Was ist eine Protokollanalyse?
Die Protokollanalyse ist die Fähigkeit, von einem Computer generierte Daten in aussagekräftige Informationen zu übersetzen. Computerprogramme werden häufig so programmiert, dass sie "Protokolle" erstellen, z. B. Fehlerberichte, die die allgemeine Funktionalität des Elements angeben. Um Speicherplatz auf der Festplatte des Computersystems zu sparen, werden diese Protokolle häufig in Kurzform geschrieben, sodass zum Extrahieren der Informationen eine Übersetzung erforderlich ist. Das Übersetzen von Protokollen in Daten wird häufig bei der Fehlerbehebung im System, der Korrelation zwischen scheinbar nicht zusammenhängenden Ereignissen auf einem System und der Klassifizierung von Protokollinformationen für Archivierungszwecke verwendet.
Computer-Log-Daten sehen für jeden, der nicht in der Lage ist, sie zu verstehen, wie völliger Quatsch aus. Die Protokollanalyse konvertiert diese Informationen zurück in nützliches, lesbares Englisch. Die Protokolldaten im Computer werden häufig mit Zeitstempelinformationen versehen, sodass der Protokollanalytiker eine Arbeitszeitleiste der Ereignisse des vorherigen Tages oder der vorherigen Woche im Programm erstellen kann. Wenn die übersetzten Protokolle verschiedener aktiver Programme auf dem System verglichen werden, können Muster entstehen, die dazu beitragen, den Computer zu rationalisieren, zu optimieren, Fehler zu beheben und fehlersicher zu machen.
Stellen Sie sich einen Computer vor, auf dem 10 oder 20 Programme gleichzeitig ausgeführt werden. Stellen Sie sich nun vor, dass der Computer jeden Tag um 9:00 Uhr abstürzt. In Ermangelung von Protokolldaten kann es schwierig oder sogar unmöglich sein, die Grundursache des Problems vorherzusagen. Mit der Protokollanalyse kann ein Techniker die Protokollberichtsinformationen von jedem Programm schnell abrufen und übersetzen, um nach ungewöhnlichen Verhaltensweisen zu suchen, die den Absturz ausgelöst haben könnten. Wenn zu diesem Zeitpunkt nur ein Programm ein Problem meldet, wird die Ursache offensichtlich. Wenn zwei oder mehr Programme identische Probleme melden, kann der Techniker anhand der Protokolldaten nach einem möglichen Konflikt zwischen den beiden fehlerhaften Programmen suchen.
Die Protokollanalyse kann auch verwendet werden, um den Fortschritt von Schadprogrammen im System zu verfolgen, indem deren sprichwörtlichen "Schritten" über verschiedene aktive Programme hinweg gefolgt wird. Das Auffinden von Mustern in den Protokollen verschiedener Programme kann dem Protokolltechniker helfen, ansonsten unbemerkte Hackeraktivitäten im Computernetzwerk zu erkennen. Das Auffinden eines seltsamen Zugriffsmusters in einem einzelnen Programm mag beispielsweise wie eine Anomalie im System erscheinen. Erscheint jedoch dasselbe Zugriffsmuster plötzlich in einem Dutzend verschiedener Protokolle, ist die Wahrscheinlichkeit groß, dass sich jemand in den Computer gehackt hat.
Im Allgemeinen ist die Protokollanalyse nur so nützlich wie die Person, die die Analyse durchführt. Während ein erfahrener Techniker mit jahrelanger Erfahrung in der Lage sein kann, Fehler und andere Muster in scheinbar unterschiedlichen Daten zu finden, stolpert ein Anfänger möglicherweise direkt an denselben Hinweisen vorbei. Die Programmprotokolle liefern die Rohdaten, die für Anpassungen erforderlich sind, aber nur durch menschliche Eingebung können diese Daten zu einer nützlichen Form verarbeitet werden.