Nadel vs. Heuhaufen: Warum Logwachstum ohne Log-Hygiene zum Risiko für IT-Plattformen wird
Logs sind eines der wichtigsten Werkzeuge im IT-Betrieb. Sie helfen bei der Fehlersuche, unterstützen Security-Analysen, liefern Hinweise auf Performance-Probleme und bilden in vielen Fällen eine Grundlage für Audits, Compliance und Service-Level-Nachweise. Gerade in modernen Kubernetes-Umgebungen wächst die Menge dieser Daten jedoch mit enormer Geschwindigkeit. Jeder Service, jeder Container, jede Middleware-Komponente und jedes Infrastrukturmodul erzeugt laufend Ereignisse. Was zunächst nach mehr Transparenz klingt, kann in der Praxis schnell zum Gegenteil führen: Je größer der Datenberg wird, desto schwieriger wird es, die relevanten Signale zu erkennen.
Genau hier begann auch die Herausforderung im Betrieb der Telematik-Dienste unseres Partners RISE. Eine Herausforderung vor der viele Betreiber großer Logging-Plattformen stehen. Mehr Logs bedeuten nicht automatisch bessere Observability. Sie bedeuten zunächst mehr Daten, mehr Indexierungsaufwand, mehr Speicherbedarf, mehr Suchlast und mehr Aufmerksamkeit, die von Menschen oder automatisierten Systemen aufgebracht werden muss. Ohne klare Log-Hygiene, sinnvolle Retention-Strategien und wirksame Plattformkontrollen entsteht aus einer wertvollen Datenbasis ein immer größerer Heuhaufen, in dem die eigentliche Nadel schwerer zu finden ist.

Wir beschreiben hier diese Problematik am Beispiel der multi-tenant Logging-Plattform für Kubernetes-Umgebungen unseres Partners RISE und zeigen, welche technischen, organisatorischen und betrieblichen Maßnahmen wir gesetzt haben, um aus wachsendem Logvolumen wieder verwertbare Information (Signale) zu gewinnen.
Das Problem: Mehr Volumen bedeutet nicht mehr Erkenntnis
Der zentrale Irrtum vieler Logging-Strategien besteht darin, Logdaten primär als Mengenproblem zu betrachten. Wenn mehr Daten vorhanden sind, so die Annahme, müsse auch mehr Wissen über das System verfügbar sein. In der Realität ist jedoch nicht die reine Datenmenge entscheidend, sondern das Verhältnis zwischen Signal und Rauschen.
Ein Signal ist eine Information, die eine relevante Aussage über den Zustand eines Systems liefert. Es kann auf einen Fehler, eine Sicherheitsverletzung, eine Performance-Verschlechterung oder eine geschäftskritische Auswirkung hinweisen.
Rauschen hingegen besteht aus irrelevanten, redundanten, repetitiven oder nicht handlungsrelevanten Informationen. Je höher der Anteil des Rauschens, desto geringer wird der operative Wert der gesamten Logdatenbasis.
In großen Kubernetes- und Cloud-Native-Umgebungen kann dieses Verhältnis schnell kippen. Debug-Logs bleiben versehentlich in Produktion aktiv. Third-Party-Komponenten schreiben sehr ausführliche Standardlogs. Retry-Schleifen erzeugen pro fehlgeschlagenen Versuch neue Einträge. Strukturiertes Logging führt dazu, dass viele Felder indexiert werden, die später niemand abfragt. Gleichzeitig werden Warnungen und Fehler oft inflationär verwendet, sodass Log-Level als Filterkriterium an Aussagekraft verlieren. Im schlimmsten Fall werden auch noch automatisiert auf Basis von Log-Alarmen Tickets für einen Servicedesk erzeugt, der ganz besonders auf eine sehr hohe Signalqualität angewiesen ist.
Das Ergebnis ist aber ein sinkendes Signal-to-Noise Ratio. Die Plattform enthält zwar immer mehr Daten, aber die Suche nach der operativ relevanten Information wird langsamer, teurer und fehleranfälliger.
Logwachstum wirkt auf allen Ebenen der Plattform
Exzessives Logging ist nicht nur eine Frage der Speicherkosten. In einer zentralen Logging-Plattform entstehen Kosten und Risiken entlang der gesamten Verarbeitungskette.
Bereits bei der Ingestion müssen große Datenmengen entgegengenommen, gepuffert und an tenant-spezifische Verarbeitungspipelines verteilt werden. Hohe Lastspitzen beanspruchen Netzwerk, Disk-I/O, CPU und Pufferkapazitäten. In der Parsing-Phase kommen weitere Aufwände hinzu: JSON-Parsing, reguläre Ausdrücke, Zeitstempel-Normalisierung, Filterung, Anreicherung und Mapping auf ein einheitliches Schema wie ECS benötigen Rechenzeit.
Bei der Indexierung verschärft sich der Effekt. Jedes indexierte Feld erzeugt zusätzliche Indexstrukturen. Je mehr Felder, je höher die Kardinalität und je größer das Volumen, desto stärker werden CPU, RAM und Heap belastet. In der Storage-Schicht entstehen zusätzliche Kosten durch Replikation, Hochverfügbarkeit, Standortredundanz und unterschiedliche Retention-Anforderungen. Schließlich konkurrieren Dashboards, Alerts, Security-Monitoring, Ad-hoc-Suchen und Machine-Learning-Jobs in der Search-Schicht um dieselben Ressourcen.
Logwachstum trifft also nicht einen einzelnen Engpass, sondern die gesamte Plattformarchitektur. Genau deshalb reicht es nicht aus, einfach mehr Hardware bereitzustellen. Skalierung kann nur Symptome lindern, löst aber nicht das strukturelle Problem eines schlechten Signal-Rausch-Verhältnisses.
Wenn die Plattform unter Druck gerät
Gerät eine Logging-Plattform unter Last, zeigen sich die Auswirkungen in mehreren Formen. Eine besonders kritische Folge ist Log Delay.

