Systemlog og Windows hændelseslog

Hvorfor logstyring?

Logstyring - Forudsætning for at sikre netværkssikkerhed

Logfiler giver dig førstehåndsoplysninger om dine netværksaktiviteter. Logstyring sikrer, at netværksaktivitetsdataene, der er gemt i logfilerne, konverteres til meningsfulde, brugbare sikkerhedsoplysninger. Logstyring er en forudsætning for at netværksadministrator kan holde netværket sikret.

Logstyring består af indsamling, sikker opbevaring, normalisering, analyser af logfiler, og dannelse af rapporter og alarmer.

Indsamling af logfiler

  • Indsamling af logfiler må ikke være intrusiv.
  • Logfiler skal indsamles fra forskellige sæt enheder, servere og programmer, der er tilgængelige i netværket.
  • Indsamling af logfiler skal helst være uden en agent. I nogle netværksmiljøer skal indsamling af logfiler ved brug af agent være et muligt valg.

Sikker opbevaring

  • Logdataene skal opbevares i arkivet til kriminalteknisk analyse og til at opfylde lovgivningsmæssige krav.
  • Opbevaring af logdata skal sikres ved f.eks. kryptering
  • Opbevaringen bør også være sikret mod manipulering
  • Opbevaringsvarighed bør være fleksibel (helst brugerkonfigurerbar)
  • Opbevaringsstedet og -mediet bør også være fleksible (skrivebeskyttede medier, masselagringssystem osv.)

Normalisering af logfiler

Loggene fra heterogene kilder skal normaliseres for at have et fælles format. Dette er nødvendigt for at analysere og korrelere.

Analyse af logfiler

Loggene skal analyseres for at få et komplet billede af hændelser, der har virkning på netværkssikkerhed

Generering af rapport og alarm

Logfilerne analyseres til at generere rapporter og alarmer

  • Der bør være definerede, tilpassede, brugerdefinerede og planlagte rapporter i forskellige formater, der kan distribueres.
  • Alarmer skal sendes i realtid. Der bør være flere anmeldelsesmekanismer, og der bør endda køres et andet program, der kan gennemføre afhjælpende foranstaltninger