لوگو دانا پرداز
49258000 - 021

آشنایی با مفاهیم و ساختار لاگ ویندوز

آشنایی با مفاهیم و ساختار لاگ ویندوز | داناپرداز

نظارت منظم و پیوسته لاگ‌های ویندوز (windows log) بر روی سرورها یکی از وظایف اصلی راهبران و کارشناسان شبکه می‌باشد. در این سند با مفاهیم و ساختار لاگ ویندوز آشنا خواهید شد.

 

نظارت یکپارچه لاگ سیستم عامل، یکی از الزامات واحد فناوری اطلاعات سازمان

نظارت منظم و پیوسته لاگ های ویندوز بر روی سرورها یکی از وظایف اصلی راهبران و کارشناسان شبکه می‌باشد. در بسیاری از مواقع تنها راه آگاهی از مشکلات و تهدیدات امنیتی نظارت دائمی و بدون وقفه لاگ های سیستم عامل است.
مطالعات اخیر نشان داده است بیش از 70% نفوذ های امنیتی به کمک یک عامل داخلی در سازمان صورت گرفته است، این در حالی است که به کارگیری فایروال ها و سیستم‌های تشخیص نفوذ تنها به افزایش ضریب امنیت در خصوص حملات از خارج از سازمان کمک می کند و تنها راه شناسایی تهدیدات داخلی سازمان نظارت یکپارچه لاگ های سیستم عامل می‌باشد.

 

مفاهیم لاگ ویندوز

لاگ فایل ویندوز (Event Logs) در واقع فایل هایی هستند که همه اتفاقات سیستم در آنها ثبت می گردد ، برای نمونه خاموش و روشن کردن سیستم، استاپ و استارت کردن سرویس ها، نصب برنامه های کاربردی، تغییر پالیسی‌های امنیتی سیستم، تلاش های موفق و نا موفق ورود به سیستم، تلاش برای حذف یا تغییر فایل‌های پر اهمیت و سایر رویداد های مهم. هر رویداد شامل اطلاعات بسیار مهمی است که جزئیات مورد نیاز برای عیب یابی و رفع مشکل را در اختیار ما قرار می دهد. بدون مطالعه دقیق لاگ ها علت بروز بسیاری از اشکالات مشخص نخواهد شد. در ادامه شما را با برخی مشخصات لاگ های ویندوز آشنا خواهیم ساخت:

  • طبقه بندی لاگ
  • انواع رویداد (Event Types)
  • نحوه مشاهده لاگ های سیستم
  • ساختار رویداد ها
  • لاگ های امنیتی (Security Logs) چگونه به جلوگیری از هک، و سرقت اطلاعات کمک می کند ؟
  • کدام رویدادها نیاز به مانیتورینگ شبکه دارد ؟
  • مشکلات مانیتورینگ لاگ ها

طبقه بندی لاگ های ویندوز (windows log)

لاگ های ویندوز به صورت پیش فرض در چند گروه به شرح زیر طبقه بندی می گردد:

فیلد توضیحات
Application Log برنامه های کاربردی نصب شده بر روی سیستم رویداد های خود را در این لاگ ثبت می کنند، شامل خطا ها و هشدار هایی که لازم است به آن رسیدگی شود.
System Log رویداد های مربوط به سیستم عامل در این لاگ ثبت میگردد، برای مثال نصب برنامه، استاپ و استارت شدن سرویس ها، خاموش و روشن شدن سیستم و مواردی از این قبیل.
Security Log رویداد هایی که از نظر امنیتی اهمیت دارند در این لاگ ثبت می شوند، برای مثل تلاش های نا موفق ورود به سیستم، تغییر پالیسی های امنیتی سیستم، حذف فایل های مهم و مواردی از این قبیل.
Directory Service Log این لاگ ویندوز فقط بر روی سرورهای دامین کنترلر قرار دارد و موارد مربوط به اکتیو دایرکتوری در این لاگ قرار می گیرد.
DNS Server Log این لاگ فقط بر روی سرور DNS قرار دارد و به ثبت رویداد های مربوطه اختصاص دارد.
File Replication Service Log این لاگ فقط بر روی سرورهای دامین کنترلر قرار دارد رویداد های مربوط به رپلیکیشن اکتیو دایرکتوری را ثبت می کند.

