Logbeheer is de praktijk van het verzamelen, opslaan, analyseren en bewaren van loggegevens van systemen, applicaties, netwerken en beveiligingstools in de IT-omgeving van een organisatie. Het biedt de audit trail die nodig is voor beveiligingsmonitoring, incidentonderzoek, compliance-bewijs en operationele probleemoplossing. Effectief logbeheer is een fundamentele vereiste voor elk groot compliance-framework.

Welke soorten logs moeten worden verzameld?

Essentiële logtypen omvatten: authenticatielogs (inlogpogingen, MFA-gebeurtenissen, SSO-sessies), autorisatielogs (toegangsverleningen, weigeringen, privilegewijzigingen), systeemklogs (OS-gebeurtenissen, service start/stop, fouten), applicatielogs (gebruikersacties, transacties, fouten), netwerklogs (firewallregels, DNS-queries, proxyverkeer), beveiligingstoollogs (EDR-alerts, resultaten van kwetsbaarheidsscans), cloudlogs (API-aanroepen, resourcewijzigingen, IAM-gebeurtenissen) en databaselogs (queries, schemawijzigingen, beheerdersacties).

Hoe lang moeten logs worden bewaard?

Bewaartermijnen variëren per framework: ISO 27001 beveelt aan de bewaartermijn te baseren op risicobeoordeling (doorgaans 1-3 jaar), SOC 2 vereist logs voor de auditperiode (minimaal 12 maanden), NIS2 vereist voldoende bewaring voor incidentonderzoek (doorgaans 12-18 maanden) en DORA vereist 5 jaar voor ICT-gerelateerde incidentregistraties. Best practice is 12 maanden hot storage met 3-7 jaar cold/archiefopslag afhankelijk van wettelijke vereisten.

Wat is het verschil tussen logbeheer en SIEM?

Logbeheer richt zich op het verzamelen, opslaan en doorzoekbaar maken van logs — het is de data-infrastructuurlaag. SIEM (Security Information and Event Management) bouwt voort op logbeheer door real-time correlatie, alertering, dreigingsdetectieregels en beveiligingsanalyse toe te voegen. U hebt logbeheer nodig voordat u SIEM kunt implementeren. Veel organisaties beginnen met logbeheer en voegen SIEM-capaciteiten toe naarmate ze volwassener worden.

Wat is logintegriteit en waarom is het belangrijk?

Logintegriteit waarborgt dat logregistraties niet zijn gemanipuleerd, verwijderd of gewijzigd na aanmaak. Het is belangrijk omdat logs dienen als juridisch bewijs bij onderzoeken, compliance-audits steunen op betrouwbare audit trails, aanvallers routinematig logs verwijderen of wijzigen om hun sporen te wissen, en regelgevende kaders aantoonbare logintegriteit vereisen. Technieken omvatten write-once-opslag, cryptografische hashing, doorsturen naar onveranderbare gecentraliseerde opslag en toegangscontrole op logsystemen.

Hoe beheert u logvolumes zonder buitensporige kosten?

Beheers kosten door: opslag in lagen (hot voor recente logs, warm voor doorzoekbare archieven, cold voor compliance-bewaring), ruis filteren bij verzameling (debug-logs uit productie verwijderen), bewaarbelieds per logbron instellen op basis van compliance-behoeften, opgeslagen logs comprimeren en dedupliceren, cloudnative logdiensten met pay-per-query-modellen gebruiken, en alleen beveiligingsrelevante velden indexeren in plaats van alles full-text te indexeren.

Welke compliance-frameworks vereisen logbeheer?

ISO 27001 (A.8.15 — Logging, A.8.17 — Kloksynchronisatie), SOC 2 (CC7.2 — Systeemmonitoring), NIS2 (Artikel 21(2)(g) — Beleid inzake het gebruik van cryptografie en encryptie, inclusief logging) en DORA (Artikel 10(2) — Logging van ICT-operaties) vereisen allen uitgebreide logging. Deze frameworks verplichten organisaties om logs te verzamelen, beschermen, beoordelen en bewaren als bewijs dat beveiligingsmaatregelen effectief functioneren.

Wat is tijdsynchronisatie en waarom is het cruciaal voor logging?

Tijdsynchronisatie (NTP) waarborgt dat alle systemen gebeurtenissen registreren met nauwkeurige, consistente tijdstempels. Het is cruciaal omdat: incidentonderzoek vereist dat gebeurtenissen over meerdere systemen worden gecorreleerd, niet-gesynchroniseerde klokken het onmogelijk maken om aanvalstijdlijnen te reconstrueren, compliance-frameworks (ISO 27001 A.8.17) expliciet gesynchroniseerde klokken vereisen, en juridische procedures bewijs met inconsistente tijdstempels kunnen aanvechten. Gebruik gezaghebbende NTP-bronnen en monitor op klokverschuiving.

Logbeheer: de complete gids voor compliance- en beveiligingsteams

Published 8 mrt 2026

By Emre Salmanoglu

Logbeheer: de complete gids voor compliance- en beveiligingsteams

Leer hoe u logbeheer implementeert dat voldoet aan de eisen van ISO 27001, SOC 2, NIS2 en DORA. Behandelt logverzameling, bewaring, analyse, SIEM-integratie en compliance-bewijs.

logbeheer

logging

SIEM

audit trail

compliance

Wat is logbeheer?

Logbeheer is de systematische praktijk van het verzamelen, centraliseren, opslaan en analyseren van loggegevens die worden gegenereerd door systemen, applicaties en netwerkapparaten in de IT-omgeving van een organisatie. Logs bieden de audit trail die beveiligingsmonitoring, incidentonderzoek, compliance-bewijs en operationeel inzicht mogelijk maakt.

Voor compliance-gedreven organisaties is logbeheer een fundamentele maatregel die door ISO 27001, SOC 2, NIS2 en DORA wordt vereist om aan te tonen dat beveiligingsgebeurtenissen worden geregistreerd, gemonitord en beschikbaar zijn voor audit.

Logbronnen

Bron	Logtypen	Voorbeelden
Besturingssystemen	Authenticatie, systeemgebeurtenissen, procesuitvoering	Windows Event Log, Linux syslog/journald
Applicaties	Gebruikersacties, transacties, fouten	Webserverlogs, applicatie-auditlogs
Netwerkapparaten	Verkeersstromen, firewallregels, DNS-queries	Firewalllogs, proxylogs, flowgegevens
Cloudplatformen	API-aanroepen, resourcewijzigingen, IAM-gebeurtenissen	AWS CloudTrail, Azure Activity Log, GCP Audit
Beveiligingstools	Alerts, detecties, scanresultaten	EDR, kwetsbaarheidsscanners, WAF
Databases	Queries, schemawijzigingen, beheerdersoperaties	Auditlogs, slow query-logs
Identiteitssystemen	Authenticatie, MFA, SSO-gebeurtenissen	IdP-logs, Active Directory-gebeurtenissen

Logbeheerarchitectuur

Component	Functie	Voorbeelden
Verzamelagenten	Logs ophalen van bronnen	Fluentd, Filebeat, rsyslog, cloudnative agenten
Transport	Logs veilig verzenden naar centraal platform	Kafka, AWS Kinesis, syslog-TLS
Verwerking	Loggegevens parsen, normaliseren, verrijken	Logstash, Fluentd, cloud-ETL-pipelines
Opslag	Logs opslaan met passende bewaartermijn	Elasticsearch, S3, Azure Blob, Splunk
Analyse	Logs doorzoeken, correleren en visualiseren	Kibana, Splunk, Grafana, cloudanalyse
Alertering	Real-time melding bij kritieke gebeurtenissen	SIEM-regels, CloudWatch Alarms, PagerDuty

Bewaarvereisten voor logs

Framework	Minimale bewaring	Aanbevolen bewaring
ISO 27001	Risicogebaseerd (doorgaans 12 maanden)	1-3 jaar
SOC 2	Auditperiode (12 maanden)	1-2 jaar
NIS2	Voldoende voor onderzoek	12-18 maanden
DORA	5 jaar voor ICT-incidenten	5 jaar
AVG	Proportioneel aan het doel	6-12 maanden voor toegangslogs
PCI DSS	12 maanden (3 maanden direct beschikbaar)	12 maanden

Essentiële loggebeurtenissen

Gebeurteniscategorie	Wat te loggen	Waarom
Authenticatie	Alle inlogpogingen (succes en mislukking)	Brute force, credential stuffing detecteren
Autorisatie	Toegangsverleningen, weigeringen, privilege-escalatie	Ongeoorloofde toegang detecteren
Gegevenstoegang	Toegang tot gevoelige gegevens en systemen	Audit trail voor gegevensbescherming
Configuratiewijzigingen	Systeem-, netwerk- en applicatiewijzigingen	Ongeoorloofde wijzigingen detecteren
Beheerdersacties	Alle geprivilegieerde operaties	Verantwoording voor beheerdersactiviteiten
Beveiligingsgebeurtenissen	Alerts, beleidsschendingen, anomalieën	Beveiligingsmonitoring en -respons
Foutcondities	Applicatiefouten, systeemstoringen	Operationele monitoring en incidentdetectie

Compliance-vereisten

Framework-mapping

Vereiste	ISO 27001	SOC 2	NIS2	DORA
Gebeurtenislogging	A.8.15	CC7.2	Art. 21(2)(g)	Art. 10(2)
Logbescherming	A.8.15	CC7.2	Art. 21(2)(g)	Art. 10(2)
Kloksynchronisatie	A.8.17	CC7.2	Art. 21(2)(g)	Art. 10(2)
Logbeoordeling	A.8.15	CC7.2	Art. 21(2)(b)	Art. 10(1)
Logbewaring	A.8.15	CC7.2	Art. 21(2)(g)	Art. 10(2)
Beheerderslogging	A.8.15	CC6.3	Art. 21(2)(i)	Art. 9(4)

Auditbewijs

Bewijstype	Beschrijving	Framework
Loggingbeleid	Gedocumenteerd beleid dat definieert wat wordt gelogd en hoe lang	Alle frameworks
Logbroninventaris	Lijst van alle systemen die logs versturen met dekkingslacunes	Alle frameworks
Bewaarconfiguratie	Bewijs van logbewarinstellingen overeenkomstig het beleid	Alle frameworks
Logintegriteitsmaatregelen	Documentatie van manipulatiebeschermingsmechanismen	Alle frameworks
NTP-configuratie	Bewijs van tijdsynchronisatie over alle systemen	ISO 27001, SOC 2
Logbeoordelingsprocedures	Gedocumenteerd proces voor regelmatige logbeoordeling	Alle frameworks
Toegangscontrolebewijs	Bewijs dat logtoegang passend is beperkt	Alle frameworks

Veelgemaakte fouten

Fout	Risico	Oplossing
Alles loggen zonder strategie	Buitensporige kosten, alertmoeheid, compliance-lacunes	Loggingvereisten definiëren per use case en compliance-behoefte
Geen logintegriteitsbescherming	Logs kunnen worden gemanipuleerd, wat de auditwaarde ondermijnt	Gebruik onveranderbare opslag, cryptografische hashing, gecentraliseerde verzameling
Inconsistente tijdstempels	Kan gebeurtenissen niet correleren over systemen	Implementeer NTP-synchronisatie, monitor op klokverschuiving
Geen logbeoordelingsproces	Logs verzameld maar nooit geanalyseerd	Stel dagelijkse geautomatiseerde alerts en wekelijkse handmatige beoordeling in
Onvoldoende bewaring	Logs verwijderd voordat onderzoek of audit ze nodig heeft	Bewaring afstemmen op de langste toepasselijke frameworkvereiste
Gevoelige gegevens loggen	PII of inloggegevens in logs creëren extra compliance-last	Gevoelige velden maskeren of redigeren vóór opslag

Hoe Orbiq logbeheer-compliance ondersteunt

Orbiq helpt u logbeheermaatregelen aan te tonen:

Bewijsverzameling — Centraliseer loggingbeleid, bewaarconfiguraties en beoordelingsprocedures
Continue monitoring — Volg loggingdekking en bewaar-compliance
Trust Center — Deel uw logging- en monitoringhouding via uw Trust Center
Compliance-mapping — Wijs loggingmaatregelen toe aan ISO 27001, SOC 2, NIS2 en DORA
Auditgereedheid — Kant-en-klare bewijspakketten voor auditorbeoordeling

Verder lezen

SIEM — Beveiligingsanalyse gebouwd op logbeheer
Security Operations Center — SOC-operaties aangedreven door logs
Incidentrespons — Logs gebruiken voor incidentonderzoek
Privileged Access Management — Geprivilegieerde activiteit loggen
Compliance-automatisering — Logbewijsverzameling automatiseren