Funktionsweise Zero-Knowledge Features Preise Digest Kostenlos starten
Zero-Knowledge Log-Monitoring · Made in Germany

Die KI sieht das Muster. Nie die Person.

DSGVO-konformes Log-Monitoring mit KI-Anomalieerkennung. Der LogHydra-Agent anonymisiert lokal — Klartext bleibt im LAN.

DSGVO by Design NIS2-ready BSI-Grundschutz Hosting in Deutschland
loghydra-agent · scrubber LIVE
// rohe log-zeile — enthält PII lokal · ungeschützt
Hash→Original-Mapping bleibt lokal in SQLite — mit konfigurierbarem TTL.
Scrollen

Gebaut für Betriebe, die KI-Analyse wollen — aber keine Bußgelder

DSGVO / GDPR NIS2 BSI-Grundschutz Mittelstand MSP & Behörden
Funktionsweise

Vier Schritte. Eine Grenze, die Klartext nie überschreitet.

Logs werden lokal entpersonalisiert, bevor sie die Maschine verlassen. Die Cloud rechnet auf Hashes — und kann trotzdem analysieren.

1

Sammeln

Der Go-Agent tailt Logs — Dateien, journald, syslog, Docker. Zero Dependencies, läuft als systemd-/launchd-Dienst.

2

Lokal scrubben

PII (IPs, E-Mails, Nutzernamen) wird per Regex erkannt und durch deterministische Salted-Hashes ersetzt. Das Mapping bleibt in lokaler SQLite mit TTL.

3

KI analysiert

Die Cloud empfängt nur Hashes. Die KI erkennt Anomalien an Mustern, Fehlertypen und Häufigkeiten — und bündelt sie in den Tages-Digest.

4

Lokal hydrieren

Fällt etwas auf, löst die zuständige Person den Hash im LAN wieder auf. Der Klartext verlässt nie die eigene Infrastruktur.

loghydra · datenfluss KUNDEN-LAN
2026-06-13T08:41:02Z auth 203.0.113.45 user=anna.weber@acme.de POST /login 401
Rohe Zeile, frisch getailt — enthält noch personenbezogene Daten.
2026-06-13T08:41:02Z auth {{IP_a3f8c2}} user={{EMAIL_9b21de}} POST /login 401
PII durch Salted-Hashes ersetzt. Mapping → lokale SQLite (TTL 24 h).
{{IP_a3f8c2}} user={{EMAIL_9b21de}} POST /login 401 ×47
ANOMALIE · KRITISCH
Brute-Force-Verdacht: 47× 401 von {{IP_a3f8c2}} in 2 Minuten. Die KI sieht das Muster — aber keine echte IP.
{{IP_a3f8c2}}  →  203.0.113.45
{{EMAIL_9b21de}}  →  anna.weber@acme.de
Im Browser, direkt gegen den lokalen Agent aufgelöst — Cloud sieht weiter nur den Hash.
In Minuten startklar

Installieren — und der Rest läuft von allein.

Kein Parsing-Setup, keine Pipeline-Bastelei, kein Dashboard-Babysitting. Plug & Play, dann Set & Forget.

  1. 1

    Installieren

    Ein Paket (.deb / .rpm / .zip), ein Befehl. Der Agent läuft als systemd-/launchd-Dienst — kein Runtime, keine Abhängigkeiten.

    One-Liner · Zero Dependencies
  2. 2

    Agent findet die Logs

    Dateien, journald, syslog, Docker, Windows Event Log — automatisch erkannt und live getailt. Neue Quelle? Wird mitgenommen.

    Auto-Discovery · Multi-Source
  3. 3

    Anonymisiert in die Cloud

    PII wird lokal per Salted-Hash entfernt, dann fließt nur der Hash hoch. Crash-sichere Disk-Queue — kein Log geht verloren.

    Salted-Hash · at-least-once
  4. 4

    Zurücklehnen

    Jeden Morgen die Digest-Mail mit den Findings vom Vortag. Auffälliges löst du mit einem Klick im LAN wieder auf — Gewissheit ohne Dauerblick.

    Fire & Forget
Das Leitprinzip

Zero-Knowledge-Cloud

LogHydra trennt zwei Dinge, die sonst zwangsläufig zusammenkommen: Analyse und Personenbezug.

Kunden-LAN

Bei dir, on-premise

  • Rohe Logs bleiben auf deiner Maschine.
  • PII-Scrubber ersetzt IPs, E-Mails, Nutzernamen durch Salted-Hashes.
  • Hash→Original liegt nur lokal in SQLite — mit TTL, optional gepinnt im Incident.
  • Hydration passiert im Browser direkt gegen den lokalen Agent.
Zero-Knowledge-Grenze
LogHydra Cloud · DE

In der Cloud (Hetzner)

  • Empfängt ausschließlich gehashte Logs — niemals Klartext.
  • KI-Analyse auf Mustern, Fehlertypen, Häufigkeiten.
  • Anomalie-Findings referenzieren Hashes, keine Personen.
  • Mandantenfähig, PostgreSQL, deutsche Rechenzentren.
Was drinsteckt

Ein schlanker Agent. Eine starke Cloud.

