فهرست مطالب این مقاله:
نظارت منظم و پیوسته لاگهای ویندوز (windows log) بر روی سرورها یکی از وظایف اصلی راهبران و کارشناسان شبکه میباشد. در این سند با مفاهیم و ساختار لاگ ویندوز آشنا خواهید شد.
نظارت یکپارچه لاگ سیستم عامل، یکی از الزامات واحد فناوری اطلاعات سازمان
نظارت منظم و پیوسته لاگ های ویندوز بر روی سرورها یکی از وظایف اصلی راهبران و کارشناسان شبکه میباشد. در بسیاری از مواقع تنها راه آگاهی از مشکلات و تهدیدات امنیتی نظارت دائمی و بدون وقفه لاگ های سیستم عامل است.
مطالعات اخیر نشان داده است بیش از 70% نفوذ های امنیتی به کمک یک عامل داخلی در سازمان صورت گرفته است، این در حالی است که به کارگیری فایروال ها و سیستمهای تشخیص نفوذ تنها به افزایش ضریب امنیت در خصوص حملات از خارج از سازمان کمک می کند و تنها راه شناسایی تهدیدات داخلی سازمان نظارت یکپارچه لاگ های سیستم عامل میباشد.
مفاهیم لاگ ویندوز
لاگ فایل ویندوز (Event Logs) در واقع فایل هایی هستند که همه اتفاقات سیستم در آنها ثبت می گردد ، برای نمونه خاموش و روشن کردن سیستم، استاپ و استارت کردن سرویس ها، نصب برنامه های کاربردی، تغییر پالیسیهای امنیتی سیستم، تلاش های موفق و نا موفق ورود به سیستم، تلاش برای حذف یا تغییر فایلهای پر اهمیت و سایر رویداد های مهم. هر رویداد شامل اطلاعات بسیار مهمی است که جزئیات مورد نیاز برای عیب یابی و رفع مشکل را در اختیار ما قرار می دهد. بدون مطالعه دقیق لاگ ها علت بروز بسیاری از اشکالات مشخص نخواهد شد. در ادامه شما را با برخی مشخصات لاگ های ویندوز آشنا خواهیم ساخت:
- طبقه بندی لاگ
- انواع رویداد (Event Types)
- نحوه مشاهده لاگ های سیستم
- ساختار رویداد ها
- لاگ های امنیتی (Security Logs) چگونه به جلوگیری از هک، و سرقت اطلاعات کمک می کند ؟
- کدام رویدادها نیاز به مانیتورینگ شبکه دارد ؟
- مشکلات مانیتورینگ لاگ ها
طبقه بندی لاگ های ویندوز (windows log)
لاگ های ویندوز به صورت پیش فرض در چند گروه به شرح زیر طبقه بندی می گردد:
فیلد | توضیحات |
Application Log | برنامه های کاربردی نصب شده بر روی سیستم رویداد های خود را در این لاگ ثبت می کنند، شامل خطا ها و هشدار هایی که لازم است به آن رسیدگی شود. |
System Log | رویداد های مربوط به سیستم عامل در این لاگ ثبت میگردد، برای مثال نصب برنامه، استاپ و استارت شدن سرویس ها، خاموش و روشن شدن سیستم و مواردی از این قبیل. |
Security Log | رویداد هایی که از نظر امنیتی اهمیت دارند در این لاگ ثبت می شوند، برای مثل تلاش های نا موفق ورود به سیستم، تغییر پالیسی های امنیتی سیستم، حذف فایل های مهم و مواردی از این قبیل. |
Directory Service Log | این لاگ ویندوز فقط بر روی سرورهای دامین کنترلر قرار دارد و موارد مربوط به اکتیو دایرکتوری در این لاگ قرار می گیرد. |
DNS Server Log | این لاگ فقط بر روی سرور DNS قرار دارد و به ثبت رویداد های مربوطه اختصاص دارد. |
File Replication Service Log | این لاگ فقط بر روی سرورهای دامین کنترلر قرار دارد رویداد های مربوط به رپلیکیشن اکتیو دایرکتوری را ثبت می کند. |
علاوه بر لاگ های پیش فرض بالا امکان دارد برنامه های کاربردی لاگ مخصوص به خود را در سیستم ایجاد نمایند.
