Monitoring: So funktioniert die Systemüberwachung

Fachbeitrag

Beim Betreiben einer funktionieren IT-Infrastruktur ist die IT-Dokumentation extrem wichtig. Es ist essentiell zu wissen, welche Systeme wie funktionieren und in ihrer Gesamtheit agieren. Aber genau diese Abläufe sollten auch überwacht und bewertet werden. Der folgende Beitrag soll einen kleinen Einblick darüber geben, wie Monitoring funktioniert und warum es so relevant ist.

Aus dem Alltag eines IT-Administrators

Damit eine IT-Infrastruktur in ihrer Gesamtheit mit allen dazugehörigen Aufgaben und Systemen rundläuft, empfiehlt es sich, dies hinreichend zu überprüfen. Die Überwachung bestimmter Prozesse, festgelegter Strukturen und Indikatoren, die Ausfälle oder Risiken bedingen bzw. verantworten können, nennt sich Monitoring und bildet einen großen Teil des Aufgabenfeldes eines Netzwerk- und Systemadministrators. Hierbei sollen die Ursachen ermittelt werden, die dafür verantwortlich sind, dass sich Parameter außerhalb der gewünschten Bereiche aufhalten.

Monitoring kommt in unterschiedlichsten Bereichen zum tragen. So zum Beispiel bei der Überwachung von Auslastungen, der Auswertung von Nutzerverhalten und bei der Überprüfung der Systeme auf Bedrohungsindikatoren oder technische Ausfälle. Dabei können einzelne Komponenten oder aber auch (fast) das komplette Netzwerk überwacht werden.

Das Überwachen der Systeme gehört zum Bereich des Netzwerkmanagements und stellt einen essentiellen Part einer funktionierenden IT-Landschaft dar. Für einen IT-Administrator ist es wichtig, Aussagen treffen zu können, über die weitere Ressourcenplanung, Funktionalität, Schwächen, eventuelle Verbesserungen für die zukünftige Nutzung und vielleicht sogar die Notwendigkeit einzelner Elemente der laufenden Systeme. Dies verstärkt sich noch einmal, wenn größere Änderungen in der IT-Infrastruktur vorgenommen und in den laufenden Betrieb etabliert werden.

Besonders entscheidend ist ein stetiges und präzises Monitoring bei der Aufdeckung von IT-Sicherheitsvorfällen. Jetzt stellt sich jedoch die Frage: Muss das nun täglich überprüft werden?

Die simple Antwortet lautet JA. Zumindest in der Theorie. Das ist natürlich auch immer abhängig von der Art der Systeme und dem ausgewählten Modell des Monitorings. Vieles kann automatisiert ablaufen und bedarf nur der persönlichen Einsicht und Bewertung der Daten nach Ablauf der Überwachungsphase.

Wie Monitoring eingesetzt wird

Was aber immer gilt: Das wichtigste Element bei IT-Sicherheitsvorfällen ist die Zeit. Je früher also laterale Bewegungen oder Systemausfälle auffallen, desto schneller kann reagiert und der Schaden minimiert werden. Hierbei spricht man vom „Real-Time Monitoring“. Also dem Überwachen in Echtzeit. Dem gegenüber steht das „Historical Monitoring“, welches zur automatischen Erzeugung von (Langzeit-)Statistiken zu IT-Diensten eingesetzt wird. Werden nur einzelne Systemkomponenten überwacht, ist die Echtzeit-Überwachung zeitlich gut vereinbar. Je größer der Umfang der zu überwachenden Systeme, desto höher ist in der Regel auch der zeitliche Aufwand des Monitorings.

So nimmt bspw. die komplette Überwachung aller Betriebsfunktionen durch den IT-Verantwortlichen deutlich mehr Zeit ein als das Monitoring einzelner Phasen, oder das Erheben von (Langzeit-) Statistiken. Einzelne Phasen können zum Beispiel zeitlich oder funktionell eingeteilt sein, sodass ein Element des Systems nur überwacht wird, wenn es spezielle Aufgaben zu einer bestimmten Uhrzeit erfüllt, aber die restliche Zeit im Bereitschaftsbetrieb lebt.

Technische Umsetzung des Monitorings

Die Arbeit des Verantwortlichen für das Monitoring, in der Regel wie bereits erwähnt der IT-Administrator, kann durch Open-Source oder kommerzielle Produkte unterstützt werden. Bei der Auswahl des geeigneten Tools ist es wichtig, darauf zu achten, welche Anforderungen an die Infrastruktur bestehen, welche Art des Monitorings durchgeführt werden soll, wie diese Daten ausgewertet werden und wie Alarmmeldungen erfolgen sollen. Auch hier gibt es wieder verschiedenste Modelle. So kann zum Beispiel eingestellt werden, dass man als Alarmmeldungen E-Mails erhält, wenn das Backup Fehler aufweist. Häufig kann auch eine sehr schlanke Open-Source Variante schon einen soliden Job leisten, wenn sie das bietet, was für eine konkrete Monitoring Situation benötigt wird.

Unterschiede in den Arten der Überwachung

Ein paar klassische Varianten des Monitorings sind folgende:

  • Real-Time Monitoring
  • Historical Monitoring
  • Aktives Monitoring
  • End-to-End Monitoring
  • Application-Response-Time Monitoring

Der Unterschied zwischen dem Real-Time und dem Historical Monitoring wurde ja bereits herausgestellt. Beim aktiven Monitoring versucht das Monitoring-System das Problem vorübergehend zu beheben. Dabei wird die eigentliche Ursache des Problems jedoch nicht beseitigt, möglicherweise wird diese sogar verschleiert. Zudem ist für viele Probleme ein derartiges Vorgehen gar nicht möglich, etwa bei einem Geräteausfall. Gravierender ist jedoch, dass das aktive Monitoring einen privilegierten Zugriff auf Systeme und Dienste erforderlich macht, was ein erhöhtes Sicherheitsrisiko darstellt.

Beim End-to-End Monitoring fokussiert sich die Messung auf die Funktionalität eines Dienstes. Möchte man zum Beispiel etwas in einem Online-Shop bestellen, wird die vollständige Transaktion dieses Dienstes geprüft.

Das Application-Response-Time Monitoring fixiert sich auf die Antwortzeit einer Anwendung und ob diese in einer angemessenen Zeit erfolgt. Es ist möglich, dass alle Komponenten des Systems funktionieren und dennoch die Reaktion des Systems so lange dauert, dass die Online-Bestellung nicht abgeschlossen wird. Das würde beim Monitoring auffallen und so zielgerichtet behoben werden können.

„If You Can’t Measure It, You Can’t Manage It“

Somit lässt sich zusammenfassend sagen, dass Monitoring eine sehr sinnvolle Sache ist und je nach System und Netzwerk beurteilt werden muss, welche Variante in welchem Umfang am sinnvollsten ist. Das Real-Time Monitoring besticht durch seine erhöhte Wahrscheinlichkeit, schnell auf Auffälligkeiten zu stoßen – bedingt jedoch eine hohe Disziplin der IT-Verantwortlichen. Ebenfalls sorgt es für die Erzeugung einer nicht unerheblichen Datenmenge, deren gezielte Auswertung unter Umständen sehr zeitaufwändig sein kann. Somit liegt es im Ermessen der verantwortlichen Personen, wie intensiv und mit welchen Methoden das eigene Netzwerk überwacht werden soll.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Forensik

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.