Die KI sieht das Muster. Nie die Person.
DSGVO-konformes Log-Monitoring mit KI-Anomalieerkennung. Der LogHydra-Agent anonymisiert lokal — Klartext bleibt im LAN.
Gebaut für Betriebe, die KI-Analyse wollen — aber keine Bußgelder
Vier Schritte. Eine Grenze, die Klartext nie überschreitet.
Logs werden lokal entpersonalisiert, bevor sie die Maschine verlassen. Die Cloud rechnet auf Hashes — und kann trotzdem analysieren.
Sammeln
Der Go-Agent tailt Logs — Dateien, journald, syslog, Docker. Zero Dependencies, läuft als systemd-/launchd-Dienst.
Lokal scrubben
PII (IPs, E-Mails, Nutzernamen) wird per Regex erkannt und durch deterministische Salted-Hashes ersetzt. Das Mapping bleibt in lokaler SQLite mit TTL.
KI analysiert
Die Cloud empfängt nur Hashes. Die KI erkennt Anomalien an Mustern, Fehlertypen und Häufigkeiten — und bündelt sie in den Tages-Digest.
Lokal hydrieren
Fällt etwas auf, löst die zuständige Person den Hash im LAN wieder auf. Der Klartext verlässt nie die eigene Infrastruktur.
Brute-Force-Verdacht: 47× 401 von {{IP_a3f8c2}} in 2 Minuten. Die KI sieht das Muster — aber keine echte IP.
{{EMAIL_9b21de}} → anna.weber@acme.de
Installieren — und der Rest läuft von allein.
Kein Parsing-Setup, keine Pipeline-Bastelei, kein Dashboard-Babysitting. Plug & Play, dann Set & Forget.
-
1
Installieren
Ein Paket (.deb / .rpm / .zip), ein Befehl. Der Agent läuft als systemd-/launchd-Dienst — kein Runtime, keine Abhängigkeiten.
One-Liner · Zero Dependencies -
2
Agent findet die Logs
Dateien, journald, syslog, Docker, Windows Event Log — automatisch erkannt und live getailt. Neue Quelle? Wird mitgenommen.
Auto-Discovery · Multi-Source -
3
Anonymisiert in die Cloud
PII wird lokal per Salted-Hash entfernt, dann fließt nur der Hash hoch. Crash-sichere Disk-Queue — kein Log geht verloren.
Salted-Hash · at-least-once -
4
Zurücklehnen
Jeden Morgen die Digest-Mail mit den Findings vom Vortag. Auffälliges löst du mit einem Klick im LAN wieder auf — Gewissheit ohne Dauerblick.
Fire & Forget
Zero-Knowledge-Cloud
LogHydra trennt zwei Dinge, die sonst zwangsläufig zusammenkommen: Analyse und Personenbezug.
Bei dir, on-premise
- Rohe Logs bleiben auf deiner Maschine.
- PII-Scrubber ersetzt IPs, E-Mails, Nutzernamen durch Salted-Hashes.
- Hash→Original liegt nur lokal in SQLite — mit TTL, optional gepinnt im Incident.
- Hydration passiert im Browser direkt gegen den lokalen Agent.
In der Cloud (Hetzner)
- Empfängt ausschließlich gehashte Logs — niemals Klartext.
- KI-Analyse auf Mustern, Fehlertypen, Häufigkeiten.
- Anomalie-Findings referenzieren Hashes, keine Personen.
- Mandantenfähig, PostgreSQL, deutsche Rechenzentren.
Ein schlanker Agent. Eine starke Cloud.
Pragmatische Architektur statt SIEM-Monster — fokussiert auf eine Frage: „Etwas lief schief — wer war betroffen, und warum?"
Local Agent in Go
Eine Binary, keine Laufzeit, kein CGO. Crash-sichere Disk-Queue (at-least-once), Resume über Datei-Offsets, journald-Cursor und EventLog-Bookmarks. Läuft auf Linux, Windows, macOS.
# ein Befehl, ein Dienst $ loghydra-agent --config /etc/loghydra.yaml ▸ scrubber ready (ip, email, user) ▸ shipper queue=sqlite batch=500 ▸ hydration :8765 (bearer, cors-allowlist)
Deterministischer PII-Scrubber
Gleicher Wert + gleicher Salt = gleicher Hash. So bleiben Korrelationen über Zeilen und Server erhalten — ohne dass je Klartext entsteht.
Hydration im LAN
HTTP-Endpoint mit Bearer-Auth, CORS-Allowlist und konstanten Zeitvergleichen. Hash→Klartext nur dort, wo die Daten ohnehin liegen.
Tages-Digest per Mail
Jeden Morgen die Zusammenfassung vom Vortag — gebündelt, ein KI-Lauf pro Tag.
Mandantenfähig
Tenants, Per-Device-Limits, Bearer-Token für Agent-Uploads, JWT fürs Portal.
Deutsche Cloud
Backend in Deutschland. Keine US-Server, kein CLOUD-Act-Risiko, BSI-tauglich.
Bytes Klartext-PII, die je deine Cloud erreichen. Garantiert durch Architektur, nicht durch Versprechen.
Plattform-nativ
Build-Tags mit portablem Fallback für Linux (journald), Windows (Event Log) und macOS — ein Code-Stand, drei Welten.
KI-Analyse und Compliance. Nicht entweder–oder.
Klassische Cloud-Log-Dienste sind mächtig, aber schicken rohe Logs an US-Server. LogHydra nicht.
| Kriterium | LogHydra▸ wir | Datadog | Graylog |
|---|---|---|---|
| DSGVO by Design | ✓ | ✕ | selbst hosten |
| KI-Anomalieerkennung | ✓ | ✓ | ✕ |
| Hash-Hydration (PII-Pseudonymisierung) | ✓ | ✕ | ✕ |
| On-Premise Agent | ✓ | ✓ | ✓ |
| Cloud in Deutschland | ✓ | ✕ | ✕ |
| Preis für den Mittelstand | 5 €/Gerät | ~15 $/Host + Ingest | komplex |
Das Produkt ist die Morgen-Mail.
Kein Dashboard, das niemand öffnet. Jeden Morgen landet die Zusammenfassung des Vortags in deinem Postfach — Findings nach Schweregrad, gebündelt in einem einzigen, kostenkontrollierten KI-Lauf.
- Vorab aggregierte Findings — keine rohen Logzeilen ins Prompt.
- Managed-KI als Default — BYOK als Premium für Compliance-Harte.
- Auch ohne Datenschutzbeauftragten bedienbar.
Pro Gerät. Pro Monat. Ein Bruchteil von Datadog.
Abrechnung pro Device — flat 5 €. Pro ab 25 €/Mo (5 Geräte inklusive). Jahresabrechnung −10 %.
Zum Ausprobieren am eigenen Server.
- Bis 2 Geräte
- Managed Tages-Digest inklusive
- ~7 Tage Retention
- Voller PII-Schutz & Hydration
Für Mittelständler und IT-Teams mit Compliance-Druck.
- Beliebig viele Geräte — je 5 €
- Managed KI-Analyse & Digest
- ~30 Tage Retention
- Multi-Server-Korrelation
Alle Preise netto. Jahresabrechnung −10 %. MSP-/Partner-Rahmen auf Anfrage.
Sieh Muster.
Nie Personen.
In Minuten startklar: Agent installieren, Logs fließen anonymisiert, morgen früh die erste Digest-Mail.