Logy ma kazdy. Roztrousene po desitkach serveru, v ruznych formatech, casto prepisovane po par dnech. Az prijde bezpecnostni incident nebo auditor, zacne hledani jehly v kupce sena — pokud ta kupka vubec jeste existuje. Pro NIS2 a audit to nestaci. Logy musi byt dukaz.
Proc Logmanager
Logmanager je ceske reseni pro log management, jehoz prednovsti jsou snadna obsluha a jednoduchy licencni model. Komponenty jsou dostupne jako virtualni nebo hardwarova appliance — nasadite rychle, bez tygodnu konfigurace.
Kdyz logy musi byt dukaz
Rozdil mezi „mit logy" a „mit dukaz" je v tom, jak jsou ulozene. Logmanager logy centralizuje, normalizuje a chrani proti zmene. Kdyz auditor chce vedet, kdo pristoupil k systemu 14. brezna ve 3:00, najdete to za vteriny — ne za dny.
- Centralizace — vsechny logy (servery, F5, firewally, aplikace) na jednom miste.
- Neměnnost — logy nelze zpetne upravit, coz je pro audit zasadni.
- Korelace — propojeni udalosti napric systemy odhali, co by jednotlive logy skryly.
# Centralizace logů do Logmanageru — z desítek serverů na jedno místo
- name: Nasměruj logy ze všech serverů do Logmanageru
hosts: all
become: true
tasks:
- name: Nasaď rsyslog forwarding (TLS)
ansible.builtin.template:
src: 60-logmanager.conf.j2
dest: /etc/rsyslog.d/60-logmanager.conf
mode: "0644"
vars:
lm_collector: "logmanager.internal"
lm_protocol: "tcp" # šifrovaný přenos
lm_port: 6514 # syslog over TLS
- name: Restartuj rsyslog
ansible.builtin.service:
name: rsyslog
state: restarted
- name: Pošli testovací událost na ověření
ansible.builtin.command: logger "weautomate-pipeline test event"
changed_when: false # ověří, že cesta logů fungujeKlíčový bod: jediný playbook nasadí jednotný forwarding na celý estate. Logmanager pak logy normalizuje, indexuje a uloží neměnně — z chaosu se stane dohledatelný důkaz. Více o NIS2 v přehledu směrnice.
Dohledat „kdo přistoupil k systému X dne Y" zabralo při auditu ~3 dny ručního procházení logů na serverech. S Logmanagerem: 8 sekund dotazu nad centralizovaným indexem. Ilustrativní hodnoty — ověřte před publikací.
Reality check
Log management neni „nasadit a zapomenout". Vyzaduje promysleny navrh, co sbirat (vsechno = drahe a nepouzitelne) a jak dlouho drzet (regulace ma jine naroky nez provoz). Tady pomahame s architekturou, ne jen instalaci.
Časté otázky
Jaký je rozdíl mezi „mít logy" a „mít důkaz"?
Logy roztroušené po serverech, přepisované po pár dnech, nejsou důkaz — jsou to data, která zmizí, když je potřebujete. Důkaz je centralizovaný, normalizovaný a neměnný záznam, který auditor uzná. Logmanager dělá to druhé.
Proč české řešení místo velkého SIEMu?
Logmanager má jednoduchý licenční model a snadnou obsluhu — nasadíte rychle, bez týdnů konfigurace a bez nepředvídatelných nákladů za objem dat, které velké SIEMy účtují. Pro většinu CZ/SK enterprise je to lepší poměr hodnoty.
Co všechno máme sbírat?
Ne všechno — to je drahé a nepoužitelné. Navrhujeme architekturu: co sbírat (servery, F5, firewally, aplikace), jak dlouho držet (regulace má jiné nároky než provoz) a jak korelovat. Návrh je půlka úspěchu.
Pomůže to konkrétně s NIS2?
Ano. NIS2 vyžaduje detekci a doložitelnost bezpečnostních událostí. Centralizované, neměnné a korelovatelné logy jsou základ — bez nich nelze incident rekonstruovat ani prokázat compliance.
Obstojí vaše logy u auditu?
Naplánujte si 20minutový call — projdeme, jak máte logy dnes a co je potřeba pro NIS2-ready evidenci. Bez sales pitche.
Naplánovat 20-min call →