جستجو در منابع سایت

آشنایی با مفاهیم و ساختار لاگ ویندوز

این مورد را ارزیابی کنید
(3 votes)

نظارت منظم و پیوسته لاگ‌های ویندوز بر روی سرورها یکی از وظایف اصلی راهبران و کارشناسان شبکه می‌باشد. در این سند با مفاهیم و ساختار لاگ ویندوز آشنا خواهید شد.

                                

                                    دریافت فایل
                                

نظارت یکپارچه لاگ سیستم عامل، یکی از الزامات واحد فناوری اطلاعات سازمان

نظارت منظم و پیوسته لاگ های ویندوز بر روی سرورها یکی از وظایف اصلی راهبران و کارشناسان شبکه می‌باشد. در بسیاری از مواقع تنها راه آگاهی از مشکلات و تهدیدات امنیتی نظارت دائمی و بدون وقفه لاگ های سیستم عامل است. 
مطالعات اخیر نشان داده است بیش از 70% نفوذ های امنیتی به کمک یک عامل داخلی در سازمان صورت گرفته است، این در حالی است که به کارگیری فایروال ها و سیستم‌های تشخیص نفوذ تنها به افزایش ضریب امنیت در خصوص حملات از خارج از سازمان کمک می کند و تنها راه شناسایی تهدیدات داخلی سازمان نظارت یکپارچه لاگ های سیستم عامل می‌باشد.

مفاهیم لاگ ویندوز

لاگ های ویندوز (Event Logs) در واقع فایل هایی هستند که همه اتفاقات سیستم در آنها ثبت می گردد ، برای نمونه خاموش و روشن کردن سیستم، استاپ و استارت کردن سرویس ها، نصب برنامه های کاربردی، تغییر پالیسی‌های امنیتی سیستم، تلاش های موفق و نا موفق ورود به سیستم، تلاش برای حذف یا تغییر فایل‌های پر اهمیت و سایر رویداد های مهم. هر رویداد شامل اطلاعات بسیار مهمی است که جزئیات مورد نیاز برای عیب یابی و رفع مشکل را در اختیار ما قرار می دهد. بدون مطالعه دقیق لاگ ها علت بروز بسیاری از اشکالات مشخص نخواهد شد. در ادامه شما را با برخی مشخصات لاگ های ویندوز آشنا خواهیم ساخت:

 طبقه بندی لاگ

 انواع رویداد (Event Types)

 نحوه مشاهده لاگ های سیستم

 ساختار رویداد ها

 لاگ های امنیتی (Security Logs) چگونه به جلوگیری از هک، و سرقت اطلاعات کمک می کند ؟

 کدام رویدادها نیاز به مانیتورینگ دارد ؟

 مشکلات نظارت بر لاگ ها

طبقه بندی لاگ

لاگ های ویندوز به صورت پیش فرض در چند گروه به شرح زیر طبقه بندی می گردد:

فیلد توضیحات
Application Log برنامه های کاربردی نصب شده بر روی سیستم رویداد های خود را در این لاگ ثبت می کنند، شامل خطا ها و هشدار هایی که لازم است به آن رسیدگی شود.
System Log رویداد های مربوط به سیستم عامل در این لاگ ثبت میگردد، برای مثال نصب برنامه، استاپ و استارت شدن سرویس ها، خاموش و روشن شدن سیستم و مواردی از این قبیل.
Security Log رویداد هایی که از نظر امنیتی اهمیت دارند در این لاگ ثبت می شوند، برای مثل تلاش های نا موفق ورود به سیستم، تغییر پالیسی های امنیتی سیستم، حذف فایل های مهم و مواردی از این قبیل.
Directory Service Log این لاگ فقط بر روی سرورهای دامین کنترلر قرار دارد و موارد مربوط به اکتیو دایرکتوری در این لاگ قرار می گیرد.
DNS Server Log این لاگ فقط بر روی سرور DNS قرار دارد و به ثبت رویداد های مربوطه اختصاص دارد.
File Replication Service Log این لاگ فقط بر روی سرورهای دامین کنترلر قرار دارد رویداد های مربوط به رپلیکیشن اکتیو دایرکتوری را ثبت می کند.