علاوه بر لاگ های پیش فرض بالا امکان دارد برنامه های کاربردی لاگ مخصوص به خود را در سیستم ایجاد نمایند.

 

انواع رویداد (Event Types)

رویداد های ثبت شده در لاگ در پنج نوع مختلف دسته بندی می گردند که اهمیت رویداد را نشان می دهد. انواع رویداد به شرح زیر است:

نوع رویداد توضیحات
Information رویدادهایی که انجام موفق یک موضوع را توضیح می دهند، برای مثال استارت شدن یک سرویس ، بارگذاری موفق درایور ها، خاموش و روشن شدن سیستم. این نوع رویداد جنبه اطلاع رسانی دارد و دارای اهمیت مانیتورینگ دائمی نمی باشد.
Warning رویدادهایی که جنبه هشداری دارند و در خصوص احتمال بروز مشکلات آتی اطلاع رسانی می کنند، برای مثال زمانی که فضای آزاد یک دیسک در شرف پایان است. این نوع رویداد نیاز به رسیدگی دارد.
Error رویدادهایی که بروز خطا در سیستم را اعلام می کنند. برای مثال زمانی که سخت افزارها به درستی عمل نمی کنند و یا سرویسی استارت نمی شود. این نوع رویداد نیاز به رسیدگی فوری دارند.
Success Audit (Security Log) رویداد هایی که انجام موفقیت آمیز یک عملیات دارای اهمیت امنیتی را نشان می دهند. برای مثال رویدادی از این نوع زمانی که یک کاربر با موفقیت به سیستم وارد می شود ثبت می گردد. این نوع رویداد فقط در لاگ Security قرار دارد.
Failure Audit (Security Log) رویدادهایی که تلاش های ناموفق انجام یک عملیات از نظر امنیتی مهم را نشان می دهند. برای مثال تلاش نا موفق ورود به سیستم و یا تلاش نا موفق حذف یک فایل مهم. این نوع رویداد فقط در لاگ Security ویندوز قرار دارد.

 

نحوه مشاهده لاگ های سیستم در Event Viewer

سیستم عامل ویندوز دارای ابزاری برای مشاهده لاگ های ثبت شده در سیستم به نام Event Viewer می باشد؛ با استفاده از ان ابزار می توان همه لاگ های ثبت شده در سیستم را مشاهده نمود. این ابزار در Administrative Tools قرار دارد. همچنین برای دسترسی به آن می توانید در منوی Run ویندوز عبارت eventvwr را تایپ نمایید.
نمایی از Event Viewer ، به انواع لاگ توجه کنید.
ساختار لاگ ویندوز

ساختار رویداد

رویداد دارای ساختار ساده ای است که اطلاعات را با فرمت مناسب در اختیار ما قرار می دهد. هر رویداد دارای تعدادی فیلد Header و یک فیلد پیغام است که شرح لاگ را در بر دارد.

فیلد توضیحات
Date تاریخی که رویداد اتفاق افتاده است.
Time زمانی که رویداد اتفاق افتاده است.
User نام کاربری که در زمان ثبت لاگ ویندوز وارد سیستم شده است.
Computer نام کامپیوتری که رویداد بر روی آن اتفاق افتاده است.
Event ID انواع رویدادها دارای شناسه به خصوصی هستند که به شناسایی رویداد کمک می کند. همه رویداد های مشابه دارای شناسه یکسان هستند.
Source منشاء ایجاد رویداد، برای مثال نام برنامه کاربردی و یا سرویسی که رویداد را ایجاد کرده است.
Type نوع رویداد (Information, Warning, Error, Audit Success, Audit Failure)
Description شرح رویداد ، که جزئیات رویداد را توضیح می دهد

