Che cos’è, come funziona e a che cosa serve la gestione e l’analisi dei log

Che cos’è, come funziona e a che cosa serve la gestione e l’analisi dei log

Gestione dei log

La gestione dei log all’interno delle organizzazioni presenta diverse sfide, che si possono riassumere con la considerazione che le risorse per la gestione dei log sono sempre meno “preparate”, mentre il numero e la varietà dei log è in continuo aumento.
I log sono prodotti e risiedono su molti host all’interno dell’organizzazione, rendendo necessaria l’implementazione di un sistema di log management. Una stessa sorgente di log può inoltre generare molteplici log, per esempio un’applicazione può registrare gli eventi di autenticazione in un log e l’attività di rete in un’altra.
Ogni sorgente di log registra solo alcune informazioni all’interno dei propri log, come l’indirizzo IP dell’host e lo username. Per efficienza, spesso la sorgente di log registra solo la parte di informazione ritenuta più importante. Questo può rendere difficile registrare gli eventi provenienti da diverse sorgenti (ad esempio la sorgente 1 registra l’indirizzo IP, ma non lo username e viceversa). Ogni tipo di log può inoltre rappresentare i valori in maniera diversa.
Ogni sorgente di log registra eventi associando un timestamp basato sul suo orologio interno. Se l’orologio interno non è preciso, l’evento verrà registrato con un timestamp non preciso, che in fase di analisi dei log potrebbe portare che una certa sequenza di eventi si sia svolta con un ordine diverso da quanto avvenuto realmente.

I log provenienti dai diversi sistemi dell’organizzazione possono contenere dati delicati dal punto di vista della sicurezza o della privacy, come password di utenti, dati relativi alla navigazione o alle mail. Occorre quindi che i log siano protetti adeguatamente sia durante la trasmissione che durante la registrazione, sia dal punto di vista della confidenzialità che dell’integrità. I log infatti non devono essere alterabili, per esempio da parte di malintenzionati che vogliano coprire le loro tracce. Occorre inoltre garantire la disponibilità dei dati. Per esempio molti sistemi sono configurati in modo che i file di log abbiano una dimensione massima e che, raggiunta tale dimensione, i file di log siano sovrascritti. Per garantire il rispetto delle policy di retention, le organizzazioni devono conservare i log per un periodo di tempo maggiore rispetto a quello di persistenza sui sistemi di origine.

Che cos'è, come funziona e a che cosa serve la gestione e l'analisi dei log

Analisi dei log

All’interno della maggior parte delle organizzazioni, gli amministratori di sistema e di rete sono stati tradizionalmente responsabili dell’analisi dei log, studiando i log per identificare eventi di interesse. L’analisi dei log è spesso stata trattata come attività a bassa priorità da amministratori e dal management, perché altre attività degli amministratori necessitavano di risposte più rapide.
Gli amministratori che effettuano l’analisi dei log spesso non ricevono formazione adeguata per effettuare l’analisi efficacemente ed efficientemente, particolarmente per quel che riguarda la prioritarizzazione. Inoltre molti amministratori non hanno a disposizione tool che siano efficaci nell’automatizzazione dei processi di analisi. Molti di questi tool sono particolarmente efficaci nel trovare pattern che gli umani non possono vedere facilmente, come la correlazione di eventi da diverse sorgenti che si riferiscono allo stesso evento. Un altro problema consiste nel fatto che molti amministratori considerano l’attività di analisi dei log noiosa e poco proficua rispetto al tempo richiesto. L’analisi dei log è spesso trattata come reattiva, spesso fatta dopo che un problema è stato già identificato mediante altri mezzi, piuttosto che proattiva, per identificare problemi imminenti. Tradizionalmente, la maggior parte dei log non viene analizzata in realtime.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: www.vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *