Nová éra parsování logů: Když logy ve vašem SIEM konečně začnou dávat smysl

Pro někoho rutina, pro jiného noční můra. S příchodem směrnice NIS2 a nového zákona o kybernetické bezpečnosti č. 264/2025 se z tohoto technického pojmu stává téma, které zasahuje i vedení firem. Už nejde jen o data – jde o odpovědnost, procesy a připravenost čelit novým hrozbám. Každý, kdo někdy pracoval s logy nebo se záznamy událostí, ví, jak problematické dokážou být. A také ví, že ani ty nejdražší SIEM nástroje nedokážou vyřešit všechny výzvy. SIEM se často stává nákladnou investicí, která stojí „v garáži“ našich bezpečnostních technologií a kterou je nutné neustále ladit, opravovat a udržovat týmem specialistů. Zpracováváme milióny událostí denně, stovky upozornění pípají jedno za druhým a mezi nimi se skrývají skutečné hrozby, často ukryté jako jehla v kupce sena. Bezpečnostní týmy tráví dny nastavováním pravidel, úpravou parserů a hledáním souvislostí. Místo boje s útočníky bojují se svými nástroji. Ale co kdyby to šlo jinak? Co kdyby se vaše logy přestaly chovat jako změť dat a začaly mluvit srozumitelně? Co kdybychom se dokázali zbavit provozních překážek a konečně se soustředit na to podstatné – na bezpečnost?

            kybernetická bezpečnost               bezpečnostní monitoring                      log management       SIEM             bezpečnostní operační centrum          zpracování logů            lokální umělá inteligence

Důležitost bezpečnostního monitoringu

Složitost moderních počítačových infrastruktur, celosvětová nestabilita a válečné konflikty vedou k prudkému nárůstu kybernetických útoků. Jen v roce 2024 vzrostl počet incidentů o více než 75%, což zdůrazňuje nutnost zavádění robustních systémů detekce a reakce na incidenty. [1] Směrnice NIS2 a nový zákon č. 264/2025 navíc vyžadují, aby organizace měly zavedený funkční monitoring, schopnost včas reagovat a efektivně řídit bezpečnostní události. [2, 3]

Úspěšný bezpečnostní monitoring stojí na viditelnosti napříč celou infrastrukturou a na správně nastaveném logování všech jejích prvků. [4] Strukturované a centralizované logové záznamy umožňují členům Security Operations Centra (SOC) efektivně reagovat na bezpečnostní incidenty a provádět forenzní analýzu komplexních útoků. Klíčovým problémem však i dnes zůstává různorodost formátů logů a neexistence jednotného standardu, který by byl jednotně implementován napříč systémy a technologiemi. [4, 5] Jednoduše řečeno – jsme rádi, když aplikace vůbec loguje  a formát logů má alespoň základní strukturu. Surové logy jsou často nestrukturované, obsahují nekonzistentní pole a měnící se datové schéma. A právě zde vzniká jeden z největších problémů současných SIEM řešení. [5]

Obr. 1: Vyspělost bezpečnostního monitoringu organizace

Vyspělost bezpečnostního monitoringu organizace a role SIEM

Systém pro správu bezpečnostních informací a událostí SIEM (Security Information and Event Management) umožňuje v praxi sbírat a analyzovat události napříč všemi vrstvami IT infrastruktury. [4, 6] Jedná se o klíčový nástroj, který poskytuje centrální přehled o stavu celé infrastruktury prostřednictvím monitoringu probíhajících událostí, shromažďování informací z jednotlivých prvků (operační systémy, aplikace, databáze, síťové komponenty) a jejich následného vyhodnocení. Zásadní součástí každého SIEM řešení je zpracování a analýza logových záznamů, které poskytují kontext k detekovaným událostem a pomáhají odhalit skryté hrozby. [7]

V hierarchii bezpečnostních technologií (viz Obr. 1) představuje SIEM centrální úroveň vyspělosti bezpečnostního monitoringu. Stojí mezi nástroji typu EDR a XDR zaměřenými na koncové body a systémy NDR a SOAR, které poskytují vyšší míru automatizace a reakce. [6] SIEM zastává roli centrálního auditního systému umožňujícího detailní vyšetřování incidentů a identifikaci anomálií, které zůstávají mimo dosah klasických EDR či XDR nástrojů. [6]

