Jak ogarnąć logi?

Które zdarzenia są istotne?

Zdarzenia krytyczne to te, które powinny wyzwolić alarm i natychmiastową reakcję administratora. Jeśli nasz system zasypuje nas zdarzeniami tego typu, to pominąwszy ekstremalne przypadki, prawdopodobnie jest on zbyt wrażliwy.

Jak ogarnąć logi?

Event Log Explorer to raczej wygodna przeglądarka logów niż narzędzie samodzielnie analizujące je

Jako krytyczne powinno zostać określone zdarzenie wskazujące na złośliwą aktywność. Jeżeli nie używamy predefiniowanych kont, takich jak administrator, root itp.(co jest notabene dobrą praktyką), pojedynczy wpis o wykorzystaniu takiego loginu jest dobrym przykładem zdarzenia wymagającego natychmiastowej reakcji.

Ważne jest, aby nie traktować wszystkich pojawiających zwykle wpisów jako szumu. Dobrym przykładem są zapisy prób logowania użytkowników. Zrozumiałe jest, że pojawiać się będą zarówno rekordy udanych, jak i nieudanych prób. Dopiero ich znaczny wzrost może wskazywać na działanie złośliwego oprogramowania. Dobrze, jeżeli dla każdego wpisu określony jest średnioterminowy (kilka tygodni) poziom odniesienia. Jego przekroczenie może wskazywać na anomalię.

Narzędzia małe i duże

Logparser to całkowicie bezpłatne narzędzie ze stajni Microsoftu. Po zainstalowaniu uruchamiamy program z wiersza poleceń. Logparser pozwoli na wydobycie dzienników zdarzeń, logów IIS, Active Directory czy rejestru. Składnia przypomina zapytania SQL (na przykład polecenie Logparser -i:EVT -o:NAT "SELECT * FROM System" wypisze na konsoli wszystkie zdarzenia z dziennika SYSTEM). Wprawny administrator może za pomocą tego narzędzia napisać skrypt filtrujący najistotniejsze wpisy w logach kilku serwerów i umieścić je w bazie danych bądź wyeksportować do pliku htm, bądź CSV i np. używając jakiegoś silnika SMTP, rozesłać pocztą elektroniczną. Nie da się ukryć, że korzystanie z Logparsera wymaga pewnego zacięcia programistycznego i zdecydowanie brakuje tu możliwości graficznej prezentacji wyników czy analizy w trybie rzeczywistym.

Logparser Lizard jest graficzną nakładką na wyżej omawiany program. Pozwala ona na prezentację wyników działania Logparsera w postaci wykresów, a także na "wyklikanie" (zamiast ręcznego wpisywania) kilku podstawowych zapytań SQL. Zarówno Logparser, jak i Logparser Lizard mogą być przydatne do importowania czy wstępnego filtrowania logów generowanych w systemach Windows, trudno jednak nazwać je łatwymi i przyjaznymi.

Logparser jest bardziej narzędziem niż gotowym rozwiązaniem dla tych, którzy sami są w stanie zbudować system analizy logów.

Jak ogarnąć logi?

Oprócz monitorowania dostępności usług sieciowych program Zenoss Core potrafi także śledzić dzienniki zdarzeń

Kolejnym programem, który może nieco ułatwić inspekcję logów, jest Event Log Explorer. Jest to dość wygodna przeglądarka zdarzeń (znacznie lepsza niż ta wbudowana w Windows), brakuje w niej jednak możliwości automatycznej analizy czy powiadomień o wpisach wymagających natychmiastowej reakcji. Wersja bezpłatna pozwala na śledzenie wpisów dziennika trzech komputerów (pracujących pod systemem Windows). Na pochwałę zasługują sposób zakładania filtrów oraz wbudowana możliwość wyszukiwania zdarzeń w bazach wiedzy Microsoftu i serwisie EventID.net. Narzędzie wydaje się wygodną alternatywą dla zintegrowanej z systemem Windows przeglądarki zdarzeń, ale jeśli myślimy o automatyzacji analizy logów, to narzędzie to raczej nie jest tym, którego szukamy.


TOP 200