Einsatzspektrum des Log-Managements
Gemeinsamer Nenner
IT-Service- und Service-Level-Management (ITSM, SLM) sind Themen, die meist im Hinblick auf Vertragsrecht auf Papier verhandelt und definiert werden. Dabei unterschätzen die Verantwortlichen häufig die technische Machbarkeit - der Bezug zur Praxis im IT-Betrieb fehlt teilweise oder ist nur über Ticketkommunikation nachvollziehbar und messbar. Hier kommt das Log-Management zum Tragen. Treten Ausfälle, Störungen oder Fehler im IT-Netz auf, so lässt sich vielfach nur in begrenztem Umfang klären, woran genau die Probleme lagen, wann und über welchen Zeitraum sie auftraten und ob die IT-Organisation sie im vertraglich vereinbarten Zeitraum behoben hat. Häufig kann die IT auch nicht die in SLAs (Service Level Agreements) geforderte Information liefern, wer oder was die Störung verursacht hat. Oft hört man auch von IT-Service-Ausfällen, von denen verschiedene Mitarbeiter entweder nicht oder mit unterschiedlichsten Effekten betroffen waren. Richtig ärgerlich für Service-Anbieter und Kunden wird es, wenn es sich um einen sporadischen Fehler handelt, der nicht reproduzierbar ist Die Folge: Das ungeliebte Spiel des Kommunikations- und Ticket-Ping-Pongs zwischen Anbieter und Kunde beginnt - mit wenig Aussicht auf Erfolg, zumal mit diesem Ansatz auch kein sinnvolles Qualitäts-Management greift. Eine grundsätzliche Strategie für das IT-Service-Management und den IT-Betrieb setzt mit dem Log-Management am kleinsten gemeinsamen Nenner an. Die Voraussetzung dafür: Alle Systeme, Geräte, Applikationen und Datenbanken, die zu einem angebotenem Service gehören, sind in ein zentrales und revisionssicheres Log-Management-System eingebunden. Dies schafft die Basis für SLM, ITSM und IT-Operations ohne "blinde Flecken".
Log-Analysen für technische Fragestellungen unterstützen den IT-Betrieb durch detaillierte Auswertungen dabei, nahezu in Echtzeit einen präzisen Einblick in das Geschehen im Netz zu erhalten. Gleichzeitig helfen die gesammelten Log-Daten, die IT-Service-Qualität kontinuierlich zu überwachen und zu verbessern - sowohl im Hinblick auf organisatorische Prozesse als auch für Nachweise zur Einhaltung von SLAs: Kommt es zu einem Vorfall im IT-Netz, lassen sich anhand der Logs nicht nur die SLA-Zeiten nach dem Öffnen des Tickets nachvollziehen, sondern auch die technischen Parameter der betroffenen Systeme. Dies macht im Nachhinein detailliert sichtbar, welche Services Störungen zeigten, ob womöglich weitere Anwender betroffen waren und wie schnell die IT die Probleme gelöst hat.
Auswahlkriterien
So avanciert das Log-Management zum ebenso technischen wie auch strategischen Instrument und dient als gemeinsame Plattform für die Ziele im ITSM und im IT-Betrieb. Dafür muss ein modernes Log-Management allerdings einige Kriterien erfüllen: Zum einen muss es in der Lage sein, unbegrenzt skalierbar Erweiterungen von IT-Netzen abzubilden. Schließlich gehört zu den wichtigsten Vorteilen des Log-Managements, dass sämtliche Log-Daten lückenlos und zentral für Analysen zur Verfügung stehen. Zum anderen muss die Lösung die Log-Files revisionssicher und unmanipulierbar speichern können. Nur so nützen sie der IT-Forensik und gelten bei möglichen Schadensersatzklagen auch als gerichtsverwertbarer Beweis. Ein dritter wesentlicher Aspekt ist, dass die unterschiedlichen Analysen der Log-Files rollenbasiert zur Verfügung stehen müssen. Auf diesem Weg sind auch Datenschutzrichtlinien einzuhalten, die den Zugriff auf die in Log-Files enthaltenen personenbezogenen Informationen strikt limitieren. Zudem kann ein Unternehmen durch rollenbasierte Dashboards die Auswertungen bedarfsorientiert den Helpdesk-Mitarbeitern, IT-Administratoren, der Geschäftsführung oder externen Auditoren zur Verfügung stellen. Da sich alle derselben Quelle bedienen, unterstützen die Dashboards auch den beschleunigten Austausch zwischen den verantwortlichen Abteilungen und Hierarchien.
Sind die technischen Voraussetzungen erfüllt, gilt es, die IT-Organisation auf die Handlungsoptionen, die das Log-Management bietet, abzustimmen. Dies beginnt damit, bestehende organisatorische Grenzen zwischen Systemwelten abzubauen. Aktionen, die zeitnah aus den Log-Analyseergebnissen abzuleiten sind, sollten nicht von einer verzögerten Zusammenarbeit zwischen Windows-, VMware-, Unix- und anderen Systemverantwortlichen beeinträchtigt werden. Gleiches gilt für die Informationsflüsse und Prozesse zwischen den Unternehmensabteilungen.