Pro organizace, které budují SOC nebo rozšiřují své monitorovací schopnosti, je vhodné nasazovat technologie postupně – od monitoringu koncových zařízení přes centrální log management až po implementaci pokročilých systémů SIEM, NDR a následně SOAR. [6]

Obr. 2: Náročnost provozu SIEM řešení

Proč je SIEM tak náročný? Ledovec, který vidí jen málokdo

Když si položíme otázku, proč je provoz SIEM řešení tak bolestivý a proč na něj často potřebujeme externí tým, odpověď leží v samotných technických pilířích SIEM – v tom, co zůstává skryté pod povrchem daného „ledovce“ (viz Obr. 2). To, co vidíme na hladině, jsou jeho nejatraktivnější funkce – pokročilé korelace, detekce anomálií, alertování a reportování. [7] To je ta část, kterou si s technologií SIEM běžně spojujeme. Ale pod hladinou leží skutečný důvod, proč je tato technologie tak náročná – oceán nestrukturovaných dat, se kterými musíme každý den bojovat. Až se s nimi dokážeme vypořádat, můžeme skutečně začít řešit bezpečnost. [5, 7]

Představme si konkrétní příklad. Vaše organizace využívá vlastní aplikaci, která je klíčová pro fungování podnikání. Aplikace je vyvinuta na míru externím dodavatelem, který není příliš proaktivní, a vy jste rádi, že aplikace umožnuje nastavit logování. Chcete nad ní vyhodnocovat složité bezpečnostní scénáře a víte, že klasické EDR a XDR řešení v tomto případě nestačí. [6] Napojme tedy aplikaci na náš SIEM.

Nejprve je potřeba nastavit přenos logů – zajistit, aby se všechna data soustředila na jedno místo. Tato fáze bývá

obvykle tou nejjednodušší. [4] Následuje filtrace nerelevantních záznamů, aby se zbytečně neplýtvalo drahou SIEM licencí. Protože SIEM často nerozumí specifickému formátu aplikačních logů, lze si to představit tak, že aplikace mluví pro SIEM cizím jazykem. Je proto nutné ručně nakonfigurovat parsování, tzn. vytvořit dekodér s regulárními výrazy (viz Obr. 3), které ze syrového textu extrahují klíčové informace – uživatelské jméno, e-mail, časová značka, výsledek akce. [7] Tím se log „přeloží“ do jazyka, kterému SIEM rozumí. Teprve poté lze data obohatit o externí kontext (např. threat intelligence) a budovat korelační pravidla či reporty, jež bez správné normalizace fungují jen omezeně. [8]

Teď si představte, že takových aplikací máte pět set. Každá generuje stovky typů událostí (přihlášení, odhlášení, změny konfigurace, transakce…) a z každé lze získat desítky hodnot. Situaci dále komplikuje fakt, že s každou novou verzí aplikace přicházejí neohlášené změny formátu logů a nové typy hlášení. O existenci aktuální dokumentace se většinou ani nemá smysl zmiňovat. Výsledek? SIEM správci musejí udržovat stovky až tisíce regulárních výrazů a neustále je přizpůsobovat. Zní to jako noční můra? Přesně tak vypadá každodenní realita práce se SIEM. Pojďme se proto podívat, jak se v tom dá naučit plavat.

Obr. 3: Proces parsování dat moderních SIEM systémů

Zachrání AI svět bezpečnostního monitoringu?

Umělá inteligence je bezpochyby jedním z nejvýraznějších trendů současnosti. [8] Postupně se integruje do všech oblastí technologií a mění způsob, jakým přemýšlíme nejen o nástrojích, ale i o samotné práci. Popularitu AI masově urychlily systémy jako ChatGPT, Copilot či Perplexity, které otevřely možnosti velkých jazykových modelů široké veřejnosti. V době psaní tohoto článku nabírají na síle také tzv. agent-based řešení a hybridní přístupy k plnění úkolů. Umožnují kombinovat více modelů, automatizovat rozhodování a koordinovat procesy v reálném čase.

Umělá inteligence pronikla samozřejmě i do oblasti SIEM. Většina moderních vendorů se však zaměřuje především na špičku „ledovce“, tj. bezpečnostní vrstvu – sumarizaci incidentů, interpretaci výsledků, hledání podobných událostí či podporu práce analytiků. [7] Problémem zůstává, že tyto AI funkce se objevují téměř výhradně v cloudových variantách SIEM řešení [9], zatímco on-premise prostředí, které je pro řadu organizací stále klíčové, zůstává často opomíjené. Na českém trhu je realita poměrně jasná – drtivá většina SIEM implementací běží on-premise, kde se preferuje maximální ochrana dat a nižší dlouhodobé náklady na archivaci logů. Cloudová řešení jsou z tohoto pohledu nejen dražší, ale z bezpečnostních důvodů i často odmítána.

Parsování logů zůstává bohužel tvrdým oříškem. [4, 7] Aby mohla AI v této oblasti skutečně pomáhat v reálném čase, musela by zvládat zpracovávat tisíce událostí za sekundu, což je výkon, na který dnešní modely stále nestačí. A právě zde se ukazuje jejich limit. Velké generativní modely, jako např. ten, který pohání ChatGPT, nejsou pro tento účel vhodné. Stačí si představit, kolik času zabere zpracování jednoho dotazu, a vynásobit to tisíci událostí za sekundu v produkčním prostředí. Znamená to konec příběhu?

Obr. 4: Nový pohled na proces lokálního parsování logů a napojení na SIEM

Vývoj vlastní metody, jak se ponořit pod hladinu oceánu logů

V rámci svého působení na vysoké škole jsem vždy usiloval o vedení aplikovaného výzkumu zaměřeného na reálné technologické výzvy a překonávání omezení současných nástrojů. Vědecké činnosti se věnuji více než pět let, přičemž se dlouhodobě zaměřuji na oblast strojového učení, umělé inteligence a počítačové bezpečnosti. Problematika normalizace logů pro mě představovala zásadní výzkumný směr. Současné přístupy totiž často nedosahují potřebné efektivity, škálovatelnosti ani adaptability vůči neustále se měnícím formátům dat. [8] Rešerše dostupných zdrojů ukázala, že obdobné snahy se objevily i v jiných výzkumných skupinách, avšak jejich úspěch limitoval nedostatek reprezentativních datových sad, nízká propustnost tehdejších modelů a omezené výpočetní možnosti dostupných architektur neuronových sítí a GPU. [9, 10]

Na základě těchto zjištění byla formulována vize vybudovat jednotnou a škálovatelnou AI platformu, která dokáže překonat uvedené limity, fungovat plně offline a zároveň splňovat požadavky komerční praxe. Jedná se o vysokou dostupnost, zajištění integrity a bezztrátovosti dat, provozní monitoring a snadnou integraci do stávající infrastruktury. Cílem této platformy není nahrazovat existující SIEM řešení, ale doplnit je o inteligentní vrstvu, která zvýší efektivitu, sníží náklady na údržbu a umožní adaptivní parsování logů v reálném čase. Díky tomu lze eliminovat ruční zásahy při změnách formátů a zajistit vyšší kontinuitu bezpečnostního dohledu. Zjednodušený princip fungování (viz Obr. 4).

Na tuto koncepci navázal vznik dvouletého výzkumného projektu realizovaného na Vysokém učení technickém v Brně. Podařilo se sestavit výzkumný tým o jedenácti členech, jehož cílem je vývoj pokročilé softwarové platformy schopné automaticky provádět adaptivní parsování z logových záznamů pocházejících z různých nezávislých zdrojů (viz Obr. 5). Navrhovaná platforma umožní strojové porozumění obsahu logů, jejich obohacení a převod do podoby standardizovaných metaklíčů, čímž výrazně zjednoduší následnou bezpečnostní analýzu i integraci do moderních SIEM řešení.

Součástí návrhu je také člověkem řízená adaptivní vrstva, která umožňuje kontrolované zásahy do procesu učení neuronové sítě, a zajišťuje tak plnou dohledatelnost a transparentnost jednotlivých kroků. Tento přístup kombinuje výhody automatizovaného rozhodování s odborným dohledem správce, čímž posiluje důvěryhodnost a interpretovatelnost celého systému. Hlavní motivací bylo překonání omezení v podobě pomalé odezvy velkých jazykových modelů, jejich omezené použitelnosti pro data v reálném provozu a nemožnosti nasazení v offline režimu.

Ve spolupráci s výzkumným týmem jsme zvolili hybridní přístup k učení. Ten kombinuje upravenou architekturu neuronové sítě s technikami destilace znalostí a využitím vlastních tokenizačních a augmentačních metod. Zároveň je zesílený lokálně nasazeným 120biliónovým jazykovým modelem. Cílem bylo dosáhnout co nejlepších generalizačních vlastností modelu, zachovat vysokou rychlost zpracování vstupních dat a zároveň umožnit efektivní paralelizaci výpočtů.

Postupným zapojením členů výzkumného týmu se z původního nápadu stal plnohodnotný výzkumný projekt rozšířený o mezinárodní spolupráci s technickou univerzitou v Tampere ve Finsku, z čehož mám osobně velkou radost. Po překonání tisíců vývojových překážek a z původní myšlenky vytvořit jednu neuronovou síť, která by usnadnila práci správcům SIEM, postupně vznikla komplexní platforma propojující moderní open-source bezpečnostní nástroje. Jejím cílem je vybudovat snadno řiditelné, cenově i časově efektivní řešení posílené adaptivní umělou inteligencí, které zároveň funguje plně offline. Platforma umožňuje využít potenciál špičkových technologií, efektivně je integrovat do provozního prostředí, rozšiřovat o nové architektury neuronových sítí a pružně reagovat na nové výzvy. Přináší tak pohled na bezpečnost z nové perspektivy a výrazně omezuje potřebu provozních zásahů.

Jak integrovat AI techniky do svého SIEM?

Je zřejmé, že oblast bezpečnostního monitoringu a SIEM řešení nezůstane mimo pozornost umělé inteligence. [11] AI má potenciál přinést zásadní změnu v tom, jak se analyzují, vyhodnocují a interpretují bezpečnostní události. Kombinace adaptivních modelů, automatizace a lidské expertízy otevírá prostor pro vznik zcela nové generace nástrojů, které posouvají hranice efektivity i spolehlivosti. Na Obr. 6 je znárodněna architektura vyvíjené platformy, která je poháněna třemi klíčovými entitami – člověkem, lokálním jazykovým modelem pro usnadnění pochopení logů a malým efektivním AI modelem, který rozumí textové podobě logů a nevyžaduje použití regulárních výrazů.

Architektura platformy byla navržena tak, aby umožňovala co nejjednodušší a nejtransparentnější správu. Ve spodní části se nachází parsovací AI vrstva zajišťující příjem a zachytávání logů z různých zdrojů. Daná vrstva je škálovatelná, má propustnost dostačující pro nasazení v produkčním prostředí a podporuje režim vysoké dostupnosti. Data jsou přenášena pomocí robustního mechanismu front Apache Kafka a dále zpracovávána naším modelem umělé inteligence, který zajišťuje jejich adaptivní parsování a normalizaci. Vedle této úrovně je umístěna vrstva řízení AI, která kombinuje automatizované učení s lidským dohledem. Obsahuje komponenty pro verzování a čištění dat, správu modelů, augmentaci, destilaci znalostí i trénink vylepšených modelů (ta pravá řízená AI magie). Tento přístup zajišťuje transparentnost, auditovatelnost a kontrolu nad procesem učení neuronových sítí.

Další úroveň tvoří SIEM integrace umožňující napojení na existující bezpečnostní ekosystém organizace. Platforma podporuje široké spektrum řešení – od open-source nástrojů Wazuh a ELK Stack až po komerční systémy, např. QRadar a Splunk. Aktuálně největší důraz je kladen na integraci s open-source nástrojem Wazuh a eliminujeme jeho slabé možnosti přijmu a parsování dat z externích zdrojů. Při integraci na Wazuh se v nejvyšší vrstvě nacházejí automatizační a podpůrné moduly. Orchestraci procesů a automatizované napojení zdrojů logů zajišťují Shuffle SOAR a Ansible, zatímco monitorování stavu systému a ukládání dat pokrývají Prometheus a S3 Minio. Integraci threat-intelligence dat zajišťují MISP a Maltiverse, což umožňuje automatické obohacování kontextu bezpečnostních událostí. Celá platforma je provozována v kontejnerizovaném prostředí Docker, které zajišťuje rychlé nasazení a vysokou dostupnost. Tento přístup posouvá klasický koncept SIEM směrem k plně adaptivnímu, samo-učícímu se ekosystému, který dokáže pružně reagovat na nové hrozby, minimalizovat potřebu ručních zásahů a výrazně zrychlit celý proces detekce i reakce. Samotná platforma je vyvíjena jako modulární celek, který ke svému zprovoznění vyžaduje minimálně jeden all-in-one GPU server s podporou kontejnerizace. Hlavní motivací je zjednodušení času nutného na nasazení platformy a minimalizaci nákladů spojených s napojením technologií a obohacením detekcí prostřednictvím externích zdrojů threat intelligence

Obr. 6: Architektura navržené SIEM platformy nové generace

Finální myšlenky a doporučení

Pevně věřím, že aktivní integrace technik strojového učení v nejbližší budoucnosti čeká i on-premise svět. Do budoucna bude vznikat stále více hybridních systémů, které umožní řešit složité provozní problémy a pomohou správcům automatizovat každodenní úkoly, aby se mohli soustředit na to podstatné – bezpečnost, nikoli na procesy parsování a normalizace dat. Rozvoj serverových GPU a nové architektury CPU čipů tento posun ještě urychlí. Současně je však nezbytné, aby s rostoucí automatizací šla ruku v ruce i důsledná kontrola a řízení bezpečnosti samotných AI modelů, jejich přístupu k datům, rozhodovacích procesů i způsobu integrace do kritických systémů a soulad s Evropským aktem o AI. Pevně věřím, že i náš pohled na adaptivní parsování dat může být inspirací pro ty, kteří chtějí posunout bezpečnostní monitoring na novou úroveň a trápí se s velkým množstvím neparsovaných logů. Ať logy ve vašem SIEM začnou konečně dávat smysl!

Vysvětlení klíčových pojmů:

1. Kybernetická odolnost – schopnost organizace odolávat kybernetickým útokům, obnovovat provoz a minimalizovat dopady incidentů.
2. SIEM (Security Information and Event Management) – systém pro sběr, korelaci, analýzu a vizualizaci bezpečnostních událostí napříč IT infrastrukturou.
3. Logový záznam – záznam o události v systému (např. přihlášení, změna konfigurace, přístup k souboru).
4. Log management – proces sběru, ukládání, analýzy a správy logů z různých systémů a aplikací.
5. Parsování logů – převod nestrukturovaného textu logu do strukturované podoby, ze které lze snadno extrahovat data (uživatel, IP adresa, čas, výsledek akce).
6. Normalizace logů – překlad různých formátů logů do jednotné struktury (tzv. metaklíčů), kterou SIEM dokáže zpracovat (např. sjednocení ip_src, ip_address_src, ipsaddr na jednotný formát).
7. Regulární výrazy (Regex) – vzorce používané k vyhledávání a extrakci dat z textu. V SIEM parseru slouží k rozpoznání struktury logu.
8. Adaptivní parsování – automatické přizpůsobování modelu AI změnám formátu logů bez nutnosti ruční úpravy parserů.
9. Destilace znalostí (Knowledge Distillation) – technika, kdy se znalosti z velkého modelu přenášejí do menšího, efektivnějšího modelu. 
10. Augmentace dat – umělé rozšiřování datové sady (např. drobnými úpravami logů) pro zlepšení tréninku modelu.
11. Hybridní učení – kombinace více přístupů či modelů AI (např. lokální model + jazykový model) pro vyšší přesnost a rychlost.
12. SOC (Security Operations Center) – centrum pro bezpečnostní dohled, kde analytici sledují události a reagují na incidenty.
13. EDR/XDR (Endpoint Detection & Response/Extended Detection & Response) – nástroje pro detekci a reakci na hrozby na koncových bodech (počítače, servery, mobilní zařízení).
14. SOAR (Security Orchestration, Automation and Response) – platforma pro automatizaci bezpečnostních procesů a reakce na incidenty
15. .Apache Kafka – robustní systém a jednotná datová vrstva pro distribuovaný přenos dat (fronta zpráv) používaná pro rychlý přenos dat mezi systémy.
16. Prometheus – nástroj pro monitorování metrik a výkonu systémů.
17. S3 Minio – lokální objektové úložiště kompatibilní s Amazon S3, používané pro ukládání dat a logů.
18. GPU server – server vybavený výkonnými grafickými procesory nezbytnými pro běh neuronových sítí a AI výpočty

