Tầm quan trọng File Log trong An ninh mạng

Log (nhật ký), về bản chất, là các tệp ghi lại các sự kiện cụ thể, thời gian xảy ra, vị trí xảy ra và các thông tin khác liên quan đến sự cố, tùy thuộc vào các tham số được cấu hình. Đây là những điều rất quan trọng khi nói đến bảo mật và khắc phục sự cố – cho dù chúng ta xem nhật ký để xác định nguyên nhân gốc rễ của sự cố hay xem các quy trình có hoạt động bình thường hay không, nhật ký thông báo cho chúng tôi về các sự kiện xảy ra trong hệ thống và có vai trò quan trọng trong việc cung cấp thông tin cho chúng ta.

Logs nằm trong /var/log/syslog

Định dạng Log

Nhật ký có thể có nhiều định dạng khác nhau. Nếu nhật ký của bạn đến từ Windows Event Viewer, bạn có thể sử dụng các phần mở rộng .csv, .XML, .evtx và .txt khi lưu chúng.

Mặt khác, nếu bạn đang sử dụng hệ thống Linux, nhật ký thường sẽ có phần mở rộng .log.

Mình có thể tìm nhật ký ở đâu?

Trong môi trường Windows, nhật ký sự kiện thường sẽ được lưu trữ trong thư mục C:\Windows\system32\config. Lưu ý rằng để sửa đổi, xem hoặc chỉnh sửa các tệp nhật ký, bạn sẽ cần các đặc quyền nâng cao.

Đối với Access Log trong IIS, mặc định bạn có thể tìm thấy ở đường dẫn: %SystemDrive%\inetpub\logs\LogFiles

 

Trong môi trường Linux, nhật ký thường sẽ được lưu trữ trong đường dẫn /var/log. Tuỳ thuộc vào tệp nhật ký, bạn sẽ cần các quyền thích hợp để đọc hoặc sửa đổi nó.

Đối với Access Log trong Apache, Nginx hoặc các Webserver khác bạn có thể tìm thấy trong trong config của dịch vụ.

Khi nào thì ghi log

Trong môi trường doanh nghiệp, hầu hết tất cả các thiết bị trong mạng đều có thể được ghi lại. Từ máy trạm, điểm cuối, router, switch, tường lửa và proxy cho đến IoT, ghi nhật ký có thể là một công cụ rất hiệu quả để hiểu chính xác những gì đang xảy ra trong các hệ thống này. Tuy nhiên, điều quan trọng là phải ghi nhật ký chất lượng.

Ghi nhật ký các sự kiện không liên quan đến mục tiêu của bạn có thể gây ra nhiễu thông tin, điều này thường có nhiều bất lợi hơn là có lợi. Bạn chắc chắn không muốn xem qua nhiều tệp thông tin không liên quan chỉ để tìm một cái gì đó hữu ích cho bạn. Nó cũng rất tốn dung lượng lưu trữ.

Mục tiêu phải luôn là ghi lại các sự kiện quan trọng cho biết liệu các quy trình có hoạt động như dự kiến ​​hay không, lưu lượng truy cập bất thường,…

Dung lượng ổ đĩa được sử dụng khi ghi Log là bao nhiêu?

Tùy thuộc vào tổ chức và các thiết bị được sử dụng, số lượng EPS (Sự kiện trên giây) có thể khác nhau. Ví dụ: trung bình, một Máy trạm Windows có thể có EPS là 1,0, biểu thị một sự kiện mỗi giây, trong khi tường lửa có thể có EPS 10,0–50,0, biểu thị 10–50 sự kiện mỗi giây.

Tuy nhiên, bạn còn cần phải xem xét thời gian lưu lượng truy cập cao điểm nữa, vì nó thường là những thời điểm có nhiều điều bất thường xảy ra. Để tính xem cần bao nhiêu không gian để sử dụng vào một ngày nhất định, bạn có thể sử dụng các phương trình sau:

EPS (trên mỗi thiết bị) * 86.400 (số giây trong ngày) * 600 (kích thước của một sự kiện thô trung bình, tính bằng byte) = kích thước của tệp nhật ký không nén tính bằng byte trong một ngày nhất định và một thiết bị duy nhất xem xét các sự kiện đó được lưu trữ ở dạng thô.

EPS (trên mỗi thiết bị) * 86.400 (số giây trong ngày) * 1500 (kích thước của một sự kiện đơn lẻ được chuẩn hóa trung bình, tính bằng byte) = kích thước của tệp nhật ký không nén tính bằng byte cho một ngày nhất định và cho một thiết bị duy nhất xem xét các sự kiện đó được lưu trữ ở dạng chuẩn hóa của nó.

Vậy sự khác biệt giữa sự kiện thô và sự kiện chuẩn hóa là gì?

Về bản chất, một sự kiện chuẩn hóa là một phiên bản sửa đổi của sự kiện thô. Nội dung của sự kiện thô được sắp xếp lại và thông tin bổ sung được thêm vào để sự kiện trở nên dễ đọc và dễ hiểu hơn cho quản trị viên bảo mật. Đây là một bước rất quan trọng để đảm bảo rằng các bản ghi đang cung cấp thông tin cần thiết để bảo mật hệ thống đúng cách. Tuy nhiên, các sự kiện chuẩn hóa nặng hơn so với các sự kiện thô.

Nén

Lưu trữ các tệp nhật ký này ở dạng không nén có thể tốn rất nhiều dung lượng lưu trữ. Do đó, chúng ta phải sử dụng tính năng nén để giảm dung lượng lưu trữ. Tỷ lệ 8:1 có thể là một điểm khởi đầu tốt, nhưng điều quan trọng là phải tính đến các biến số như tác động lên hệ thống SIEM, lượng dữ liệu chuẩn hóa so với dữ liệu thô,…

Kích thước thư mục đã nén
Kích thước thư mục chưa nén

Kết luận

Log là một yếu tố quan trọng của An ninh mạng. Khi được thực thi đúng cách, ghi nhật ký có thể cung cấp cho chúng ta cái nhìn rõ ràng về những gì đang xảy ra hoặc đã xảy ra trong hệ thống của chúng ta, cho phép chúng ta chứng thực các sự kiện với độ chính xác cao hơn và thực hiện các điều chỉnh khi cần thiết.

Hiểu được vị trí và nội dung cần ghi là rất quan trọng nếu chúng ta muốn trích xuất dữ liệu giá trị từ quá trình này. Ghi nhật ký có thể tốn kém dung lượng lưu trữ, vì vậy điều quan trọng là phải xem xét các yếu tố khác nhau (EPS, NE (Sự kiện bình thường), PE (Sự kiện cao điểm), sự kiện chuẩn hóa và thô, tốc độ nén, số lượng thiết bị, dung lượng trống tiềm năng,…) khi phân bổ tài nguyên không gian lưu trữ để ghi các tệp.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *