Log management: čo si premyslieť pred návrhom
Logy majú hodnotu len vtedy, keď podporujú incident triage, auditovateľnosť a prevádzkové rozhodnutia. Pred návrhom si ujasnite účely, vlastníctvo a nákladový model (retencia, objemy, indexy).
Logy odpovedajú prečo sa incident stal a kde vznikol.
Bez jasných use-cases, normalizácie a retencie sa z logov stáva drahé úložisko bez hodnoty.
Minimum štandard je pár kritických zdrojov, spoločné polia, rozumná retencia a jasné vlastníctvo pipeline.
Kľúčové otázky
- Use-cases: na čo logy reálne potrebujete (incidenty, audit, forenzná analýza, výkon)?
- Zdroje: ktoré logy sú kritické (identity/auth, DNS, edge/WAF/LB, systémy, aplikácie, DB)?
- Dostupnosť: viete logy rýchlo vyhľadať a korelovať pri incidente?
- Normalizácia: máte dohodnuté kľúčové polia (user, host, service, request_id, severity)?
- Retencia: operatívna vs auditná – čo držať krátko a čo dlhodobo?
- Náklady: poznáte objemy (GB/deň), rast a cenu za ingest/ukladanie/prehľadávanie?
- Citlivé údaje: ako riešite PII, maskovanie, prístupy a audit prístupov k logom?
- Ownership: kto vlastní ingest, parsing a zmeny pri nových formátoch?
Praktický štart
Začnite s malým, ale kvalitným rozsahom: vyberte 3–5 najdôležitejších zdrojov, dohodnite spoločné polia a nastavte retenciu podľa účelu. Až potom rozširujte coverage.
Monitoring povie, že je problém. Logy povedia prečo a kde. Najlepšie fungujú spolu – s jasným incident procesom a runbookmi.