op5 Logserver - System kontroli logów

Coraz więcej osób zauważa wartość logów wyprodukowanych przez systemy informatyczne. Analiza zawartych w nich wpisów pozwala nam jednoznacznie ustalić źródło ewentualnych problemów utrzymywanych środowisk informatycznych. To właśnie w dziennikach zdarzeń mamy zachowaną całą historię pracy urządzeń sieciowich, sprzętu serwerowego, systemów operacyjnych oraz aplikacji. Pomimo dużej wartości informacyjnej logów, związane jest z nimi również wiele problemów. W poniższym artykule omówimy zagadnienia związane z bezpiecznym i wydajnym przechowywaniem informacji z logów na przykładzie oprogramowania op5 Logserver.

Lawina informacji

Logi zawierają historię pracy całej naszej infrastruktury. W zależności od stopnia szczegółowości mamy do czynienia z większą lub mniejszą lawiną informacji. Systemy operacyjne automatycznie dzielą dane na kolejne pliki logów, a najstarsze z nich przechowują spakowane. Wyszukiwanie intertesujących nas wpisów w podzielonych plikach jest utrudnione nawet w przypadku analizy danych z jednego serwera. Śledzenie takiego zdarzenia, które kolejno zachodzi na kilku serwerach kończy się otwarciem wielu okien ssh i żmudnym wyłapywaniem zdarzeń. Intuicja od razu podpowiada, że przydałoby się miejsce w sieci, które stanowi centrum gromadzenia logów.

Trzymana historia

Nasze serwery w większości cierpią na brak miejsca. Ogranicza to możliwość przechowywania plików logów jedynie do tych najświeższych. Jeszcze gorzej sytuacja przedstawia się w przypadku urządzeń sieciowych. Wiele routerów i firewalli działających w ramach pamięci bezdyskowych posiada możliwość do przechowywania zaledwie jednego dnia historii. Po tym krótkim czasie system nadpisuje najstarsze informacje, zastępując je świeżymi wpisami. W praktyce oznacza to, że np. informacja o włamaniu na urządzenie sieciowe szybko staje się niedostępna. Administratorzy sieci, jako pierwsi zauważają korzyści związane z wykorzystaniem zewnętrznego serwera logów.

Bezpieczeństwo

Logi dostarczają informację nie tylko o normalnej pracy środowiska IT, ale również odnotowują wszelkie niestandardowe działania jak np. ataki słownikowe lub próby wysyłki spamu. Gdy nasz system ulega atakowi, a włamywacz uzyska dostęp administracyjny w pierwszym kroku kasuje wszelkie informacje z dzienników zdarzeń. Natychmiast tracimy możliwość uzyskania większej ilości informacji o włamaniu. Bez histori dotyczącej włamania również nie będziemy w stanie zgłosić tego faktu działom bezpieczeńśtwa informacji w przedsiębiorstwie lub dalej, odpowiednim organom państwowym. W przypadku, gdy nasz serwer lub router współpracuje na stałę z serwerem logów, włamywacz nie ma szans na zatarcie za sobą śladów przestępstwa. Wyczyszczone przez niego lokalne wpisy już dawno zostały wysłane do centralnego serwera, jakim może być op5 Logserver.

Podział kompetencji

W wielu dziedzinach słuszne jest powiedzenie „Ufaj i kontroluj”. Wdrożenie centralnego systemu przechowywania logów jest realizacją tej zasady. Wszelkie zmiany konfiguracji, restarty usług są odnotowywane w logach, przesyłanych na oddzielny serwer. Oprogramowanie typu op5 Logserver nie dopuszcza z poziomu ekranu użytkownika opcji usuwania wpisów dzienników. Innymi słowy, wszelkie zmiany są udokumentowane i sam operator nie może ich zmienić. Stanowi to wymagane narzędzie kontroli pracy operatorów dla wydziałów wykonujących autydy bezpieczeństwa.

op5 Logserver w szczegółach

Omawiany produkt to narzędzie popularnej ostatnio serii „komercyjny OpenSource”. Op5 Logserver rozwiązuje wszystkie wyżej opisane problemy. Sercem systemu jest syslog-ng, którego firma op5 wykorzystała do własnego projektu. Idea op5 Logserver jest przejrzysta i prosta. Dzienniki zdarzeń gromadzone są centralnie na wydzielonym serwerze. Dane uzyskują swoją retencję, która jest jednakowa dla wszystkich obsługiwanych systemów. Informacje są początkowo przechowywane w bazie danych, co umożliwia ich segregowanie i filtrowanie.