Logs kommen nicht mehr zeitnah in den Suchindizes an, sondern mit Verzögerung. Für klassische Analysen mag das störend sein; für Alerting kann es problematisch werden. Wenn Alerts ein Zeitfenster prüfen, das technisch bereits existiert, aber noch nicht vollständig mit Daten befüllt ist, können relevante Ereignisse übersehen oder verspätet erkannt werden.
Ein zweiter Effekt ist Storage Pressure.

Wenn Speicher, IOPS oder Replikation an Grenzen kommen, kann sich der Rückstau durch die gesamte Pipeline fortsetzen. Verzögerungen beim Schreiben führen zu Ingest-Rückständen, diese wiederum erhöhen den Druck auf Puffer und Verarbeitungskomponenten. Im schlimmsten Fall entstehen instabile Clusterzustände oder Datenverlustrisiken.
Ein dritter Effekt, betrifft die Suche. Ingest und Search teilen sich häufig dieselbe Infrastruktur.

Eine aufwendige Abfrage eines Tenants kann dadurch andere Tenants beeinträchtigen. Dieses sogenannte Noisy-Neighbor-Problem ist eine der zentralen Herausforderungen multi-tenant betriebener Logging-Plattformen.
Multi-Tenancy ist ein bewusster Kompromiss
Vollständige Isolation jedes Tenants wäre technisch möglich, aber nicht immer sinnvoll. Unsere Erfahrung ist, das dedizierte Cluster pro Tenant Governance-Aufwand, Betriebskomplexität und Kosten erhöhen. Vollständig geteilte Plattformen wiederum benötigen wirksame Mechanismen für Fairness, Transparenz und Risikobegrenzung.
Die sinnvolle Architektur liegt daher meist zwischen diesen Extremen. Für besonders sensible, regulierte oder SLA-kritische Anwendungsfälle kann eine dedizierte Umgebung erforderlich sein. Dazu gehören etwa Security-relevante Daten, Audit-Logs, personenbezogene Informationen oder Workloads mit speziellen Verfügbarkeitsanforderungen. Für viele andere Use Cases ist eine gemeinsam betriebene Plattform wirtschaftlich und betrieblich sinnvoller, sofern sie durch Quotas, Retention-Modelle, Monitoring und klare Governance-Regeln abgesichert wird.
Wir haben hier ein bewusstes Entscheidungsmodell eingeführt: Wann wird ein Tenant isoliert? Wann genügt logische Trennung? Welche Datenarten haben welche Retention-Anforderungen? Welche Workloads erzeugen hohe Ingest-Raten oder Suchlast? Welche Failure Modes sind akzeptabel, welche nicht? Erst wenn diese Fragen systematisch beantwortet werden, lässt sich Multi-Tenancy kontrolliert betreiben.
Bleibt die Frage zu klären, was zu ist, wenn man bereits ein schlechtes Signal-Rausch-Verhältnis hat.
Signal zurückgewinnen: Transparenz, Awareness und Standardisierung
Die Wiederherstellung eines guten Signal-Rausch-Verhältnisses (SNR - Signal-Noise-Ratio) ist nach unseren Erfahrungen kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. In heterogenen Systemlandschaften gibt es viele Komponenten, Teams, Logformate, Retention-Anforderungen und Betriebsmodelle. Deshalb braucht es eine Kombination aus technischen Plattformfunktionen und organisatorischer Log-Hygiene.
Der erste Baustein ist Transparenz. Teams müssen sehen können, welche Datenmengen sie erzeugen, welche Indizes wachsen, welche Quellen besonders viel Volumen verursachen und wie stark sie ihre Quotas nutzen. Ohne diese Transparenz bleibt Logwachstum abstrakt. Erst wenn der eigene Footprint sichtbar ist, können Teams gezielt handeln.
Wir setzen hier auf das bekannte Modell der T-Shirt Sizes. Tenants bestellen ihren Speicherplatz für Logs auf Basis einer dieser Größen:
| T-Shirt Size | Total Storage |
|---|---|
| 3XL | 15,000 GB |
| 2XL | 10,000 GB |
| XL | 5,000 GB |
| L | 2,000 GB |
| M | 500 GB |
| S | 100 GB |
Jeder Tenant erhält zur Unterstützung seines Kapazitätsmanagements auch automatisch ein Dashboard, das den aktuellen Verbrauch und den zeitlichen Verlauf des Verbrauchs anzeigt.

