Все, что необходимо знать о данных журналов

Введение в данные журналов

Данные журнала - это записи всех событий, происходящих в системе, в приложении или на сетевом устройстве. Если ведение журнала включено, система автоматически генерирует журналы и добавляет в них метку времени. Данные журнала предоставляют подробную информацию, например, кто принимал участие в событии, когда оно произошло, где и как. Таким образом, он служит важнейшим доказательством для устранения неполадок в работе и обнаружения угроз безопасности.

Типы данных журналов

Каждый компонент сети генерирует журналы в разных форматах. Вот несколько типов данных журналов, которые имеют решающее значение для безопасности и работы ИТ.

Журналы устройств периметра сети

Устройства периметра сети используются для наблюдения за сетевым трафиком и его регулирования. Несколько примеров устройств периметра сети - VPN, межсетевые экраны и системы обнаружения вторжений. Журналы устройств периметра сети содержат информацию об используемых протоколах, IP-адресах и номерах портов источников и пунктов назначения. Эти журналы содержат значительный объем данных и играют решающую роль в обнаружении сетевых вторжений и других событий безопасности.

2022-05-05 11:15:26 ALLOW TCP 10.40.4.182 10.40.1.11 63064 135 0 - - SEND

В приведенной выше записи журнала за меткой времени события следует действие. В этом случае показаны день и час, когда межсетевой экран разрешил трафик.

Журналы событий Windows

Журналы событий Windows содержат записи всех действий, происходящих в системе Windows. Любое событие, происходящее на компьютерах Windows, например вход пользователя в систему, запуск нового процесса или изменение разрешений, регистрируется в системе и может быть просмотрено с помощью встроенного инструмента просмотра событий. Отслеживая эти журналы, вы можете обнаружить атаки на ранних этапах и получить более полное представление о функционировании критически важных ресурсов. Журналы событий Windows классифицируются по различным типам, а именно:

• Журналы приложений: генерируются приложениями в операционной системе Windows для регистрации таких событий, как ошибки, вызывающие закрытие приложения.
• Журналы безопасности: в них регистрируют события, которые могут повлиять на безопасность системы, например, многократные попытки входа в систему или неудачная аутентификация.
• Журналы системы: генерируются операционной системой для регистрации таких событий, как успешная загрузка процессов и драйверов.
• Журналы службы каталогов: генерируются службой Active Directory для регистрации таких событий, как проверка подлинности привилегий.
• Журналы DNS-серверов: доступны только для DNS-серверов и содержат IP-адреса клиентов, запрошенные домены и запрошенные записи.
• Журналы службы репликации файлов: доступны только для контроллеров домена и содержат события репликации контроллера домена.

Warning 5/11/2022 1:12:07 PM WLAN-AutoConfig 4003 None

Приведенный выше пример взят из службы WLAN AutoConfig, которая представляет собой приложение для управления подключениями, позволяющее пользователям динамически подключаться к WLAN. В первом разделе журнала указывается уровень серьезности, за которым следуют дата и время события.

Журналы конечных точек

Конечные точки - это устройства или узлы, соединенные друг с другом через сеть. Несколько примеров таких устройств - принтеры, настольные компьютеры и ноутбуки. Мониторинг журналов конечных точек позволяет предотвратить попытки кражи данных, компрометации системы, мошенничества с использованием личных данных, заражения вредоносным ПО и многое другое. Журналы конечных точек также помогают администраторам безопасности и системным администраторам обнаруживать нарушения политики.

Error 6/20/2019 5:00:45 PM Terminal Services- Printers 1111 None

Источник ошибки и идентификатор события (1111) указывают на то, что произошла ошибка в драйвере Terminal Services Easy Print. Если у пользователя возникают проблемы с печатью файла, можно проанализировать журналы, чтобы определить точную причину проблемы и способы ее устранения.

