| Log | záznam o nějaké činnosti programu, aplikace nebo systému |
| Cíle logování | • záznamy o využití aplikace
• auditování operací a uživatelů
• vývoj (ladění) aplikace, analýza chyb
• obnova po pádu / chybě – transakční logy |
| Logování v unix | Syslog je standardní systémový logovací mechanismus v systému unix. System loggers
(syslog) má více významů:
• služba či proces na pozadí (daemon) pro příjem a zpracování záznamů (logů)
• protokol pro přenos záznamů po síti |
| Logování ve Windows | Eventlog pro windows jsou zvláštní soubory, do kterých se zaznamenávají významné události
v pc jako je přihlášení uživatele, nebo zjištění chyby v programu. Všechny tyto eventlogy lze
číst v systému windows pomocí prohlížeče událostí. |
| Event logs: | • strukturované logy
• prohlížení – event viewer
• filtrování přes XML
• lze posílat na jiný Windows server |
| Typy logů (souborů se záznamy): | • application – z aplikací
• security – autentizace, autorizace
• system – komponenty operačního systému
• custom logs – aplikace mohou vytvářet vlastní log soubory |
| Záznamy v logu: | • event ID – události mají přiřazené číslo typu události s popisem
• zdroj – proces či část OS
• úroveň, kategorie, klíčová slova
• čas události
• předmět |
| Správa logů (Log Management) | • získávání logů – nastavení logování v aplikacích
• centralizované logování
• dlouhodobé uchování a mazání
• prohledávání a analýzy logů, reportování, statistiky na základě logů |
| SIEM (Security Information and Event Management) | SIEM je management bezpečnostních informací a událostí. SIEM technologie v reálném čase
umožňuje analýzu bezpečnostních varování, které generují síťová zařízení a aplikace.
Schopnosti SEIM:
• Agregace dat – seskupení vybrané části určitých entit za účelem vytvoření nové entity
• Korelace – nalézání vzájemných vztahů událostí, např. monitorování činností
konkrétního uživatele
• Varování
• Informační panely, přehledové sestavy
• Reportování shod
• Zachování, ukládání historických dat |
