Největší tuzemský nákladní dopravce využívá Logmanager jako podpůrný nástroj pro práci techniků IT podpory, administrátorů a pro diagnostiku a řešení problémů v rámci své rozsáhlé ICT infrastruktury.

Výchozí situace

ČD Cargo, a.s. je největší český nákladní železniční dopravce, který zaměstnává přes 7 tisíc zaměstnanců. K zajištění provozu má k dispozici 859 hnacích vozidel a více než 24 tisíc nákladních vozů. Z hlediska přepravených tun zboží patří mezi pět největších nákladních  železničních dopravců v rámci Evropské Unie.

Informační systém ČD Cargo (ČDC) je tvořen řadou dílčích provozně ekonomických a technologických systémů a aplikací s různou mírou vzájemné provázanosti.

Celkem se jedná o několik desítek fyzických a virtuálních serverů, využívajících řadu technologických platforem předních výrobců, jako např. Microsoft, Oracle, SAP, ale i open-source řešení.

Většina klíčových aplikací je provozována sesterskou společností ČD – Informační Systémy, některé dílčí systémy si ČDC provozuje vlastními silami na vlastních prostředcích nebo outsourcingově u dalších provozovatelů. Komunikační infrastrukturu ČDC z převážné většiny nevlastní, ale využívá ji formou poskytované služby ze strany sesterské společnosti ČD Telematika. 

Proč Logmanager

Z důvodů složitosti ICT infrastruktury a smluvních vztahů mezi ČD Cargo a dodavateli nemělo v řadě případů ČDC nad správou a provozem outsourcovaných systémů dostatečný přehled. 

Cílem zákazníka tedy bylo získat z ukládaných logů ucelený přehled o bezpečnosti a provozu informačního systému ČDC, aby bylo možné reagovat na vzniklé události a incidenty. Důležité také bylo mít možnost dohledat informace o činnostech a operacích s daty, uživatelskými účty a jejich oprávněními.

Požadavkem bylo, aby úložiště logů zajišťovalo dlouhodobé uchovávání rychle dosažitelných informací v nezměnitelné podobě pro získání přehledu o stavu provozovaných systémů, přístupech k jednotlivým částem aplikací nebo přesně zmapované činnosti privilegovaných účtů v rámci informačních a komunikačních technologií.

Zákazník také nechtěl být omezen maximálním počtem zpracovávaných událostí za časovou jednotku ani maximálním počtem sledovaných zařízení. 

Jako vhodné řešení byl vybrán Logmanager. Kromě centralizace logů a jejich dlouhodobého uchování z vybraných technologií a systémů byla ze strany ČDC určena jako hlavní počáteční oblast sledovaných a vyhodnocovaných informací oblast uživatelských účtů v jednotlivých úložištích identit.

U systému SAP sledování a vyhodnocování

  • Úspěšné i neúspěšné přihlášení uživatelů,
  • provádění klíčových transakcí,
  • pro účty zaměstnanců ČDC a externistů s přístupem do části ČDC akce: založení účtu, rušení účtu, přidělení role, odebrání role.

U personální a mzdové aplikace

  • Úspěšné i neúspěšné přihlášení uživatelů,
  • úspěšné i neúspěšné přihlášení privilegovaných účtů (včetně do davatelských),
  • provádění klíčových operací s osobními údaji.

U LDAP serveru sledování a vyhodnocování

  • Úspěšné i neúspěšné přihlášení uživatelů,
  • úspěšné i neúspěšné přihlášení privilegovaných účtů (včetně doda vatelských),
  • pro účty zaměstnanců ČDC a externistů s přístupem do části ČDC akce: založení účtu, rušení účtu, povolení účtu, zakázání účtu, přidě lení role, odebrání role.

U aplikace Active Directory

  • Úspěšné i neúspěšné přihlášení uživatelů,
  • úspěšné i neúspěšné přihlášení privilegovaných účtů (včetně dodava telských),
  • provádění klíčových operací.

