Alt, hvad du behøver at vide om logdata

En introduktion til logdata

Logdata er registreringer af alle de hændelser, der sker i et system, i et program eller på en netværksenhed. Når logføring er aktiveret, genereres logfiler automatisk af systemet og tidsstemples. Logdata giver detaljerede oplysninger, f.eks. hvem der var involveret i hændelsen, hvornår den fandt sted, hvor og hvordan. Derfor fungerer de som vigtig dokumentation ved fejlfinding af driftsproblemer og opdagelse af sikkerhedstrusler.

Typer af logdata

Hver netværkskomponent genererer logfiler i forskellige formater. Her er et par typer logdata, der er vigtige for IT-sikkerhed og ‑drift.

Logfiler fra perimeterenheder

Perimeterenheder bruges til at overvåge og regulere netværkstrafikken. Et par eksempler på perimeterenheder er VPN'er, firewalls og intrusion detection systems. Logfiler fra perimeterenheder indeholder oplysninger om de anvendte protokoller, IP-adresser og portnumre for kilder og destinationer. Disse logdata indeholder en enorm mængde data og spiller en vigtig rolle i opdagelsen af netværksindbrud og andre sikkerhedshændelser.

2022-05-05 11:15:26 ALLOW TCP 10.40.4.182 10.40.1.11 63064 135 0 - - SEND

I logposten ovenfor står tidsstemplet for hændelsen foran handlingen. I dette tilfælde viser den dato og tidspunkt for, hvornår firewallen tillod trafik.

Windows' hændelseslogfiler

Windows' hændelseslogfiler indeholder registreringer af alle de aktiviteter, der sker i et Windows-system. Enhver hændelse på Windows-maskiner, f.eks. et brugerlogin, en ny proces, der starter, eller en ændring af en tilladelse, logføres i systemet og kan ses med det indbyggede værktøj Logbog. Ved at overvåge disse logfiler kan du opdage angreb i de tidlige stadier og få bedre indsigt i, hvordan kritiske ressourcer fungerer. Windows' hændelseslogfiler klassificeres i forskellige typer, nemlig:

• Programlogfiler: Disse genereres af programmerne i Windows-operativsystemet for at registrere hændelser som fejl, der tvinger et program til at lukke.
• Sikkerhedslogfiler: Sikkerhedslogfiler registrerer hændelser, der kan påvirke systemets sikkerhed, f.eks. flere loginforsøg eller mislykket godkendelse.
• Systemlogfiler: Disse genereres af operativsystemet for at registrere hændelser som korrekt indlæsning af processer og drivere.
• Logfiler fra katalogtjenester: Disse genereres af Active Directory for at registrere hændelser som godkendelse af rettigheder.
• DNS-serverlogfiler: Disse logfiler er kun tilgængelige for DNS-servere og indeholder klientens IP-adresser, de forespurgte domæner og de poster, der blev anmodet om.
• Logfiler fra filreplikeringstjeneste: Disse logfiler er kun tilgængelige for domænecontrollere og indeholder hændelser relateret til replikering af domænecontrollere.

Warning 5/11/2022 1:12:07 PM WLAN-AutoConfig 4003 None

Ovenstående eksempel er fra WLAN AutoConfig-tjenesten, som er et program til forbindelsesstyring, der giver brugerne mulighed for dynamisk at oprette forbindelse til et WLAN. Den første del af loggen angiver alvorsgraden og efterfølges af dato og klokkeslæt for hændelsen.

Slutpunktslogfiler

Slutpunkter er enheder eller nodes, der er forbundet med hinanden på tværs af et netværk. Et par eksempler på disse enheder er printere og stationære eller bærbare computere. Ved at overvåge slutpunktslogfiler kan du forhindre forsøg på dataudtrækning, systemkompromittering, identitetssvindel, malwareinfektioner og meget mere. Slutpunktslogfiler hjælper også sikkerheds- og systemadministratorer med at opdage politikbrud.

Error 6/20/2019 5:00:45 PM Terminal Services- Printers 1111 None

Fejlkilden og hændelses-ID'et (1111) angiver, at der er opstået en fejl med Terminal Services Easy Print-driveren. Når en bruger har problemer med at udskrive en fil, kan logfilerne analyseres for at finde den nøjagtige årsag til problemet, og hvordan det kan løses.

