در بسیاری از مواقع تنها راه آگاهی از مشکلات و تهدیدات امنیتی نظارت دائمی و بدون وقفه لاگهای سیستم عامل است.
مطالعات اخیر نشان داده است بیش از ۷۰% نفوذهای امنیتی به کمک یک عامل داخلی در سازمان صورت گرفته است، این در حالی است که به کارگیری فایروالها و سیستمهای تشخیص نفوذ، تنها به افزایش ضریب امنیت در خصوص حملات خارج از سازمان کمک میکند و تنها راه شناسایی تهدیدات داخلی سازمان، نظارت یکپارچه لاگهای سیستم عامل میباشد.
در شبکههای بزرگ امروزی با توجه به تعداد زیاد سرورها و نرمافزارهای کاربردی و حجم بسیار زیاد لاگ، نظارت روزانه همه لاگهای سرورها بدون به کارگیری ابزارهای پیشرفته مانیتورینگ لاگ امکانپذیر نیست.
لاگ سیستم عامل یا Event Logs چیست؟
لاگها (Event Logs) حاوی اطلاعات بسیار حساس و حیاتی از همه رویدادهای مربوط به برنامههای کاربردی، سرویسها و سیستم عامل میباشند.
از لاگها برای شناسایی خطاها، شناسایی تهدیدات امنیتی و آگاهی از تغییرات استفاده میشود. اطلاعات ثبت شده در لاگ به ما در عیب یابی خطاها کمک میکند.
در حقیقت بدون مطالعه لاگها امکان رفع بسیاری از خطاها وجود نخواهد داشت. لاگهای سیستم عامل ویندوز با فرمت باینری در فایلهایی با پسوند .Evt ذخیره میگردد.
علاوه بر اینها برنامههای کاربردی نیز میتوانند دارای لاگهای اختصاصی باشند.
لاگ سیستم (System Log) شامل اطلاعات مربوط به عملیات و سلامت سیستم است؛ مانند روشن و خاموش شدن سیستم، خطای مربوط به سخت افزارها، استارت و استاپ شدن سرویس ها و مواردی از این قبیل.
لاگ امنیت (Security Log) دارای اطلاعات مهمی در خصوص اتفاقاتی است که از نظر امنیتی حائز اهمیت میباشند، مانند تغییر تنظیمات پالیسیهای سیستم، تلاشهای موفق و ناموفق ورود به سیستم، تغییر فایلهای حساس و سایر موارد مشابه. لاگ امنیت سرورهای ویندوز دارای اطلاعات حساس و مهمی است، و نظارت یکپارچه و دائمی آن یکی از الزامات راهبران شبکه میباشد که منجر به شناسایی تهدیدات امنیتی میگردد.
لاگ برنامههای کاربردی (Application Log) شامل اطلاعات مهمی در مورد نحوه عملکرد برنامههای کاربردی میباشد. برنامههای کاربردی خطاهای خود را در این لاگ ثبت میکنند.