzelner Logdateien bei Störung oder Verdacht auf security incident

automatisch - inklusive Alarmierungsfunktionen

nur manuell

Einschränkung der Auswertung auf

Administratoren

dedizierte Fachadministratoren der Protokollrecherche

Zielsetzung

zeitnahe Feststellung von Störungen und potentiellen Angriffen

Überwachung des Betriebszustands der Anwendungen plus Alarmierung bei Störungen

Nachvollziehbarkeit, Vorfallsaufklärung