Datainsamling och Arkivering
Som jag skrev tidigare så har Joel Snyder (tillsammans med LogLogic) skrivit en checklista att använda vid upphandlingar av Security Information Management system och loghanteringssystem.
Här tänkte jag sammanfatta och översätta hans slutsatser runt första punkten på checklistan, Datainsamling och Arkivering.
Men en slutsats jag drar, och säkert flera med mig, är att första punkten alltid måste vara utred behoven och förväntningarna, att börja i den tekniska ändan kommer alltid att sluta i tårar!
Datainsamling
Majoriteten av alla loggmeddelanden kommer typiskt via SYSLOG – en standard för överföring av loggmeddelanden via nätverk. Om era logghanteringsbehov bara kräver SYSLOG så bör valfritt logghanteringssystem fungera utmärkt.
Problem uppstår typiskt när man skall lägga till Windows Event Log data – något som inte alla logghanteringssystem stödjer, och att lägga till stöd för detta kan bli krångligt. Om behovet finns så bör detta utredas innan beslut fattas.
Se till att identifiera de källor som ni förväntas samla data ifrån och kontrollera ifall logghanteringssystemen i fråga hanterar dessa eller ifall ni måste handskriva egna importverktyg.
Sedan varierar metoderna och verktygen man använder för att läsa in de loggtyper som logghanteringssystemet inte hanterar från början. Ju fler handskrivna loggradsimporter man blir tvungen att skriva själv, desto viktigare är det hur pass kraftfulla och lättanvända dessa verktyg är.
Arkivering
Vissa logghanteringssystem hanterar arkivering medan andra ser sig som en steg i kedjan, där någon annan är ansvarig för arkivering. Vilket som är rätt eller fel kommer att utgå ifrån era krav.
Gör beräkningar på hur mycket data som kommer att genereras och under hur lång tid det kommer lagras för att kunna bedöma vilka lagringsbehov ni kommer att ha.