Implementace

V první fázi implementace byly dodány appliance Logmanager s kapacitou v řádech desítek TB pro ukládání logů. Tyto appliance byly nainstalovány do prostředí ČDC dle předaného adresního  plánu. V rámci zajištění vysoké dostupnosti clusteru dvou Loganagerů byly appliance nainstalovány do dvou fyzicky oddělených lokalit.

Ihned po nainstalování v jednotlivých datových centrech byly Logmanagery nakonfigurovány do clusteru. Obě appliance v clusteru se ovládají přes jedno webové rozhraní. V rámci úvodní instalace došlo k napojení autentizace uživatelů Logmanageru přes Active Directory. 

Následně byly nakonfigurovány vybrané aplikace a servery tak, aby zasílaly logy do Logmanageru, který je kontinuálně sbírá a ukládá. V okamžiku, kdy byly v Logmanageru logy dostupné, došlo k vytvoření specifických parserů. Parser je „překladač“, to znamená, že z nestrukturovaného logu v nativní podobě udělá log ve standardizovaném formátu, ve kterém lze přehledně vyhledávat a dále využívat další pokročilé funkce jako je alerting, predikce chování systémů, korelace a vytváření reportů.

Nakonec byli pro práci s Logmanagerem a tvorbu parserů proškoleni administrátoři, technici podpory IT a bezpečnostní pracovníci.

Přínosy pro zákazníka

Logmanager splnil všechny očekávané cíle zákazníka. Slouží především jako podpůrný nástroj pro práci technikům podpory IT, administrátorům a bezpečnostnímu managementu.

Úvodní implementací ale jeho nasazení nekončí, dalšími kroky bude postupné doplňování dalších aplikací a systémů, které nebyly součástí úvodního projektu. Toto průběžné rozšiřování je možné  díky otevřenosti systému. Ta umožňuje snadné vytváření přehledných zobrazení informací pro jednotlivé systémy, činnosti nebo situace formou vlastních dashboardů, nebo doplnění zpracování logů z dalších aplikací pomocí vlastních parserů.

Logmanager bylo možné snadno integrovat do stávajícího složitého a nehomogenního ICT  prostředí ČDC. Zákazník velmi oceňuje kompletní vyčítání a zpracování rozšířených logů ze systémů Microsoft, možnost rychlého dohledání a filtrace informací z obrovského množství logů, automatická upozornění na nestandardní stavy, a možnost vyčítání logů z části provozované síťové infrastruktury, včetně bezpečnostních zařízení. 

Oceňované vlastnosti

Administrátoři infrastruktury ČD Cargo nejvíce následující vlastnosti řešení:

  • Diagnostika pádů nebo provozních problémů jednotlivých aplikací IS ČDC.
  • Predikce a předcházení vzniku havárií, narušení bezpečnosti dat, přehled nad neobvyklými a podezřelými transakcemi, přístupy apod.
  • Možné sledování konfiguračních změn prováděných externími i interními administrátory a operátory systému.
  • Z pohledu bezpečnosti a zákona o kybernetické bezpečnosti pak dostupnost auditovatelných, nezměnitelných logů z informačního systému ČDC v odděleném  nezávislém úložišti, ze kterých lze sledovat a vyhodnocovat veškeré operace prováděné uživateli (autorizovanými i neautorizovanými) systému.
  • Diagnostika a řešení bezpečnostních incidentů. 
  • Dohledání přístupů, uživatelských činností, plnění SLA, auditních požadavků apod.
  • Jsou k dispozici podklady pro forenzní analýzu při vyšetřování bezpečnostních incidentů.
  • Monitoring a kontrola dodržování právních předpisů, regulací a norem.

Pokud se chcete o Logmanageru dozvědět více, neváhejte nás kontaktovat nebo si zarezervujte nezávaznou konzultaci s naším expertem. Partnerem realizujícím tento projekt byla firma Caleum a.s.