Betrieb und ITSM Hand in Hand
IT-Operations und ITSM profitieren individuell vom Log-Management und können sich damit auch gegenseitig unterstützen. Verdeutlichen kann dies das Beispiel der KPIs (Key Performance Indicators): Im IT-Betrieb kommt Log-Management zum Einsatz, um neben dem Netzwerk-Performance-Management auch Trend- und Lastanalysen bis hin zur Untersuchung einzelner Transaktionen durchzuführen, Systeme zu bewerten und zu klassifizieren. Die dafür sinnvollerweise einzusetzenden Kennzahlensysteme (KPIs) unterstützen gleichzeitig das ITSM. Dieses nutzt die KPIs für die Leistungssteuerung und setzt Log-Daten für das Leistungs-Management ein.
Für ein ITSM, das von automatisierten Reports und Workflows profitieren soll, lässt sich eine Log-Management-Lösung mit einem Compliance-Management-Tool verbinden. Dieses hält unter anderem Richtlinien von ITIL (IT Infrastructure Library), COBIT/SOX (Control Objectives for Information and Related Technologies/Sarbanes-Oxley Act) und ISO vor und gleicht sie automatisch mit den Log-Daten ab. Dies vereinfacht die Umsetzung der Standards, die in unterschiedlicher Weise ein Log-Management vorschreiben. Beispielsweise setzt die jüngste Version von ITIL auf den Einsatz von Log-Management als Teil des Problem-Managements sowie des Identity- and Access-Managements und fordert eine regelmäßige Kontrolle der Anwenderaktivitäten im Netz.
Manuell oder mit Logs in Silos ist dies kaum zu leisten. Es bedarf eines Management-Tools, das auf die zentrale Log-Datensammlung aufsetzt und die Zusammenhänge zwischen Anwendern, Prozessen und Log-Daten darstellt. Mit vorgefertigten Warnmeldungen und Berichten anhand der ITIL-, ISO- und COBIT-Vorgaben automatisiert ein solches Compliance-Management-Werkzeug die Zuweisung von Prüfern (Reviewern), die Erstellung von Zeitplänen für Berichte sowie die Einrichtung von SLAs für Reviewer und zugehörige Prozesse. Dies sorgt für klare Strukturen und Disziplin bei den täglichen IT-Aufgaben und gleicht Aktivitäten mit SLAs ab. Die darüber gespeicherten Informationen sind Belege im Rahmen interner und externer Audits.
Logs für die Fehlersuche
Ein Beispiel aus der Praxis: Bei einem Unternehmen fiel in einem Gebäude komplett das Netzwerk für die Desktop-Clients aus. Die Ursache wurde schnell gefunden, da die Infrastruktursysteme lückenlos in ein zentrales Log-Management-System eingebunden waren: Ein einfacher Alarm zeigte ein zu hohes Log-Aufkommen bei einem Switch. Dieser schickt in der Regel nur ein bis zwei Logs pro Stunde, erzeugte nun aber in Sekunden plötzlich Hunderte von Log-Nachrichten. Diese ungewöhnlich hohe Anzahl und der Inhalt der Log-Daten deuteten an, dass es sich um einen Loop im Netzwerk handelt. Der Grund: Bei dem Switch funktionierte die Loop Detection nicht ordnungsgemäß. Innerhalb weniger Minuten konnte ein IT-Mitarbeiter vor Ort im Gebäude alle Netzwerkkabel entfernen und Schritt für Schritt wieder anstecken, bis der Loop erneut auftrat. Daraufhin steckte er dieses Kabel wieder ab und schloss den Rest wieder an. So konnten die Mitarbeiter in dem Gebäude in kürzester Zeit wieder produktiv arbeiten. Die Analyse im Nachgang verdeutlichte, dass der Switch auszutauschen war.
Dieser Fall zeigt die Rolle des Log-Managements in mehrfacher Hinsicht: Bereits das Log-Aufkommen war ein Indikator, dass in der Systemlandschaft etwas nicht ordnungsgemäß funktioniert, noch bevor ein Mitarbeiter ein Service-Ticket eröffnete. In den Log-Daten war die Ursache des Problems bis hin zum betroffenen Switch und Switch-Port einsehbar. Durch die vollständige Sammlung der Logs auf einem externen System ließe sich selbst bei einem kompletten Switch-Ausfall/-Defekt die Ursache noch nachträglich analysieren. Das SLM kann die Log-Einträge und -Daten dazu verwenden, die Problembehebung nachzuvollziehen und die Downtime genau zu analysieren. Das SLM konnte beweisen, dass es sich dabei nicht um einen Fehler der IT-Geräte handelte, sondern um einen Mitarbeiter, der ein Netzwerkkabel falsch angeschlossen hatte. Die Wahrheit steht meist im Log-File - stehen sie gesammelt für Analysen zur Verfügung, lassen sich Probleme schneller identifizieren und beheben. Dies ist nicht nur bei Vertragsverhältnissen mit Dienstleistern von enormer Bedeutung, sondern auch für optimierte Prozesse der internen IT.
Fazit
Technisch ist es möglich, die Datenmassen einer zentralen Log-Sammlung zu verarbeiten und so das Log-Management als strategisches Instrument zu etablieren, von dem sowohl der IT-Betrieb als auch das ITSM profitieren. Was sich derzeit bei Unternehmen noch entwickeln muss, ist das Verständnis dafür, dass das Log-Management mehr bietet als nur Unterstützung für Sicherheit und Compliance.
Lesen Sie mehr zum Thema
