Przechowywanie i analizowanie logów, czyli rejestru (dziennika) zdarzeń zachodzących w infrastrukturze IT, jest istotnym elementem pracy każdego administratora. Taką konieczność narzucają chociażby regulacje prawne, wskazujące na ustawowy czas przechowywania określonych dzienników (na przykład Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 18 stycznia 2007 r. w sprawie Biuletynu Informacji Publicznej, DzU 2007 nr 10, poz. 68, art. 16, par. 1, 2, 3). Ponadto przeglądanie logów pozwala doszukać się różnego rodzaju nietypowych sytuacji, naruszeń bezpieczeństwa, prób ataków itp. Jak przeprowadzać ten proces, na co zwrócić szczególną uwagę, aby nie pominąć czegoś ważnego w tysiącach linijek raportu?

Z pomocą informatykowi

Problematyką zarządzania i analizowania logów zajmują się komercyjne rozwiązania typu SIEM (Security Information and Event Management). Aplikacje tej klasy, poza długoterminowym przechowywaniem dzienników zdarzeń, umożliwiają proste i szybkie przeglądanie bieżących logów. Jest to szczególnie przydatne w przypadku heterogenicznego środowiska, gdy przeglądamy logi z różnych urządzeń i systemów operacyjnych. Zazwyczaj mamy do czynienia z zapisami w różnych formatach. Dzięki SIEM możemy obejrzeć te same logi w ujednoliconej postaci.

Inną wartościową cechą tego typu systemów jest zintegrowany podpis cyfrowy, potwierdzający autentyczność danych. Dzięki tej funkcji informacje zapisane w logach mogą być użyte np. w postępowaniu przed sądem. Zdarzenia przechowywane są - w zależności od producenta - w bazach danych lub w skompresowanych plikach, zapewniając tym samym większą skalowalność rozwiązania oraz możliwość przetrzymywania większej liczby logów.

[...]

Autor jest inżynierem systemowym w firmie Symantec Polska odpowiedzialnym za produkty do ochrony stacji końcowych.