لاگ های امنیتی ویندوز (Security Logs) چگونه به جلوگیری از هک، و سرقت اطلاعات کمک می کند؟

امروزه موضوع امنیت مهمترین نگرانی همه سازمانها و شرکت ها می باشد. اتفاقاتی مانند هک و سرقت اطلاعات روز به روز در حال افزایش است و سبب شده است تا مدیران فناوری اطلاعات و راهبران شبکه با چالش هایی جدی در خصوص ایمن سازی زیر ساخت ها و سرورها روبرو شوند. مطالعات مختلف نشان داده است درصد قابل توجهی از موارد سرقت اطلاعات در سازمانها در نتیجه تلاش های غیر قانونی و مکرر ورود به سیستم صورت پذیرفته است. بنابراین نظارت بر تلاش های نا موفق ورود به سیستم موجب کاهش ریسک سرقت اطلاعات خواهد شد.دسترسی غیر مجاز و مشکوک به فایل ها، پایگاه های داده و برنامه های کاربردی موضوعی است که بدون مانیتورینگ دائمی لاگ های ویندوز امکان آگاهی از آنها وجود ندارد.

 

کدام رویدادها نیاز به مانیتورینگ دارد؟

بدون انجام تنظیمات Auditing در policy های امنیتی ویندوز، بسیاری از رویدادهای امنیتی در لاگ ویندوز ثبت نمی شود. لذا لازم است ابتدا پالیسی های امنیتی (Audit Policies) فعال شوند تا این رویداد ها در لاگ Security ثبت گردد. ما پیشنهاد می کنیم رویداد های زیر مانیتور شوند:

  • User logon/logoff
  • computer logon/logoff/restart
  • Access to objects, files and folders
  • System time is modified
  • Audit logs are cleared

نیاز نیست تا همه پالیسی های Auditing فعال شوند، انجام این کار موجب افزایش سریع حجم لاگ Security می شود و چنانچه سایز لاگ به حد تعیین شده آن برسد عملیات Roll-Over صورت می پذیرد به این معنی که رویدادهای های جدید بر روی رویدادهای قبلی ثبت می شود و رویداد های قدیمی از بین می رود. همچنین فعال سازی Audit برای تلاش های غیر موفق مهم تر از تلاش های موفق است.

 

سوالات متداول

 

  1. لاگ های امنیتی ویندوز (Security Logs) چگونه به جلوگیری از هک، و سرقت اطلاعات کمک می کند؟
    امروزه موضوع امنیت مهمترین نگرانی همه سازمانها و شرکت ها می باشد. اتفاقاتی مانند هک و سرقت اطلاعات روز به روز در حال افزایش است و سبب شده است تا مدیران فناوری اطلاعات و راهبران شبکه با چالش هایی جدی در خصوص ایمن سازی زیر ساخت ها و سرورها روبرو شوند.
  2. کدام رویدادها نیاز به مانیتورینگ دارد؟
    User logon/logoff – computer logon/logoff/restart –  Access to objects, files and folders  – System time is modified – Audit logs are cleared
جدید ترین مطالب
پربازدید ترین مطالب
آشنایی با نرم افزار بینا
معرفی بینا در یک جلسه دموی کوتاه حضوری یا ریموتی
ساخت حساب آزمایشی
درخواست مشاوره رایگان

بینا

لینک های سریع

محصولات ما

درباره ما

آدرس ما :

تهران – فلکه دوم صادقیه – ابتدای خیابان آیت الله کاشانی – خیابان شهید معیری – ساختمان برلیان – طبقه ٥ واحد ١٧

تلفن تماس :

021-49258000

تمامی حقوق این سایت برای شرکت داناپرداز محفوظ است.

همراه ما باشید!                           لوگو یوتیوبلوگو لینکدینلوگو اینستاگراملوگو آپارات

پیمایش به بالا