Журналы приложений

Эти журналы генерируются критически важными для бизнеса приложениями, такими как серверы баз данных SQL, серверы баз данных Oracle, приложения DHCP, приложения SaaS, такие как Salesforce, приложения веб-сервера IIS и приложения веб-сервера Apache. Журналы приложений содержат информацию о текущих действиях внутри приложения. В них фиксируются все: от ошибок до информационных событий. Мониторинг журналов приложений помогает обнаруживать и устранять неполадки в работе приложений.

02-AUG-2013 17:38:48 * (CONNECT_DATA=(SERVICE_NAME=dev12c)
(CID=(PROGRAM=sqlplus)(HOST=oralinux1)(USER=oracle))) *
(ADDRESS=(PROTOCOL=tcp)(HOST=192.168.2.121)(PORT=21165))
* establish * dev12c * 0

В приведенном выше журнале регистрируются время и дата, когда сервер базы данных получил запрос. Он также содержит информацию о пользователе и хост-компьютере, с которого пришел запрос, а также IP-адрес и номер порта.

Журналы прокси-серверов

Они генерируются сетевыми прокси-серверами. Прокси-серверы отвечают за управление доступом к сети и обеспечение конфиденциальности. Отслеживая журналы прокси-серверов, можно обнаружить любую подозрительную активность, поскольку эти журналы содержат важные данные, такие как статистика использования.

4/8/2020 2:20:55 PM User-001 192.168.10.10 GET https://encyclopedia.com/

В примере выше указано, что в указанную дату и время пользователь User-001 запросил страницы с сайта encyclopedia.com.

Журналы устройств Интернета вещей (IoT)

Интернет вещей (IoT) - это большая сеть подключенных устройств, которые собирают данные и обмениваются ими. Журналы IoT генерируются устройствами, образующими систему IoT.

Зачем нужно включать ведение журналов?

Каждый день ИТ-система генерирует тысячи записей в журнале. Целью ведения журнала является постоянный учет всех событий, происходящих в системе. Причины, по которым ИТ-администраторы должны включить ведение журналов:

• Файлы журналов можно использовать для просмотра любых событий, происходящих в системе, включая сбои, а также для записи запросов, например SIP-запросов.
• Это позволяет пользователям увидеть, где были допущены ошибки, что, в свою очередь, помогает им лучше понять продукт или программное обеспечение.
• Ведение журналов предоставляет подробную информацию о действиях пользователей, например, что они делали, когда и как, что упрощает обнаружение угроз безопасности.
• Это позволяет обнаруживать проблемы, которые могут возникнуть в процессе настройки продукта или программного обеспечения.
• Это помогает устранять неполадки, регистрируя проблемы с производительностью и безопасностью приложений, что упрощает их обнаружение и устранение.

Не останавливайтесь только на ведении журналов— начните их мониторинг.

Для управления сетью недостаточно просто включить ведение журналов. Чтобы обеспечить бесперебойную работу и безопасность сети, ИТ-администраторы должны следить за этими журналами. Мониторинг журналов начинается со сбора всех журналов, которые генерируются в сети, и сохранения их на центральном сервере. Затем администраторы анализируют эти журналы на предмет наличия конкретной информации. Зачастую для соблюдения требований организации должны хранить журналы определенной критической инфраструктуры в течение определенного периода времени.

Технические специалисты могут быстро разобраться в проблемах, связанных с приложением, с помощью инструментов управления журналами. Например, с помощью данных журналов они могут определить области, где страдает производительность. Однако управление журналами - непростая задача. Вот тут-то и вступает в дело EventLog Analyzer. EventLog Analyzer - мощный инструмент, обеспечивающий комплексное управление журналами. Благодаря ряду важных функций, таких как аудит приложений, аналитика безопасности и управление журналами, это решение является ключом к решению всех ваших задач по управлению журналами.

Попробуйте бесплатную 30-дневную пробную версию EventLog Analyzer, чтобы ознакомиться со всеми его функциями на практике.

Что дальше?