Tekstowo czy graficznie?

Są przypadki, kiedy to myszka i pola tekstowe przyśpieszają pracę. Zarządzanie op5 Logserver jest w pełni graficzne co w tym przypadku stanowi zaletę.

Rys. Ekran operatora op5 Logserver

 

Logi wpadają w standardowe dla formatu syslog kolumny. Informacje możemy szybko filtrować segregując dane względem pól: Severity, Facility, Recv Time, Msg Time, Event ID, Src IP, Ident, Host, PID, Message. Dostępny mamy również pasek wyszukiwania danych, który umożliwia tworzenie zapytań za pomoca logicznych spójników.

Rys. Budowa zapytania

 

Dla każdej kolumny możemy zastosować warunek istnienia lub wykluczenia uzupełniając wpis spójnikami logicznymi. Utworzone zapytanie musi być zgodne z konwencją PostgreSQL Regular Expression. Dla przykładu zapytanie:

sev=(warn info) -(statistics daemon) -msg:Log -ident=sshd

wyszuka nam zdarzenia o poziomie severity typu warn lub info niezawierające w żadnym polu słów statistics lub daemon i których treść nie rozpoczyna się od słowa Log oraz nie pochodzą z serwera ssh.

Podział danych

op5 Logserver wprowadza podział na dane przechowywane w bazie danych, dane w plikach na dysku lokalnym oraz dane w plikach na dysku archiwalnym.

Rys. Konfiguracja op5 Logserver
 

Taki podział wpływa na tryb dostępu do informacji. Omówioiny sposób tworzenia zapytań operuje na danych aktualnych. Na pasku kalendarza aktualne dane zaznaczone są jaśniejszym kolorem. Jeżeli interesują nas dane archiwalne, wybierając interesujący nas czas system zapyta nas o ich import.

Raportowanie

Tworząc nowe filtry dla interesujących nas danych możemy każdorazowo taki filtr zapisać. Dla przykładu filtr może wyłapywać próby łamania haseł na urządzeniach sieciowych. op5 Logserver umożliwia tworzenie statystyk dla zapisanych filtrów przedstawiając w graficznym sposób liczbą wystąpień danych spełniających założone kryteria. Daje nam to np. bardzo dobry obraz aktywności włamywaczy łamiących hasła. Raport może być również generaowany automatycznie i wysyłany poprzez email z załącznikiem pdf.

Rys. Graficzna interpretacja logów
 

Poza reportem graficznym aplikacja będzie dla nas wykonywała zestawienia logów spełniających założone kryteria. Odpowiednio przefiltrowane dane będą przesyłane na wskazany adres email.

Kompetencje użytkowników

W wyniku uruchomienia system centralnego logserwera pojawia się nam nowy kłopot. W jednym miejscu przechowywane są dane dotyczące systemów poczty, ruchu sieciowego oraz np. stacji Active Directory. Nie zawsze chcemy aby każdy operator miał dostęp do wszystkich zgromadzonych danych. op5 Logserver umożliwia konfigurację użytkowników i ograniczenie ich kompetencji na podstawie wprowadzonego filtru.

Logi stacji Windows

Stacje Windows przechowują swoje wpisy logów w nieco innym formacie niż zaproponowany przez świat Unix/Linux. op5 Logserver zapewnia kompatybilność z formatem MsWindows dzięki wykorzystaniu aplikacji Windows SyslogAgent dostępnej w ramach licencji.

http://www.op5.com/support/downloads/agents/windows-syslogagent

Aplikacja instalowana jest jako serwis Windows i przekazuje wpisy odpowiednich logów do serwera op5.

Monitoring oparty o logi

Każdy administrator wie, że pewne wpisy w logach nie mogą czekać. Awarie sprzętu, włamania, uszkodzenia aplikacji wymagają natychmiastowej reakcji dyżurującej osoby. Monitoring aktywny opisywaliśmy niedawno w odniesieniu do aplikacji op5 Monitor, jednak warto by objąć monitoringiem również dzieniki zdarzeń. Takie rozwiązanie przewidział producenta aplikacji ponieważ środowiska op5 Logserver oraz op5 Monitor zostały stworzone do wspólnej pracy. Integracja konfigurowana jest po stronie op5 Monitor. Za pomocą dadatkowej komendy sprawdzamy czy w przeciągu zadanego czasu nasz filtr nie zadziałał więcenj razy niż założony próg.

Rys. Śledzenie logów w op5 Monitor