Der zweite Baustein ist Awareness. Entwicklerinnen, Entwickler und Betriebsteams müssen verstehen, dass Logging nicht kostenlos ist. Jede Logzeile verbraucht Ressourcen. Jede unnötige Information erschwert die Suche nach relevanten Ereignissen. Jede dauerhaft aktive Debug-Ausgabe kann in großen Umgebungen massive Wirkung entfalten.
Der dritte Baustein ist Standardisierung. Plattformbetreiber sollten wiederkehrende Probleme nicht pro Projekt einzeln lösen, sondern gemeinsame Muster bereitstellen: standardisierte Retention-Tiers, Namenskonventionen, Dashboards, Quota-Modelle, Onboarding-Prozesse und Empfehlungen für strukturierte Logs. So entsteht ein gemeinsames Betriebsmodell, das Skalierung beherrschbar macht.
Plattformkontrollen: Quotas, Retention, Isolation und Support
Eine moderne Logging-Plattform benötigt technische Kontrollmechanismen, die nicht nur Daten aufnehmen, sondern deren Nutzung aktiv steuerbar machen. Ein zentraler Ansatz sind Soft Quotas pro Tenant. Sie dienen zunächst nicht der harten Durchsetzung, sondern der Transparenz. Teams erkennen, wie viel Volumen sie erzeugen, wie sich ihre Nutzung entwickelt und wann vereinbarte Richtwerte überschritten werden.
Retention ist meist der größte Hebel zur Reduktion des Datenvolumens. Nicht alle Logs haben denselben Wert über denselben Zeitraum. Audit- und SLA-relevante Daten können über Monate relevant bleiben. Transiente operative Fehler sind häufig nur für Stunden oder wenige Tage wertvoll. Debug-Informationen sollten idealerweise nur sehr kurz oder gar nicht dauerhaft gespeichert werden. Sinnvoll sind daher abgestufte Retention-Tiers, zum Beispiel für temporäre, kurzlebige, standardmäßige und archivierte Daten.
Auch Isolation bleibt ein wichtiger Bestandteil. Nicht jeder Workload gehört auf dieselbe geteilte Infrastruktur. Wo regulatorische Anforderungen, Security-Aspekte oder besondere SLA-Zusagen es verlangen, sind getrennte Systeme sinnvoll. Wo geteilt wird, müssen tenant-spezifische Ressourcenverbräuche kontinuierlich überwacht werden. Workload-Management-Funktionen, etwa für Query-Layer-Isolation, können zusätzlich helfen, das Noisy-Neighbor-Problem zu begrenzen.
Der vierte Baustein ist Support. Plattformteams sollten nicht nur Infrastruktur bereitstellen, sondern Teams bei Logdesign, Retention-Strategien, Reduktion unnötiger Daten und Onboarding unterstützen. Gute Log-Hygiene entsteht selten allein durch Vorgaben. Sie entsteht durch Feedback, gemeinsame Analyse und praxistaugliche Standards.

