Лог менежмент гэж юу вэ?
Лог менежмент гэж юу вэ?
Компанийн сүлжээн дэх програмууд болон үйлдлийн системүүд дээр гарч буй үйл ажиллагааг баримтжуулж баримт болгох зорилгоор лог файл үүсдэг. Тухайн байгууллагын үйл ажиллагааны чиглэлээс хамааран сард 10 терабайт гаруй энгийн текстэн өгөгдөл үүсгэх боломжтой. Эдгээр их хэмжээний логийг гар аргаар удирдах нь маш их хөдөлмөр болон цаг хугацаа шаарддаг бөгөөд таны бизнес өргөжих тусам эдгээр логууд төдий чинээ удирдахад хүндрэлтэй болно гэсэн үг юм. Үүнийг Лог менежментийн системийн шийдлүүдийг ашиглаж хялбар шийдэж болно.
Лог менежментийн системүүд нь таны лог файлыг боловсруулах, тухайн логийг хэрхэн, хаана, ямар хэлбэрээр хадгалахыг тодорхойлдог. Зарим лог менежментийн системүүд нь дүн шинжилгээ хийж тайлагнах боломжийг бүрдүүлсэн байдаг. Энэхүү фунцууд нь аюулгүй байдлын мэргэжилтнүүдэд үүссэн зөрчлийг олж илрүүлэх, хариу арга хэмжээ авах болон аудитын тайланг нэгтгэх, систем дээр гарсан алдааг хэзээ, хэн болон юунаас болж үүссэн тухай тэмдэглэсэн лог файлууд дээр ажиллахад хялбарчилж өгдөг.
Лог менежментийн онцлог ба боломжууд:
Log Data Collection:
Лог менежментийн системүүд нь үйлдлийн систем, програмыг багтаасан сүлжээн дэх бүх логийг цуглуулдаг.
Efficient Retention:
Лог менежментийн системүүд нь их хэмжээний гигабайт, терабайт лог өгөгдлийг хадгалахад тохиромжтой байдаг.
Searching:
Хайлтын функцууд нь логийг олж авах үндсэн арга юм. Эдгээр функцууд нь ямар нэгэн үйлдэл буруу болох үед логийг шүүх шинжилгээ, мөрдөн байцаалтад ашиглахад зайлшгүй шаардлагатай.
Log Indexing:
Лог индексжүүлэлт нь түлхүүр үгс, эсхүл логик хайлтын тусламжтайгаар логийг богино хугацаанд шүүх хурдасгах арга юм. Өөрөөр хэлбэл та өөрт шаардлагатай лог өгөгдлийг шүүн ашиглах боломжийг олгодог.
Reporting:
Тайлан нь лог менежментийн системээс цуглуулсан өгөгдлийг бүхэлд нь хамардаг ойлголт бөгөөд ашиглах баримт бичгүүдэд лог мэдээллийг нэгтгэх зорилготой. Эдгээр онцлог шинж чанарууд нь лог менежментийн хэрэгслийг жижиг, дунд бизнесийн аюулгүй байдал, дагаж мөрдөх журам, үйл ажиллагаанд чухал ач холбогдолтой болгодог.
Лог менежментийн ашигтай ба сул талууд:
Аюулгүй байдалд дүн шинжилгээ хийх, протоколыг бий болгох эхний алхамуудын нэг бол логоо хэрхэн удирдахаа тодорхойлох юм.
Compiles Extensive Data:
Лог менежментийн системүүдийн цуглуулсан логууд нь өөрсдөө зайлшгүй чухал боловч үйл явдлын үеэр юу болсон талаар илүү нарийвчлан ойлгох боломжийг олгодог. Үүнд нөлөөлөлд өртсөн системүүд, холбогдох хүмүүс болон бусад хүчин зүйлс орно.
Simplifies Compliance:
Олон лог менежментийн системүүд нь бусад зохицуулах агентлагуудын дунд HIPAA, эсхүл PCI-DSS-т тайлагнахад ашиглаж болох нийцлийн тайлангуудтай хамт ирдэг. Эдгээр хүчин зүйл нь лог менежментийн системийг аюулгүй байдлаа хадгалахыг хүсч буй бизнес эрхлэгчдэд үнэлж баршгүй ач холбогдолтой болгодог. Гэсэн хэдий ч лог менежментийн системд нэлээд сул талууд байгааг анхаарч үзэх хэрэгтэй.