Pragmatische Architektur statt SIEM-Monster — fokussiert auf eine Frage: „Etwas lief schief — wer war betroffen, und warum?"

// agent

Local Agent in Go

Eine Binary, keine Laufzeit, kein CGO. Crash-sichere Disk-Queue (at-least-once), Resume über Datei-Offsets, journald-Cursor und EventLog-Bookmarks. Läuft auf Linux, Windows, macOS.

# ein Befehl, ein Dienst
$ loghydra-agent --config /etc/loghydra.yaml
 scrubber   ready  (ip, email, user)
 shipper    queue=sqlite  batch=500
 hydration  :8765  (bearer, cors-allowlist)

Deterministischer PII-Scrubber

Gleicher Wert + gleicher Salt = gleicher Hash. So bleiben Korrelationen über Zeilen und Server erhalten — ohne dass je Klartext entsteht.

Hydration im LAN

HTTP-Endpoint mit Bearer-Auth, CORS-Allowlist und konstanten Zeitvergleichen. Hash→Klartext nur dort, wo die Daten ohnehin liegen.

Tages-Digest per Mail

Jeden Morgen die Zusammenfassung vom Vortag — gebündelt, ein KI-Lauf pro Tag.

Mandantenfähig

Tenants, Per-Device-Limits, Bearer-Token für Agent-Uploads, JWT fürs Portal.

Deutsche Cloud

Backend in Deutschland. Keine US-Server, kein CLOUD-Act-Risiko, BSI-tauglich.

0

Bytes Klartext-PII, die je deine Cloud erreichen. Garantiert durch Architektur, nicht durch Versprechen.

Plattform-nativ

Build-Tags mit portablem Fallback für Linux (journald), Windows (Event Log) und macOS — ein Code-Stand, drei Welten.

Im Vergleich

KI-Analyse und Compliance. Nicht entweder–oder.

Klassische Cloud-Log-Dienste sind mächtig, aber schicken rohe Logs an US-Server. LogHydra nicht.

Kriterium LogHydra▸ wir Datadog Graylog
DSGVO by Design selbst hosten
KI-Anomalieerkennung
Hash-Hydration (PII-Pseudonymisierung)
On-Premise Agent
Cloud in Deutschland
Preis für den Mittelstand 5 €/Gerät ~15 $/Host + Ingest komplex
Das Herzstück

Das Produkt ist die Morgen-Mail.

Kein Dashboard, das niemand öffnet. Jeden Morgen landet die Zusammenfassung des Vortags in deinem Postfach — Findings nach Schweregrad, gebündelt in einem einzigen, kostenkontrollierten KI-Lauf.

  • Vorab aggregierte Findings — keine rohen Logzeilen ins Prompt.
  • Managed-KI als Default — BYOK als Premium für Compliance-Harte.
  • Auch ohne Datenschutzbeauftragten bedienbar.
LogHydra Digestdigest@loghydra.de · heute, 07:00
Gestern: 3 Findings · 1 kritisch
Brute-Force-Verdacht — 47× 401 von {{IP_a3f8c2}} in 2 min auf {{HOST_2f9a}}.
5xx-Spike — Fehlerrate auf {{HOST_2f9a}} ×6 um 03:12.
Neuer Login-Standort für {{USER_71bd}} — vermutlich Reise.
1,2MZeilen analysiert
3Findings
0PII in der Cloud
Preise

Pro Gerät. Pro Monat. Ein Bruchteil von Datadog.

Abrechnung pro Device — flat 5 €. Pro ab 25 €/Mo (5 Geräte inklusive). Jahresabrechnung −10 %.

Free
0 €
für immer · bis 2 Geräte

Zum Ausprobieren am eigenen Server.

  • Bis 2 Geräte
  • Managed Tages-Digest inklusive
  • ~7 Tage Retention
  • Voller PII-Schutz & Hydration
Kostenlos starten

Alle Preise netto. Jahresabrechnung −10 %. MSP-/Partner-Rahmen auf Anfrage.

Bereit?

Sieh Muster.
Nie Personen.

In Minuten startklar: Agent installieren, Logs fließen anonymisiert, morgen früh die erste Digest-Mail.

Newsletter

Bleib auf dem Laufenden.

Launch-Termine, Produkt-Updates und Praxis-Tipps zu DSGVO-konformem Log-Monitoring. Kein Spam, jederzeit abbestellbar.

Double-Opt-In über Brevo (EU-Hosting): Du bekommst eine Bestätigungsmail — erst nach dem Klick darin bist du angemeldet.