Neben den zentralen Komponenten der IT-Security wie einer Firewall, Endpoint und Server Protection, E-Mail-Security, aber auch Themen wie Zutrittssicherung zu IT-Bereichen, gehört auch das Thema Log- und Netzwerk-Monitoring dazu. Auf dieses Thema werde ich im Folgenden näher eingehen.
Worin liegt der eigentliche Verwendungszweck solcher Monitoring-Tools?
Ein Netzwerk-Monitoring-Tool dient im ersten Schritt dazu, einen Überblick über die gesamte IT-Infrastruktur zu ermöglichen und diesen Überblick auch über einen längeren Zeitraum beizubehalten. In diese Monitoring-Struktur können Server, Netzwerkkomponenten (z. B. Switches), Firewalls, Router und nahezu alle Geräten mit einer IP-Adresse aufgenommen werden. Das Ziel besteht darin, Verfügbarkeit, Auslastung, Performance und Zustand der jeweiligen Geräte zu visualisieren und im Falle von Problemen rechtzeitig alarmiert zu werden.
Durch diese Alarmierung wird der jeweilige Administrator dann auch in die Lage versetzt, proaktiv „Baustellen“ anzugehen, bevor überhaupt ein Problem entstehen kann. Das klassische Beispiel für einen solchen Fall ist die Festplattenkapazität: Weder ein Server noch eine Firewall können mit einer vollen Festplatte vernünftig arbeiten. Hat man die Kapazitäten aber schon mit einem Monitoring-Tool im Blick, können rechtzeitig Maßnahmen ergriffen werden.
Ähnlich verhält es sich mit den Bandbreitenkapazitäten. Noch ein Beispiel: Die User eines Unternehmens beschweren sich über eine langsame Internetverbindung, die das Arbeiten mit externen Tools, VoIP-Telefonie, Videokonferenzen oder das Surfen im Internet unmöglich macht. Auch in diesem Fall kann der Administrator mit einem Blick auf das Monitoring der WAN-Anbindung feststellen, ob auf der Leitung noch Kapazitäten frei sind oder ob die Bandbreite ausgeschöpft ist. Ist dies wiederum der Fall, kann der Administrator gezielt nach dem System suchen, das die Bandbreite belegt. Mit einem Netzwerk-Monitoring-Tool lässt sich ein breites Spektrum an Szenarien abdecken. Probleme werden schneller identifiziert und gelöst– oder entstehen erst gar nicht.
Und wie sieht es mit dem Log-Monitoring aus?
Wie der Name schon sagt, werden mit einem solchen Tool nicht die Geräte selbst überwacht, sondern deren Log-Dateien oder Ereignisse. Dies bietet ebenfalls einige Mehrwerte: Zum einen wird so ein Platz geschaffen, an dem die Logs verschiedener Geräte zentral gesammelt, gelagert und auch ausgewertet werden können. Steht eine Log-Analyse an, muss sich der Administrator nicht auf jedes einzelne Gerät schalten und dort die Logs suchen. Stattdessen sucht er im zentralen Log-Monitoring nach dem gewünschten Gerät und dem passenden Log – und schon kann er loslegen.
Auch die Aufbewahrung über einen längeren Zeitraum und damit die Möglichkeit, zurückliegende Ereignisse zu analysieren, stellt keine Herausforderung mehr dar. Außerdem besteht je nach Lösung die Möglichkeit, die gesammelten Logs direkt innerhalb des Monitoring-Tools automatisiert auswerten zu lassen. Wird z. B. in einem Firewall-Log das Wort „Alert“ oder ähnliches gefunden, kann dafür sofort eine automatische Alarmierung ausgelöst werden. So hat der Administrator auch Events in verschiedenen Logs immer im Blick.
Und was hat das mit IT-Security zu tun?
Mit Vorteilen wie proaktiver Problembekämpfung, rechtzeitiger Alarmierung, einer Live-Übersicht über den Zustand der Systeme im Unternehmen und nicht zuletzt durch die automatische Analyse von Protokollen oder Ereignissen fügt sich eine Monitoring-Lösung nahtlos in ein ganzheitliches IT-Security-Konzept ein. Die Lösung hilft, stetig einen sauberen und sicheren Betrieb der IT-Infrastruktur aufrechtzuerhalten und notwendige Erweiterungen oder Arbeiten an den einzelnen Systemen schnell zu erkennen.