انواع رویداد (Event Types)
رویداد های ثبت شده در لاگ در پنج نوع مختلف دسته بندی می گردند که اهمیت رویداد را نشان می دهد. انواع رویداد به شرح زیر است:
نوع رویداد | توضیحات |
Information | رویدادهایی که انجام موفق یک موضوع را توضیح می دهند، برای مثال استارت شدن یک سرویس ، بارگذاری موفق درایور ها، خاموش و روشن شدن سیستم. این نوع رویداد جنبه اطلاع رسانی دارد و دارای اهمیت مانیتورینگ دائمی نمی باشد. |
Warning | رویدادهایی که جنبه هشداری دارند و در خصوص احتمال بروز مشکلات آتی اطلاع رسانی می کنند، برای مثال زمانی که فضای آزاد یک دیسک در شرف پایان است. این نوع رویداد نیاز به رسیدگی دارد. |
Error | رویدادهایی که بروز خطا در سیستم را اعلام می کنند. برای مثال زمانی که سخت افزارها به درستی عمل نمی کنند و یا سرویسی استارت نمی شود. این نوع رویداد نیاز به رسیدگی فوری دارند. |
Success Audit (Security Log) | رویداد هایی که انجام موفقیت آمیز یک عملیات دارای اهمیت امنیتی را نشان می دهند. برای مثال رویدادی از این نوع زمانی که یک کاربر با موفقیت به سیستم وارد می شود ثبت می گردد. این نوع رویداد فقط در لاگ Security قرار دارد. |
Failure Audit (Security Log) | رویدادهایی که تلاش های ناموفق انجام یک عملیات از نظر امنیتی مهم را نشان می دهند. برای مثال تلاش نا موفق ورود به سیستم و یا تلاش نا موفق حذف یک فایل مهم. این نوع رویداد فقط در لاگ Security ویندوز قرار دارد. |
نحوه مشاهده لاگ های سیستم در Event Viewer
سیستم عامل ویندوز دارای ابزاری برای مشاهده لاگ های ثبت شده در سیستم به نام Event Viewer می باشد؛ با استفاده از ان ابزار می توان همه لاگ های ثبت شده در سیستم را مشاهده نمود. این ابزار در Administrative Tools قرار دارد. همچنین برای دسترسی به آن می توانید در منوی Run ویندوز عبارت eventvwr را تایپ نمایید.
نمایی از Event Viewer ، به انواع لاگ توجه کنید.
ساختار رویداد
رویداد دارای ساختار ساده ای است که اطلاعات را با فرمت مناسب در اختیار ما قرار می دهد. هر رویداد دارای تعدادی فیلد Header و یک فیلد پیغام است که شرح لاگ را در بر دارد.
فیلد | توضیحات |
Date | تاریخی که رویداد اتفاق افتاده است. |
Time | زمانی که رویداد اتفاق افتاده است. |
User | نام کاربری که در زمان ثبت لاگ ویندوز وارد سیستم شده است. |
Computer | نام کامپیوتری که رویداد بر روی آن اتفاق افتاده است. |
Event ID | انواع رویدادها دارای شناسه به خصوصی هستند که به شناسایی رویداد کمک می کند. همه رویداد های مشابه دارای شناسه یکسان هستند. |
Source | منشاء ایجاد رویداد، برای مثال نام برنامه کاربردی و یا سرویسی که رویداد را ایجاد کرده است. |
Type | نوع رویداد (Information, Warning, Error, Audit Success, Audit Failure) |
Description | شرح رویداد ، که جزئیات رویداد را توضیح می دهد |
لاگ های امنیتی ویندوز (Security Logs) چگونه به جلوگیری از هک، و سرقت اطلاعات کمک می کند؟
امروزه موضوع امنیت مهمترین نگرانی همه سازمانها و شرکت ها می باشد. اتفاقاتی مانند هک و سرقت اطلاعات روز به روز در حال افزایش است و سبب شده است تا مدیران فناوری اطلاعات و راهبران شبکه با چالش هایی جدی در خصوص ایمن سازی زیر ساخت ها و سرورها روبرو شوند. مطالعات مختلف نشان داده است درصد قابل توجهی از موارد سرقت اطلاعات در سازمانها در نتیجه تلاش های غیر قانونی و مکرر ورود به سیستم صورت پذیرفته است. بنابراین نظارت بر تلاش های نا موفق ورود به سیستم موجب کاهش ریسک سرقت اطلاعات خواهد شد.دسترسی غیر مجاز و مشکوک به فایل ها، پایگاه های داده و برنامه های کاربردی موضوعی است که بدون مانیتورینگ دائمی لاگ های ویندوز امکان آگاهی از آنها وجود ندارد.
کدام رویدادها نیاز به مانیتورینگ دارد؟
بدون انجام تنظیمات Auditing در policy های امنیتی ویندوز، بسیاری از رویدادهای امنیتی در لاگ ویندوز ثبت نمی شود. لذا لازم است ابتدا پالیسی های امنیتی (Audit Policies) فعال شوند تا این رویداد ها در لاگ Security ثبت گردد. ما پیشنهاد می کنیم رویداد های زیر مانیتور شوند:
- User logon/logoff
- computer logon/logoff/restart
- Access to objects, files and folders
- System time is modified
- Audit logs are cleared
نیاز نیست تا همه پالیسی های Auditing فعال شوند، انجام این کار موجب افزایش سریع حجم لاگ Security می شود و چنانچه سایز لاگ به حد تعیین شده آن برسد عملیات Roll-Over صورت می پذیرد به این معنی که رویدادهای های جدید بر روی رویدادهای قبلی ثبت می شود و رویداد های قدیمی از بین می رود. همچنین فعال سازی Audit برای تلاش های غیر موفق مهم تر از تلاش های موفق است.
سوالات متداول
- لاگ های امنیتی ویندوز (Security Logs) چگونه به جلوگیری از هک، و سرقت اطلاعات کمک می کند؟
امروزه موضوع امنیت مهمترین نگرانی همه سازمانها و شرکت ها می باشد. اتفاقاتی مانند هک و سرقت اطلاعات روز به روز در حال افزایش است و سبب شده است تا مدیران فناوری اطلاعات و راهبران شبکه با چالش هایی جدی در خصوص ایمن سازی زیر ساخت ها و سرورها روبرو شوند. - کدام رویدادها نیاز به مانیتورینگ دارد؟
User logon/logoff – computer logon/logoff/restart – Access to objects, files and folders – System time is modified – Audit logs are cleared