Programlogfiler

Disse logfiler genereres af forretningskritiske programmer som SQL-databaseservere, Oracle-databaseservere, DHCP-programmer, SaaS-programmer som Salesforce, IIS-webserverprogrammer og Apache-webserverprogrammer. Programlogfiler indeholder oplysninger om de igangværende aktiviteter i et program. De registrerer alt fra fejl til informative hændelser. Overvågning af programlogfiler hjælper med at opdage og fejlfinde problemer med et program.

02-AUG-2013 17:38:48 * (CONNECT_DATA=(SERVICE_NAME=dev12c)
(CID=(PROGRAM=sqlplus)(HOST=oralinux1)(USER=oracle))) *
(ADDRESS=(PROTOCOL=tcp)(HOST=192.168.2.121)(PORT=21165))
* establish * dev12c * 0

Loggen ovenfor registrerer tidspunktet og datoen, hvor databaseserveren modtog anmodningen. Den indeholder også oplysninger om brugeren og den værtscomputer, som anmodningen kom fra, samt IP-adresse og portnummer.

Proxylogfiler

Disse genereres af netværksproxyer. De administrerer netværksadgang og beskytter privatlivets fred. Ved at overvåge proxylogfiler kan du opdage mistænkelig aktivitet, fordi disse logfiler indeholder vigtige data som forbrugsstatistik.

4/8/2020 2:20:55 PM User-001 192.168.10.10 GET https://encyclopedia.com/

Loggen ovenfor viser, at på den angivne dato og det angivne tidspunkt anmodede User-001 om sider fra encyclopedia.com.

IoT-logfiler

IoT er et stort netværk med forbundne enheder, der indsamler og udveksler data. IoT-logfiler genereres af de enheder, der udgør et IoT-system.

Hvorfor skulle du aktivere logføring?

Hver dag genererer et IT-system tusindvis af logposter. Formålet med logføring er at føre en løbende registrering af alle de hændelser, der sker i systemet. IT-administratorer bør aktivere logføring af følgende grunde:

• Logfiler kan bruges til at gennemgå alle hændelser, der opstår i systemet, herunder svigt, og de registrerer også anmodninger, f.eks. SIP-anmodninger.
• Det giver brugerne mulighed for at se, hvor der er begået fejl, hvilket hjælper dem med bedre at forstå software eller et produkt.
• Det giver dem detaljerede oplysninger om brugernes aktiviteter, f.eks. hvad de foretog sig, og hvornår og hvordan, hvilket gør det lettere at opdage sikkerhedstrusler.
• Det opdager problemer, der kan opstå under installation af software eller et produkt.
• Det hjælper dem med fejlfinding ved at registrere problemer med programperformance og ‑sikkerhed, hvilket gør det lettere at opdage og udbedre.

Nøjes ikke med bare at logføre – begynd at overvåge logfilerne

Det er ikke nok bare at aktivere logføring for at administrere dit netværk. For at opnå problemfri drift og netværkssikkerhed bør IT-administratorer overvåge disse logfiler. Logovervågning starter med at indsamle alle de logfiler, der genereres i et netværk, og gemme dem på en central server. Derefter analyserer administratorerne disse logfiler for specifikke oplysninger. Ofte skal organisationer opbevare logfiler fra visse kritiske infrastrukturer i en bestemt periode for at opfylde lovkrav.

Teknikere kan hurtigt finde frem til problemer med programmer ved hjælp af værktøjer til logadministration. For eksempel kan de identificere regioner med dårlig performance ved hjælp af logdata. Men administration af logfiler er ikke let. Det er her, EventLog Analyzer kommer ind i billedet. EventLog Analyzer er et kraftfuldt værktøj, der dækker logadministration fra ende til anden. Med flere bemærkelsesværdige funktioner som overvågning af programmer, sikkerhedsanalyse og logadministration er det løsningen til alle dine behov for logadministration.

Prøv den gratis 30-dages prøveversion af EventLog Analyzer for at se alle dens funktioner i aktion.

Hvad så nu?