Rejestrowanie zdarzeń w sieci

Pytanie: Firmowa sieć rozrasta się, coraz trudniej zapanować nad bezpieczeństwem kilkunastu serwerów. Dodatkowym problemem jest różnorodność systemów operacyjnych w sieci. Jak zaimplementować centralny system rejestrowania zdarzeń w mojej sieci?

Pytanie: Firmowa sieć rozrasta się, coraz trudniej zapanować nad bezpieczeństwem kilkunastu serwerów. Dodatkowym problemem jest różnorodność systemów operacyjnych w sieci. Jak zaimplementować centralny system rejestrowania zdarzeń w mojej sieci?

Odpowiedź: Niezwykle istotną rzeczą jest przetrzymywanie kompletnych zapisów zdarzeń z każdego serwera w naszej sieci. Może się okazać, że w przyszłości będzie to nieoceniona i jedyna droga do wyjaśnienia niektórych zdarzeń bądź analizy systemu, który uległ awarii. Przy uaktualnianiu systemu na bieżąco i poprawnej, bezpiecznej konfiguracji dość ryzykowne jest przechowywanie zapisów wydarzeń tylko w miejscu ich powstawania. Zaleca się wyróżnienie dedykowanego serwera, na którym będzie archiwizowany dziennik zdarzeń z poszczególnych maszyn w sieci.

Zadziwiające jest to, że system Windows nie zapewnia narzędzia do scentralizowanego zapisu zdarzeń. Na rynku istnieją jednak komercyjne oraz darmowe rozwiązania. W przypadku systemów Unix opracowano system rejestrowania zdarzeń Syslog. To rozbudowane oprogramowanie, umożliwiające m.in. przesyłanie zapisu zdarzeń z dowolnego serwera w sieci do centralnego serwera Syslog. Protokół Syslog definiuje dokument RFC3164. Używa on protokołu UDP do transportu informacji, więc nie ma gwarancji, że wiadomość dotrze do centralnego serwera. Istnieje jednak rozszerzenie opisane w dokumencie RFC3195 gwarantujące pewność dostarczania przesyłek. Trudno uznać za niespodziankę fakt, że coraz więcej programów dla Windows poszerza funkcjonalność o możliwość współpracy z unixowym serwerem Syslog.

W tego typu rozwiązaniach koniecznym procesem jest synchronizacja czasu na centralnym systemie zapisu zdarzeń, z czasem na serwerach przesyłających zdarzenia. Jeżeli używamy systemu logowania na maszynie tworzącej zdarzenia, najczęściej wykorzystywany jest czas systemowy. Można jednak zauważyć, że czas ten na poszczególnych serwerach często jest różny. Rozwiązaniem jest użycie serwera czasu, który opiera się na rozwiązaniach Windows lub pracuje przy użyciu protokołu NTP


TOP 200