علاوه بر لاگ های پیش فرض بالا امکان دارد برنامه های کاربردی لاگ مخصوص به خود را در سیستم ایجاد نمایند.

انواع رویداد (Event Types)

رویداد های ثبت شده در لاگ در پنج نوع مختلف دسته بندی می گردند که اهمیت رویداد را نشان می دهد. انواع رویداد به شرح زیر است:

 

نوع رویداد توضیحات
Information رویدادهایی که انجام موفق یک موضوع را توضیح می دهند، برای مثال استارت شدن یک سرویس ، بارگذاری موفق درایور ها، خاموش و روشن شدن سیستم. این نوع رویداد جنبه اطلاع رسانی دارد و دارای اهمیت مانیتورینگ دائمی نمی باشد.
Warning رویدادهایی که جنبه هشداری دارند و در خصوص احتمال بروز مشکلات آتی اطلاع رسانی می کنند، برای مثال زمانی که فضای آزاد یک دیسک در شرف پایان است. این نوع رویداد نیاز به رسیدگی دارد.
Error رویدادهایی که بروز خطا در سیستم را اعلام می کنند. برای مثال زمانی که سخت افزارها به درستی عمل نمی کنند و یا سرویسی استارت نمی شود. این نوع رویداد نیاز به رسیدگی فوری دارند.
Success Audit (Security Log) رویداد هایی که انجام موفقیت آمیز یک عملیات دارای اهمیت امنیتی را نشان می دهند. برای مثال رویدادی از این نوع زمانی که یک کاربر با موفقیت به سیستم وارد می شود ثبت می گردد. این نوع رویداد فقط در لاگ Security قرار دارد.
Failure Audit (Security Log) رویدادهایی که تلاش های ناموفق انجام یک عملیات از نظر امنیتی مهم را نشان می دهند. برای مثال تلاش نا موفق ورود به سیستم و یا تلاش نا موفق حذف یک فایل مهم. این نوع رویداد فقط در لاگ Security قرار دارد.

 

Borna AD manager

نحوه مشاهده لاگ های سیستم

سیستم عامل ویندوز دارای ابزاری برای مشاهده لاگ های ثبت شده در سیستم به نام Event Viewer می باشد؛ با استفاده از ان ابزار می توان همه لاگ های ثبت شده در سیستم را مشاهده نمود. این ابزار در Administrative Tools قرار دارد. همچنین برای دسترسی به آن می توانید در منوی Run ویندوز عبارت eventvwr را تایپ نمایید. 
نمایی از Event Viewer ، به انواع لاگ توجه کنید.

نمایش رویدادها در ویندوز

ساختار رویداد

رویداد دارای ساختار ساده ای است که اطلاعات را با فرمت مناسب در اختیار ما قرار می دهد. هر رویداد دارای تعدادی فیلد Header و یک فیلد پیغام است که شرح لاگ را در بر دارد.

 

فیلد توضیحات
Date تاریخی که رویداد اتفاق افتاده است.
Time زمانی که رویداد اتفاق افتاده است.
User نام کاربری که در زمان ثبت لاگ وارد سیستم شده است.
Computer نام کامپیوتری که رویداد بر روی آن اتفاق افتاده است.
Event ID انواع رویدادها دارای شناسه به خصوصی هستند که به شناسایی رویداد کمک می کند. همه رویداد های مشابه دارای شناسه یکسان هستند.
Source منشاء ایجاد رویداد، برای مثال نام برنامه کاربردی و یا سرویسی که رویداد را ایجاد کرده است.
Type نوع رویداد (Information, Warning, Error, Audit Success, Audit Failure)
Description شرح رویداد ، که جزئیات رویداد را توضیح می دهد