Lack of Automation:
Жижиг компанид асар их хэмжээний өгөгдлийг богино хугацаанд гаргаж чаддаг. Иймд уг өгөгдлүүдийг автоматжуулсан системгүйгээр хадгалах нь ихээхэн цаг хугацаа хүч орсон явдал болдог. Ихэнх тохиолдолд, өгөгдлийг бүрэн хэмжээгээр ашиглахын оронд бизнес эрхлэгчид логийг тогтмол үзэхгүйгээр цуглуулахыг илүүд үздэг тул өөрсдийгөө халдлагад илүү өртөмтгий болгож, лог менежментийн санал болгож буй боломжийг алдах, логийн үнэ цэнэгүй өгөгдөл болгох эрсдэлтэй байна.
Potential Data Variabiliity:
Лог менежментийн системийн онцлогоос хамааран цуглуулагдсан логууд янз бүрийн форматаар гарч ирдэг тул бүгдийг нь үр дүнтэй ашиглах, эсхүл тайлан болгон нэгтгэхэд бэрхшээлтэй байдаг. Лог менежмент нь дангаараа тухайн байгууллагын аюулгүй байдлыг хангаж чадахгүй тул мэдээлэл технологийн мэргэжилтэн лог системийг удирдан зөв зохион байгуулснаар цаашид учрах эрсдэлээс хамгаалах боломжийг өгнө.
**SIEM ба лог менежмент нь юугаараа ялгаатай вэ? **
Лог менежмент ба SIEM нь хоорондоо нягт уялдаатай боловч тусдаа системийн хувьд авч үзвэл дараах 3 үндсэн түвшинд ялгаатай байдаг.
Focus:
SIEM-ийн үндсэн чиглэл бол аюулгүй байдал бөгөөд лог менежмент нь ерөнхийдөө логийг цуглуулах, хадгалахад илүү төвлөрдөг. SIEM нь логийг аюулгүй байдлын үүднээс ашигладаг.
Automation:
SIEM нь өгөгдлийг хялбар, богино хугацаанд нэгтгэх түүнд зарцуулагдах хугацааг багасгах, корреляци, сэрэмжлүүлгийг тайлагнах зэрэг хэд хэдэн автоматжуулсан функцуудыг эзэмшдэг. Харин лог менежмент нь зөвхөн нэгтгэх, тайлагнах боломжийг санал болгодог. Автоматжсан сэрэмжлүүлгийн функцгүй бол лог менежментийн систем нь аюулгүй байдлын талаарх чухал мэдээллийг олж авахад илүү их хугацаа, хүч шаарддаг.
Real-Time Analysis:
SIEM системүүд нь өгөгдлийг бодит цаг хугацаанд анализ хийх боломийг олгодог бөгөөд их хэмжээний өгөгдөлтэй ажиллах чадвартай програм хангамжаар ажилладаг.
Эдгээр хүчин зүйлүүд нь SIEM програм хангамж ба логийн менежментийн шийдлийг сонгохдоо систем тус бүрийн хувьд анхаарах гол зүйлүүд юм. SIEM програм хангамж, эсхүл лог менежментийн шийдлийг хамтад нь байлгах эсэхээ үнэлэхдээ дараах 4 чухал хүчин зүйлийг харгалзан үзнэ.
1. Responsiveness:
Танай байгууллага SIEM системээс гаргасан анхааруулгад хурдан хариу өгөх чадвартай байх ёстой. Учир нь байгууллагын үйл ажиллагааг зогсоох, хохирол учруулах заналхийлэл гарсан тохиолдолд хариу өгөх чадвартай боловсон хүчингүй бол SIEM системээс өгсөн анхааруулга үр дүнгүй талаар болно.
2. Monitoring Capability:
Системийг оновчтой, үр ашигтай ашиглахын тулд байгууллагад SIEM системийн байнгын хяналтанд ажиллах баг шаардлагатай байдаг.
3. Customization Ability:
SIEM системийг зөв ажиллуулахын тулд алдаагүй тохируулсан байх ёстой.
4. Data Volume:
Хэрвээ тухайн байгууллага нь өдөрт хязгаарлагдмал логийг гаргах жижиг хэмжээний сүлжээ болон сервертэй, мөн SIEM-ийг аюулгүй байдлын хяналтаас гадна өөр зорилгоор ашигладаггүй бол SIEM системээс илүү лог менежментийн систем нь илүү тохиромжтой байдаг.
Эдгээр шийдлүүд нь жижиг байгууллагууд лог менежментийг ашиглах шалтгаан болдог бол том байгууллагуудын хувьд SIEM системийг ашигладаг. Гэвч энэ асуудал дээр байгууллагууд уян хатан хандах ёстой. SIEM болон лог менежментийн системийг тухайн нөхцөлд, хэрэгцээ шаардлагадаа тулгуурлан ашиглах нь илүү үр дүнтэй шийдэл юм.
SIEM-ийн талаарх нийтлэлийг дараах холбоосоор уншина уу.
Хуваалцах
