พูดถึง ... คำว่า Log file นั้นคือ ข้อมูลการจราจรหรือการบันทึกการกระทำที่เกิดขึ้นบนระบบหรือกิจกรรมที่เกิดขึ้นบนเครือข่าย ประกอบไปด้วย แหล่งกำหนิด(Source Address) ปลายทาง(Destination Address) เวลา-วันที่ ระยะเวลาและชนิดของบริการ โดยเนื้อหาข้างใน Log file จะมีลักษณะเป็นตัวหนังสือและเครื่องหมายยึกๆยื้อๆ แต่สามารถนำมาถอดรหัสได้ว่ามีสิ่งใดเกิดขึ้นบ้างในช่วงที่ผ่านมา ราวกับเป็นซากฟอสซิลที่บ่งบอกเรื่องราวในอดีตได้
การจัดการ Logs ให้มีประสิทธิภาพ และ สอดคล้องกับพรบ.การกระทำผิดทางคอมพิวเตอร์นั้น จำเป็นต้องเก็บRaw Log(ต้นฉบับlog) ไว้ในที่ที่ปลอดภัย ดังนั้น ระบบการจัดการที่มีประสิทธิภาพนั้นต้องมี
การเก็บไว้ส่วนกลาง(Centralized Logging Server) โดยจำเป็นต้องมี Log Server ไว้ใช้เพื่อการStoreข้อมูลlogและรักษาความปลอดภัยของData logในเครือข่าย หรือจะทำการSIEMในระดับถัดไป
3 หัวใจหลักในการจัดการLogs (Logs Management)
- Log Generation : การทำให้logเกิดขึ้นบนlog serverได้มีสองลักษณะ
- ลักษณะแรก คือ การตั้งค่าให้log file ถูกส่งไปยัง log server ได้
- ลักษณะสอง คือ การอนุญาติให้log server สามารถเดินทางมาหยิบ log data ที่เครื่อง host ได้
- Log Analysis and Storage : log server ผู้รับlog สามารถเรียกว่า Collectors หรือ Aggregators เพื่อนำไปสู่การAnalysis ตัวจัดการlog server จะมีฟังก์ชั่นอัตโนมัติในการconvert log format ต่างๆมากมาย ให้อยู่ในformatเดียว ซึ้งเรียกว่า การทำNormalization แล้วก่อนจัดเก็บก็ทำการ Compression และ Encryption เพื่อความปลอดภัยของข้อมูลlog
- Log Monitoring : เมื่อทำการรับlogsมาแล้วก็ทำการแสดงผลlogsทั้งหมดเพื่อทำการmonitorจับตาดูlogต่างๆที่เกิดขึ้น หรือ ทำการดูผลโดยแสดงรายงาน(Report) จากฐานข้อมูลLog
**ซึ้งหัวใจหลักของการจัดการlog คือ การวิเคารห์ (Analysis) และ การเก็บข้อมูล (Storage) โดยจำเป็นต้องคำนึงว่าต้องไม่มีการเปลี่ยนแปลงใดกับ Original logs (Raw logs)
SIEM (Security Information Event Management)
เป็น software ตัวนึงที่เข้ามาจัดการLog ไม่ว่าจะเป็นการ จับดูความเคลื่อนไหวต่างๆ(Monitor) , วิเคาระห์Logs(Analysis) , การแปลภาษา แกะภาษาหรือทำการNormalization และการจัดเก็บข้อมูลLogs จนกระทั้งยังมีความสามารถใน Event Correlation , ทำการแจ้งเตือนพฤติกรรมที่ผิดปกติ และยังสามารถช่วยสร้างReportได้ ซึ้ง
ความสามารถที่มีทั้งหมดนั้น ล้วนเกิดมาจาก Software หยิบข้อมูลLogs ที่ Softwareได้ช่วยจัดการไว้ นำมา Analysis
สิ่งที่จำเป็นต้องมี ต้องมีการจัดการ log ไว้ในส่วนกลางหรือทำCentralized Logging Server โดยต้องมีอย่างน้อย หนึ่งเชิฟเวอร์หรือมากกว่านั้น ต่อมาต้องเช็ตค่าอุปกรณ์ต่างๆในเครือข่าย ให้มีการส่งlog data เข้าสู่ส่วนกลาง เพื่อให้เชิฟเวอร์logsใช้งานได้ตรงตามจุดประสงค์