Producer Hygiene: Gute Logs entstehen an der Quelle
So wichtig Plattformkontrollen sind: Ein großer Teil der Signalqualität entscheidet sich bereits dort, wo Logs erzeugt werden. Anwendungen und Services sollten Logs nicht als unstrukturierte Nebenprodukte behandeln, sondern als bewusst gestaltete Schnittstelle zwischen Software und Betrieb.
Ein erster Schritt ist die Gestaltung hochwertiger Logtypen. Log-Level und Kategorien sollten konsistent verwendet werden. Fehler sollten möglichst mit stabilen Error Codes versehen werden. Performance-Logs sollten informationsdicht sein und relevante Kennzahlen wie Latenz, Durchsatz, Statuscode, Request-Größe oder Fehlerklasse enthalten. Feldnamen sollten sich an etablierten Schemata orientieren, damit Daten über Systeme hinweg vergleichbar und abfragbar bleiben.
Ein besonders wirkungsvolles Muster ist Conditional Logging. Statt jeden erfolgreichen Request ausführlich zu protokollieren, werden detaillierte Logs nur dann erzeugt, wenn bestimmte Bedingungen erfüllt sind: eine Antwortzeit überschreitet einen Schwellwert, ein HTTP-5xx-Fehler tritt auf, eine Retry-Grenze wird überschritten oder ein sicherheitsrelevantes Ereignis wird erkannt. Dieses Prinzip ist aus Datenbanksystemen seit Jahren bekannt, etwa in Form von Slow Query Logs. Es reduziert Volumen massiv, ohne relevante Diagnosedaten zu verlieren.
Für besonders datenintensive Debug-Informationen eignet sich On-Demand Logging. TLS-Details, vollständige Request/Response-Dumps oder tiefgehende Trace-Informationen sollten nicht dauerhaft aktiv sein, sondern über Runtime-Toggles bei Bedarf eingeschaltet werden können. Standardmäßig bleiben sie deaktiviert; im Incident-Fall stehen sie gezielt zur Verfügung.
Schließlich sollte Retention immer nach Use Case festgelegt werden. Nicht jede Logquelle benötigt dieselbe Speicherfrist. Transiente Betriebsdaten verlieren schnell an Wert. Audit-Daten oder SLA-Nachweise können länger relevant bleiben. Wer diese Unterscheidung nicht trifft, bezahlt langfristig für Daten, die operativ kaum noch Nutzen haben.

Der Weg nach vorn: Von Transparenz zu aktiver Steuerung
Der nächste Entwicklungsschritt moderner Logging-Plattformen liegt in einer stärkeren Verbindung aus Transparenz, Automatisierung und Governance. Quota Dashboards machen sichtbar, welche Tenants welche Ressourcen verbrauchen. T-Shirt-Sizing-Modelle können helfen, Logbudgets verständlich zu kommunizieren und Kapazitätsplanung zu vereinfachen. Automatisierte Benachrichtigungen bei Quota-Überschreitungen schaffen frühzeitiges Feedback, bevor technische Engpässe entstehen.
Parallel dazu gewinnen Workload-Management-Funktionen an Bedeutung. Query-Level-Isolation kann verhindern, dass einzelne besonders teure Suchanfragen die Performance anderer Tenants beeinträchtigen. Perspektivisch lassen sich solche Konzepte auch auf Ingest-Workloads ausweiten. Damit verschiebt sich das Betriebsmodell von reiner Best-Effort-Nutzung hin zu kontrollierter, nachvollziehbarer und fairer Ressourcennutzung.
Gleichzeitig bleibt Log Volume Reduction eine Daueraufgabe. Plattformseitige Filter, bessere Defaults, Erkennung von Low-Value-Patterns und tenant-spezifisches Feedback helfen dabei, unnötige Daten frühzeitig zu reduzieren. Die eigentliche Wirkung entsteht jedoch erst im Zusammenspiel mit den Teams, die Logs produzieren.
Fazit: Nicht der Heuhaufen ist das Problem, sondern seine Organisation
Die Metapher von der Nadel im Heuhaufen ist eingängig, aber nur teilweise richtig. Moderne Logdaten sind nicht völlig unstrukturiert. Sie enthalten Zeitstempel, Felder, Kategorien, Quellen, Indizes und Metadaten. Das eigentliche Problem ist daher nicht nur die Größe des Heuhaufens, sondern die Qualität des Ordnungssystems.

Eine leistungsfähige Logging-Plattform muss mehr leisten, als Daten zu sammeln und durchsuchbar zu machen. Sie muss helfen, Signal von Rauschen zu trennen. Sie muss sichtbar machen, wer welche Ressourcen verbraucht. Sie muss Retention, Quotas und Isolation steuerbar machen. Und sie muss Teams dabei unterstützen, bessere Logs zu erzeugen.
Für Kubernetes- und Cloud-Native-Umgebungen ist das keine optionale Optimierung, sondern eine Voraussetzung für stabilen Betrieb. Denn je größer die Plattform wird, desto stärker entscheidet Log-Hygiene darüber, ob Logs im Incident-Fall helfen — oder selbst Teil des Problems werden.
Interesse am Thema? - Reden Sie mit uns - wir helfen gerne!
Kontakt aufnehmen