Zarządzanie logami może być łatwe
-
- NetWorld OnLine,
-
- IDG News Service,
- 12.06.2012, godz. 08:45
Wydaje się, że zbieranie dzienników zdarzeń i zarządzanie nimi to prosta sprawa. Jednak dość łatwo jest wyprodukować system, który będzie zalewał zdarzeniami i dość szybko, podobnie jak każdy zbyt często niepotrzebnie ostrzegający system monitoringu, stanie się bezużyteczny.
![Zarządzanie logami może być łatwe](/g1/news/thumbnails/2/5/250631_250631_jpg_80_resize_620x104.webp)
![Zarządzanie logami może być łatwe Zarządzanie logami może być łatwe](/g1/news/thumbnails/2/5/250631_250631_jpg_95_adaptiveresize_620x266.webp)
Administratorzy często rozpoczynają zarządzanie logami od wytypowania wszystkich zdarzeń, które ich zdaniem mogą się przydać, określając następnie, które z nich powinny wyzwalać alerty wymagające interwencji. Ogromne ilości danych lądują w centralnym systemie zarządzania zdarzeniami i ... na ogół rzadko ktoś tam zagląda (jeśli w ogóle). Mało kto reaguje też na zbyt częste i niepotrzebne generowane przez system alerty.
Polecamy Bezpieczne biurko
Nadmiar informacji podobny do tego, jakim zasypuje nas przeciętny firewall, zniechęca do zagłębiania się w taki zbiór danych. Mało kto wczytuje się w logi zapory ogniowej - przecież prawie w całości składają się na nie wpisy niewymagające podjęcia żadnej akcji. Logi rejestrują przede wszystkim nieszkodliwy ruch, taki jak np. rozgłoszenia sieci. Znajdują się w nich też pakiety świadczące o skanowaniu portów, ale śledzenie takich przypadków pochłonęłoby zbyt wiele zasobów, by było warte zachodu. Logi mogą jednak zawierać wpisy o krytycznym znaczeniu, które giną w morzu tych mało istotnych. Jeśli nie zaglądamy do logów, bądź nie tworzymy na ich bazie zdarzeń wymagających interwencji, po co w ogóle je gromadzić?
Sposób na logi
Zajmujący się profesjonalnie bezpieczeństwem Roger Grimes radzi byśmy spróbowali pokusić się o system, który będzie zbierał tylko to, co naprawdę istotne. Zacznijmy od gromadzenia tylko tych zdarzeń, które wymagają interwencji administratora. Jeśli reakcja specjalisty na jakieś zdarzenie nie będzie potrzebna, nie generujmy go. W ten sposób pozbędziemy się szumu.
Polecamy Jak ogarnąć logi?
Kluczem do sukcesu jest wytypowanie tych zdarzeń, co do których jesteśmy pewni, że są anomaliami.