Sami Koskinen
Jan 28, 2015

Pitäisikö lokeja seurata?

Onko seuraava, monessa yrityksessä tavallinen tilanne hyväksyttävä? On palvelimia. Joka palvelin kirjoittaa käyttötapahtumista lokia omille kiintolevyilleen. Levy varmistetaan öisin nauharobotille. Koneen ylläpito katselee lokia, kun käyttäjät kertovat koneen oikuttelevan. Muuten loki saa olla rauhassa.

Satunnainen ylläpitäjä miettii ja toteaa, että jokin on vialla. Hän kertoo huolensa vikojen selvityksen ongelmasta tietohallintojohtajalle: laite- tai tiedostojärjestelmärikossa menetettäisiin lokit vuorokauden ajalta ja vikaselvitys vaikeutuisi. Hän ehdottaa keskitettyä lokijärjestelmää, joka sisältäisi ainakin keskeisten laitteiden lokit. Palvelimet tavallisesti varoittavat lokitiedoissa laitteiden vikaantumisesta ennen hajoamista, ja keskitetyllä lokipalvelulla vikoja voitaisiin ennakoida helpommin.

Lokit ovat sekä ylläpidon ennaltaehkäisevää työkalupakkia että käyttäjien ja ylläpitäjien oikeusturvan varmistamista. (VAHTI 3/2009 s. 14-16.) Lokit ovat korvaamaton osa ennakoivaa ylläpitoa sekä vikojen ja väärinkäytösten selvittämistä. Osa seurattavista tapahtumista näkyy vain lokeissa. Muun muassa kirjautumisyritykset, kirjautumiset sekä käyttövaltuuksien korotukset ja tavallisesti laitevikoja edeltävät oireet, mm. kiintolevyjen lukuvirheet, erottuvat vain lokeista. Työasemilla on tavallisesti vaihtuva osoite, jonka määritystiedot ja määritysten historia näkyvät (yllätys, yllätys) vain lokeista.

Ylläpitäjä kiinnostui palvelimista, mutta entä tietoliikennelaitteet? Kytkimet, reitittimet ja tukiasemat kirjoittavat lokia kuten palvelimet, samoin merkityksin. Verkon aktiivilaite saattaa jopa koostua täysin samoista osista kuin tavallinen palvelin (mm. Nokian jo edesmenneet IP-sarjan palomuuri/reitittimet).  Silti ei ole tavatonta, että verkkolaitteiden lokit jäävät vain laitteen omalle massamuistille josta niitä ei ehkä voi edes varmistaa ilman vippaskonsteja. Viimeistään nyt satunnaisen ylläpitäjän keskitetyllä lokijärjestelmällä on liiketoimintaperusteet. Tai tarkkaan ottaen liiketoiminnan jatkuvuuden turvaamisesta aiheutuvat perusteet.

Lokien varastointi kannattaa keskittää. Järjestelmän seurantatyön helpottuu, mutta lisäksi keskittäminen tarjoaa mahdollisuuden seurata kokonaisuutta, yhdellä kertaa, yhdestä paikasta, yksin työkaluin. Laitteistona sen ei tarvitse maksaa kahta pientä palvelinta, muutaman teratavun levyjärjestelmää ja matriisikirjoitinta enempää, mikä kymmenisen vuotta sitten tarkoitti reilua kymmentätuhatta euroa. Melko edullista.

Lokien keruu ja käsittely on suunniteltava ja tiedon tarpeellisuus sekä käyttötarkoitus tunnettava, oli tallennus keskitettyä tai ei. Lokit sisältävät sähköisen viestinnän tunnistamistietoa (Sähköisen viestinnän tietosuojalaki 516/2004) ja muodostavat herkästi henkilörekisterin (Henkilötietolaki 523/1999). Velvoitteet (sekä rangaistukset!) ainoastaan tiukkenevat (ks. mm. Asianajajaliitto 23.5.2014), mikä investointimielessä puoltaa keskitettyä lokien keruuta ja käsittelyä. Vahinkoriskit täytyy tuntea ja käsitellä. Jatkossa voi olla, että mm. kutsumattomasta vieraasta järjestelmässä on ilmoitettava eteenpäin 72 tunnissa (U21/2012 vp).

Ota yhteyttä Tietohallintomalli PDF

Haluatko tietää lisää Tietohallintomallista ja sen soveltamisesta käytännössä? Ota yhteyttä.