Event Log Management

Event Log Management en Eventlog Monitoring 

De meeste systemen genereren diverse events die worden opgeslagen in een logfile. Bij problemen kan men in deze logfile kijken voor een nadere analyse. Ernstige problemen  worden vaak voorafgegaan door een serie van waarschuwingen (events). Event Log Management biedt dus veel mogelijkheden om problemen te voorkomen en de beschikbaarheid te vergroten. Eventlog management systemen zijn een aanvulling op netwerk en systeem monitoring. Event log management vormt verder een belangrijk onderdeel bij Sarbanes-Oxley compliance.

Een aantal bekende netwerk en systeem management systemen maken grotendeels gebruik van de "opgevangen" events en groeperen deze met behulp van management packs in logische delen zodat de omgeving beter beheersbaar wordt.

De eisen en wensen van (enterprise) Event Log Management

De diverse Event logs dienen gemanaged te worden zodat zij bijdragen tot een hogere beschikbaarheid en beveiliging van de ICT infrastructuur. Hiervoor is de volgende functionaliteit gewenst:

  1. Periodiek ophalen of laten versturen naar een centrale plaats (database)
  2. Archivering van de event logs
  3. Schoonmaken (reset van de event logs op de decentrale systemen)
  4. Alarmering (escalatie) van kritieke alerts
  5. Herkenen van eventpatronen
  6. Filteren van de event logs
  7. Correlatie van events
  8. Periodiek rapportages (voor verschillende doelgroepen)
  9. Doorsturen van alerts (interface met andere systemen)

De problemen van Event Log Management en Event Log Monitoring

Het aantal systemen dat event logs genereert neemt gestaag toe waardoor het moeilijk wordt al deze logs periodiek te bekijken. Er ontstaat een brei van informatie die niet leesbaar is. Een ander probleem van event logs is dat zij veel ongesorteerde informatie bevatten en geen standaard formaat hebben. Het "doorbladeren" van deze event logs is hierdoor tijdrovend. Het continue monitoren van de event logs wordt hierdoor in de praktijk niet of nauwelijks gedaan. Toch bieden de event logs veel informatiewaarde voor de bewaking en het beheer van een ICT infrastructuur. Een event log management systeem biedt hiervoor een uitkomst.

De twee belangrijke architecturen: agent(less)

Toegang tot event logs kunnen op een aantal manieren worden verkregen:

  1. Via een service account of agentless
  2. Met een actieve agent

Veel homogene systemen maken gebruik van een service account om de event logs uit te lezen. In een aantal situaties is kan dit ongewenst zijn. Uitlezen is periodiek op basis van polling. Systemen die werken met een actieve agent kunnen veel sneller de belangrijke events uitlezen en de nodige alert genereren.

Bronnen van event's

In een ICT infrastructuur zijn er diverse "bronnen" die event's genereren. Dit zijn:

  1. Netwerk devices (routers en switches)
  2. Computer systemen (OS)
  3. Security devices (firewalls)
  4. Applicaties
  5. Diverse monitoring systemen
  6. Storage systemen (o.a. SAN, NAS)
  7. Power systemen (o.a UPS'en)
  8. Wireless access points
  9. Access compliance

Binnenkort

Binnenkort meer in dit artikel over Event Log Management, met de volgende onderwerpen:

  1. Entry level event log management
  2. Security en de relatie met event logs
  3. Windows eventlog management
  4. Relatie met syslog
  5. Heterogene omgevingen
  6. Enterprise event log management
  7. Software en hardware oplossingen (apliances)
  8. Open Source oplossingen
  9. De leveranciers
  10. Sarbanes-Oxley (SOX, SARBOX)

Beschikbare Event Log Management Systemen

Neem contact met ons op indien u op zoek bent naar een event log management systeem. Wij hebben verschillende systemen in ons portfolio die u gratis en vrijblijvend kunt testen.