ログを安全に保つ方法は?
ログファイル(またはログデータ)に、削除、操作、または「ログインジェクション」の防止を防ぐ必要のある機密情報が含まれている場合、どのような安全対策がベストプラクティスと見なされますか?
法廷で証拠として使用された場合、ログが本物で信頼できることを証明する必要がありますか?
強化されたサーバーにログを一元化すると、必要なものが提供される場合があります。さらに良いことに、強化されたサーバー上のデータベースへのログインをキャプチャできる場合は、あらゆる種類の可能性が開かれます。
私はこれについてあなたにバグを報告するのは嫌いですが、あなたはどのような種類のロギングについて話しているのですか? NTイベントログ? Unix(y)Syslog(および友達)?ミニコンピューターからのロギング?もう少し情報があなたが探しているもののための既知の解決策にあなたを導くかもしれません...
2009-05-18再編集:
すべてのデータをsyslogスタイルのエントリとして表示できる場合は、これで問題ありません。
Unix(y)スタイルのマシンの場合、ボックスに含まれているsyslog機能を使用します。中央ログサーバーに記録されたすべてのデータを出荷する必要がありますが、ログをローカルに記録するためのストック設定も残しておきます。 (これについては後で詳しく説明します)
「真のsyslog」出力を生成しないUnixスタイルのサービスの場合、通常、データを有用なものに再生成できるリパーサーがあります。主な例: Apache および squid には、ほとんどのインストールでsyslog用にフォーマットされていないログ形式があります。そのデータを30分ベースで(またはあなたに合ったものなら何でも)再生成します。次に、中央ログサーバーが不足し、ダイジェスト用にデータを取得します。
Windowsスタイルのマシンの場合は、 NTSyslog を使用します。これは、イベントログエントリをネットワークsyslogサーバーにシャントする無料のサービスです。 簡単なハウツーが利用可能です セットアップについて説明します。
すべてのマシンが「ロギング」したら、中央ロギングサーバーを指定する必要があります。 Splunk Webサイトにアクセスして、少し読んでください。準備ができたら、 中央のログサーバーにダウンロード 、このマシンにインストールします。無料版は、日あたり最大500Mバイトを処理します。これは、対処するログの量が非常に多い場合を除いて、十分すぎるはずです。 splunkサービスは、すべてのsyslog入力を受け入れ、それを分類して、ローカルデータベースに保存します。 Webページから、フィルタリング、選択、時間によるイベントの表示などを行うことができます。システム全体の合成画像を表示するのに非常に便利です。また、フラットファイルなど、さまざまなデータ「ソース」に接続できます。つまり、Apacheとsquidのログをsplunkでエントリに変換できます(必要な各マシンに接続している場合)。
この設定の便利な副作用は、すべてのローカルログデータがまだそこにあることです。何も失われないため、中央のログサーバーがダウンしても、ログは他の場所で有効です。また、マシンが失われた場合(hddの爆発、セキュリティ違反など)、中央サーバー上のデータの履歴が残っています。
すべてのマシンがsyslogになり、サービスがSplunkになったら、すべてのsyslogマシンをSplunkサーバーに向けます。
監査の観点からは、他のシステムの管理者が管理者権限を持たない、ある種の集中型システムが必要です。ログを自動的に取得して中央システムにエクスポートするソリューションはたくさんあります。基本的に、ログ管理またはセキュリティ情報管理(SIM)製品と呼ばれるものを探しています。どちらかについては、予算、社内の現在のソリューションなど、多くの要因によって異なります。
フォレンジックの観点から見ると、最大のことは、証拠が改ざんされていないことを立証するために、一連の管理を示すことができることです。これは単なるツールを超えています。これは、セキュリティイベントが発生したとき、および調査が進行してインシデントが発生したことを確認し、証拠の収集と損傷の評価に移行するときに証拠を処理するために使用される手順でもあります。そのようなことについては、適切な [〜#〜] sans [〜#〜] インシデント処理とフォレンジックトレーニングを行っている人々がいることを確認することをお勧めします。