POUŽITÉ ZDROJE:

[ 1 ] A Closer Look at Q3 2024: 75% Surge in Cyber Attacks Worldwide, 2024. Online. Checkpoint. Dostupné z: https://blog.checkpoint.com/research/acloser-look-at-q3-2024-75-surge-in-cyber-attacks-worldwide/ [cit. 2025-10-18].
[ 2 ] Evropský parlament a Rada Evropské unie, Směrnice (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (NIS2). Online. Dostupné z: https://eur-lex.europa.eu/eli/dir/2022/2555/oj [cit. 2025-10-18].
[ 3 ] Zákon o kybernetické bezpečnosti č. 264/2025 Sb., Online. Dostupné z: https://next.codexis.cz/legislativa/CR156134_2025_11_01/ [cit. 2025-10-22].
[ 4 ] What is Log Management? Benefits, Challenges & Best Practices, 2024. Online. Groundcover. Dostupné z: https://www.groundcover.com/blog/logmanagement [cit. 2025-10-20].
[ 5 ] HUGHES, Grant, Log Management as an Enabler for Data Protection and Auto-mated Threat Detection. 2023. Online. Dostupné z: https://www.isaca.org/resources/isaca-journal/issues/2023/volume-4/log-management-as-an-enabler-for-data-protection- -and-automated-threat-detection [cit. 2025-10-18].
[ 6 ] XDR vs SIEM vs SOAR, ©2025. Online. Crowdstrike. Dostupné z: https://www.crowdstrike.com/en-us/cybersecurity-101/next-gen-siem/xdr-vs-siem-vs-soar [cit. 2025-10-18].
[ 7 ] LÓPEZ VELÁSQUEZ, Juan Miguel; MARTÍNEZ MONTERRUBIO, Sergio Mauricio; SÁNCHEZ CRESPO, Luis Enrique a GARCIA ROSADO, David, 2023. Systematic review of SIEM technology: SIEM-SC birth. Online. International Journal of Information Security. Roč. 2023, č. 22, s. 691–711. Dostupné z: https://doi.org/10.1007/s10207-022-00657-9 [cit. 2024-10-19].
[ 8 ] DZADÍKOVA, Slavomíra a SAFONOV, Yehor, 2022. Dynamic security log processing using deep learning techniques. In: Proceedings II of the 28th Conference STUDENT EEICT 2022: Selected Papers. Brno: Brno University of Technology, Faculty of Electrical Engineering and Communication, s. 184–187. ISBN 978-80-214-6030-0. ISSN 2788-1334.
[ 9 ] LI, Zeyan; SONG, Jie; ZHANG, Tieying; YANG, Tao; OU, Xiongjun; YE, Yingjie; DUAN, Pengfei; LIN, Muchen; CHEN, Jianjun. Adaptive and Efficient Log Parsing as a Cloud Service. arXiv preprint arXiv:2504.09113, Online. DOI 10.48550/arXiv.2504.09113. Dostupné z: https://arxiv.org/abs/2504.09113 [cit. 2025-10-20].
[ 10 ] LIU, Changjian; TIAN, Yang; YU, Siyu; GAO, Donghui; WU, Yifan; HUANG, Suqun; HU, Xiaochun; CHEN, Ningjiang. XDrain: Effective log parsing in log streams using fixed-depth forest. Information and Software Technology. 2024, vol. 176, 107546. ISSN 0950-5849. DOI 10.1016/j.infsof.2024.107546. Dostupné z: https://www.sciencedirect.com/science/article/pii/S0950584924001514 [cit. 2025-10-18].
[ 11 ] HUGHES, Grant, Log Management as an Enabler for Data Protection and Auto-mated Threat Detection (Jul. 2023). Online. Dostupné z: https://www.isaca.org/resources/isaca-journal/issues/2023/volume-4/log-management-as-an-enabler-for-data-protection -and-automated-threat-detection [cit. 2025-10-18].