لاگ سیستم عامل (EVENT LOGS) چیست؟

در بسیاری از مواقع تنها راه آگاهی از مشکلات و تهدیدات امنیتی نظارت دائمی و بدون وقفه لاگ‌‌های سیستم عامل است.

مطالعات اخیر نشان داده است بیش از ۷۰% نفوذهای امنیتی به کمک یک عامل داخلی در سازمان صورت گرفته است، این در حالی است که به کارگیری فایروال‌ها و سیستم‌های تشخیص نفوذ، تنها به افزایش ضریب امنیت در خصوص حملات خارج از سازمان کمک می‌کند و تنها راه شناسایی تهدیدات داخلی سازمان، نظارت یکپارچه لاگ‌‌های سیستم عامل می‌باشد.

در شبکه‌های بزرگ امروزی با توجه به تعداد زیاد سرورها و نرم‌افزارهای کاربردی و حجم بسیار زیاد لاگ، نظارت روزانه همه لاگ‌های سرورها بدون به کارگیری ابزارهای پیشرفته مانیتورینگ لاگ امکان‌پذیر نیست.

لاگ سیستم عامل یا Event Logs چیست؟

لاگ‌ها (Event Logs) حاوی اطلاعات بسیار حساس و حیاتی از همه رویدادهای مربوط به برنامه‌های کاربردی، سرویس‌ها و سیستم عامل می‌باشند.

از لاگ‌ها برای شناسایی خطاها، شناسایی تهدیدات امنیتی و آگاهی از تغییرات استفاده می‌شود. اطلاعات ثبت شده در لاگ به ما در عیب یابی خطاها کمک می‌کند.

در حقیقت بدون مطالعه لاگ‌ها امکان رفع بسیاری از خطاها وجود نخواهد داشت. لاگ‌‌های سیستم عامل ویندوز با فرمت باینری در فایل‌هایی با پسوند .Evt ذخیره می‌گردد.

علاوه بر اینها برنامه‌های کاربردی نیز می‌توانند دارای لاگ‌های اختصاصی باشند.

لاگ سیستم (System Log) شامل اطلاعات مربوط به عملیات و سلامت سیستم است؛ مانند روشن و خاموش شدن سیستم، خطای مربوط به سخت افزارها، استارت و استاپ شدن سرویس ها و مواردی از این قبیل.

لاگ امنیت (Security Log) دارای اطلاعات مهمی در خصوص اتفاقاتی است که از نظر امنیتی حائز اهمیت می‌باشند، مانند تغییر تنظیمات پالیسی‌های سیستم، تلاش‌های موفق و ناموفق ورود به سیستم، تغییر فایل‌های حساس و سایر موارد مشابه. لاگ امنیت سرورهای ویندوز دارای اطلاعات حساس و مهمی است، و نظارت یکپارچه و دائمی آن یکی از الزامات راهبران شبکه می‌باشد که منجر به شناسایی تهدیدات امنیتی می‌گردد.

لاگ برنامه‌های کاربردی (Application Log) شامل اطلاعات مهمی در مورد نحوه عملکرد برنامه‌های کاربردی می‌باشد. برنامه‌های کاربردی خطاهای خود را در این لاگ ثبت می‌کنند.