لاگ های امنیتی (Security Logs) چگونه به جلوگیری از هک، و سرقت اطلاعات کمک می کند ؟

امروزه موضوع امنیت مهمترین نگرانی همه سازمانها و شرکت ها می باشد. اتفاقاتی مانند هک و سرقت اطلاعات روز به روز در حال افزایش است و سبب شده است تا مدیران فناوری اطلاعات و راهبران شبکه با چالش هایی جدی در خصوص ایمن سازی زیر ساخت ها و سرورها روبرو شوند. مطالعات مختلف نشان داده است درصد قابل توجهی از موارد سرقت اطلاعات در سازمانها در نتیجه تلاش های غیر قانونی و مکرر ورود به سیستم صورت پذیرفته است. بنابراین نظارت بر تلاش های نا موفق ورود به سیستم موجب کاهش ریسک سرقت اطلاعات خواهد شد.دسترسی غیر مجاز و مشکوک به فایل ها، پایگاه های داده و برنامه های کاربردی موضوعی است که بدون مانیتورینگ دائمی لاگ ها امکان آگاهی از آنها وجود ندارد.

کدام رویدادها نیاز به مانیتورینگ دارد ؟

بدون انجام تنظیمات Auditing در پالیسی های امنیتی ویندوز، بسیاری از رویدادهای امنیتی در لاگ ثبت نمی شود. لذا لازم است ابتدا پالیسی های امنیتی (Audit Policies) فعال شوند تا این رویداد ها در لاگ Security ثبت گردد. ما پیشنهاد می کنیم رویداد های زیر مانیتور شوند:

 User logon/logoff

 computer logon/logoff/restart

 Access to objects, files and folders

 System time is modified

 Audit logs are cleared

نیاز نیست تا همه پالیسی های Auditing فعال شوند، انجام این کار موجب افزایش سریع حجم لاگ Security می شود و چنانچه سایز لاگ به حد تعیین شده آن برسد عملیات Roll-Over صورت می پذیرد به این معنی که رویدادهای های جدید بر روی رویدادهای قبلی ثبت می شود و رویداد های قدیمی از بین می رود. همچنین فعال سازی Audit برای تلاش های غیر موفق مهم تر از تلاش های موفق است.

مشکلات نظارت بر لاگ ها

با توجه به اهمیت نظارت لاگ های سیستم عامل شاید به این موضوع فکر می کنید که با توجه به تعداد سرورهای موجود در شبکه، نظارت روزانه لاگ ها ممکن است زمان نصف روز شما را به خود اختصاص دهد! همچنین با توجه به تعداد زیاد رویدادها و تنوع آنها امکان نادیده گرفته شدن به علت خطای انسانی زیاد است. خوب این سوال مطرح می شود راه حل چیست؟ چگونه می توان از ثبت رویدادهای مهم به صورت بلادرنگ و بدون نیاز به صرف زمان هنگفت با خبر شد ؟ 
پاسخ این است، به کار گیری سیستم های پیشرفته مانیتورینگ لاگ. سیستم مانیتورینگ لاگ شرکت دانا پرداز راهکاری پیشرفته برای این ضرورت مهم است. در بخش دوم این مقاله آموزشی شما را با چگونگی مانیتورینگ لاگ های ویندوز با استفاده از این سیستم آشنا خواهیم ساخت.

خواندن 7221 دفعه
Submit to FacebookSubmit to LinkedIn
ayande.jpgdarya-navardi.jpgeghtesad-novin.jpgfolad-khozestan.jpggoldiran.jpggorgan.jpgirna.jpgmarkazi.jpgmaskan.jpgnosazi.jpgpasargad.jpgpetroshimi.jpgrefah.jpgrightel.jpgsarmayeh.jpgsepah.jpgshoraye-ali.jpgtejarat.jpg
opportunity job

Please enter a valid email address,for download ./ لطفاً جهت دانلود فایل، ایمیل خود را وارد نمایید:

×