Log management: čo si premyslieť pred návrhom
Logy majú hodnotu len vtedy, keď podporujú incident triage, auditovateľnosť a prevádzkové rozhodnutia. Pred návrhom si ujasnite účely, vlastníctvo a nákladový model.
Bez jasných use-cases, normalizácie a retencie sa z logov stáva drahé úložisko bez hodnoty.
Kľúčové otázky
- Na čo logy reálne potrebujete: incidenty, audit, forenzná analýza, výkon?
- Ktoré zdroje sú kritické: identity, DNS, edge, systémy, aplikácie, DB?
- Viete logy rýchlo vyhľadať a korelovať pri incidente?
- Máte dohodnuté kľúčové polia ako user, host, service, request_id, severity?
- Ako vyzerá operatívna a auditná retencia?
- Poznáte objemy, rast a cenu za ingest/ukladanie/prehľadávanie?
- Ako riešite PII, maskovanie a audit prístupov k logom?
- Kto vlastní ingest, parsing a zmeny pri nových formátoch?
Praktický štart
Začnite s malým, ale kvalitným rozsahom: vyberte 3–5 najdôležitejších zdrojov, dohodnite spoločné polia a nastavte retenciu podľa účelu.