Межсетевое экранирование

Просмотр и хранение лог-файлов


Просмотр лог-файлов может быть трудоемким и занимать много времени. Лог-файлы являются реагирующей мерой безопасности; они информируют о событиях, которые уже произошли. Соответственно, они часто бывают полезны для поддержки других доказательств, таких как аномальный сетевой трафик, обнаруженный IDS. Логи web-сервера должны также просматриваться для обнаружения атак. Частота просмотра зависит от следующих факторов:

  • трафик, получаемый сервером;
  • общий уровень угроз (федеральное правительство и крупные коммерческие организации намного больше подвержены атакам, чем сайты других фирм и, таким образом, должны просматривать свои логи более часто);

  • специфические угрозы (могут возникать угрозы, специфичные для определенного времени, что требует более частого анализа лог-файла);
  • уязвимость web-сервера;
  • значимость (ценность) данных и сервисов, предоставляемых web-сервером.

Для облегчения анализа логов разработаны специальные автоматизированные средства.

Кроме того, обычно бывает необходим более глубокий и более продолжительный анализ логов. Так как типичная web-атака может включать сотни web-запросов, атакующий может попытаться замаскировать атаку увеличением интервала между запросами. В этом случае просмотр одних ежедневных или еженедельных логов может не показать общей тенденции. Однако, когда тенденция анализируется в течение недели, месяца или квартала, многие атаки на один и тот же хост могут быть легко обнаружены.

Лог-файлы должны быть защищены для гарантирования того, что атакующий, который скомпрометировал web-сервер, не может изменить лог-файлы, чтобы скрыть свои действия. Хотя шифрование и может использоваться для защиты лог-файлов, лучшим решением является хранение лог-файлов на отдельном от web-сервера хосте. Он часто называется лог- или syslog-хостом.

Необходимо регулярно создавать back up и архивы лог-файлов. Периодическое архивирование лог-файлов существенно по нескольким причинам. Оно может быть важно с точки зрения законодательных действий или использоваться при возникновении различных проблем, связанных с web-сервером. Периодичность архивации лог-файлов зависит от нескольких факторов, включающих следующие:

  • законодательные требования;
  • организационные требования;
  • размер логов (который напрямую зависит от трафика сайта и параметров создания логов);

  • значимость (ценность) данных web-сервера и сервисов;
  • уровень угроз.



Содержание раздела