معرفی انواع تکنیک ها و تکنولوژی های لاگ برداری (Logging Types)

معرفی انواع تکنیک ها و تکنولوژی های لاگ برداری (Logging Types)

امروزه با رشد روز افزون اطلاعات و نیاز افراد به جمع آوری و طبقه بندی آنها تهدیداتی که متوجه سیستم های اطلاعاتی به منظور تخریب آنها هستند با رشد روز افزونی مواجه هستند.امروزه در سیستم های مدرن محاسباتی و کامپیوتری قابل اطمینان ترین راه آگاه شدن از تهدیدات جستجو و مطالعه در فعالیت های کل سیستم هم در سطح میزبان و سرور و هم در سطح شبکه و تطبیق و پیدا کردن ارتباط منطقی فی مابین آنها می باشد .

چرا که در بیشتر مواقع کاربر نهایی سیستم اطلاعاتی در خصوص نرم افزار های مخرب و یا تهدیدات بلقوه و یا بلفعل ندارد لذا نمیتوان تنها به گزارشانی که از طرف کاربر نهایی مورد بازبینی قرار می گیرنر اکتفا نمود.کم و بیش تمامی سیستم ها و برنامه های کاربردی امروزی توانایی ایجاد و جمع آوری Log از فعالیت ها ی خود را دارند . و میزان این Log های تولید شده در سیستم ها و برنامه های کاربردی بقدری زیاد است که عملا بعنوان معضلی برای Admin ها مطرح بوده و در توانایی بازبینی کلیه این داده ها بصورت روزانه برای Admin های شبکه وجود ندارد و در واقع این معضل کارایی سیستم های Alerting را به شدت کاهش می دهد.

برای مثال یک IIS ساده از یک سرور Exchange Microsoft که برنامه Outlook web Access را اجرامی نماید در حالی که تمامی تنظیمات در حالت Defualt باشد برای یک سازمان متوسط با 600 کاربر در یک هفته بصورت متوسط روزانه 126 مگابایت نزدیک به 607185 خط داده تولید می نماید که بدون داشتن ابزاری که بصورت اتوماتیک این داده ها را پردازش کند در صورتی که Admin در هر ثانیه یک خط از این اطلاعات را مرور کند نزدیک به 7 روز طول خواهد کشیدو در واقع در صورتی که تصور کنیم این توانایی برای Admin شبکه وجود دارد که این میزان از داده را مرور نماید این امکان که در زمان مناسب به تهدیدات پاسخ مناسبی داده شود وجود نخواهد داشت.فعالیتی که بر اساس آن اطلاعات شبکه و سیستم ها جمع آوری و پردازش می گردند در متون و منابع مختلف نامهای متفاوتی از جمله موارد ذیل دارند:

Security Information and Event Management (SIEM)
Security Event Management (SEM)
Security Information Management (SIM)
System and network monitoring

شکل صفحه بعد فرآیند تولید ، جمع آوری و برقرای ارتباط و در نهایت پاسخ گویی به log تولید شده در یک سیستم را نشان می دهد :

همانطور که در شکل با مشخص است 6 مرحله از شروع درخواست کاربر تا پاسخ گویی Admin شامل موارد ذیل وجود دارد :

1. درخواست کاربر
2. پاسخ سیستم
3. ایجاد log
4. ارسال log برای سیستم مانیتورینگ
5. آنالیز کردن logfile و ایجاد هشدار
6. پاسخ Admin

در نهایت تکنولوژی هایی که بتواند به بهترین وجه این log فایل های تولید شده در سیستم را جمع آوری کند و پردازش نماید و ارتباط بین این اطلاعات را برقرار نموده و در نهایت به درستی ایجاد Alert نماید بعنوان تکنولوژی مناسب جهت استفاده بعنوان سیستم مانیتورینگ شناخته می شود .شکل زیر انواع log فایل های تولید شده در سیستم های مختلف را نشان می دهد :

از جمله تکنیک هایی که در جمع آوری log فایل ها استفاده می شود می توان به موارد ذیل آشاره نمود :

1. سیستم های صرفا مانیتورینگ و جمع کننده داده :
2. سیستم های مدیریت log که تنها اطلاعات را از سیستم های مختلف جمع آوری کرده و نگهداری می کنند که از جمله این موارد می توان به Log gathering system اشاره کرد.
3. سیستم های مانیتورینگ که log های جمع آوری شده را پردازش نموده و به صورت گرافیکی نمایش می دهند که از جمله این سیستم ها به نرم افزار سولار ویندز PRTG و whats up می توان اشاره کرد
4. سیستم های مانیتورینگ که علاوه بر جمع آوری اطلاعات و پردازش آنها ارتباط بین log دستگاه های مختلف را با هم برقرار می کنند.از جمله این سیستم های می توان به سیسکو مارس اشاره نمود.
5. سیستم های پاسخ سریع به Trap و Syslog
6. سیستم های جمع کننده log که بر اساس داده های دریافت شده تصمیم گیری و اقدام نیز می نمایند:

• سیستم های IDM
• سیستم های IPS

اگر می خواهید مفاهیم و مباحث بیشتری را در این زمینه یاد بگیرید به دوره آموزش هک و نفوذ در این لینک مراجعه کنید.