LOG ANALYSIS یا تحلیل لاگ، چیست؟

LOG ANALYSIS یا تحلیل لاگ، بررسی گزارش رویدادهای تولید شده توسط رایانه برای شناسایی فعالانه اشکالات، تهدیدات امنیتی یا سایر خطرها است.

LOG ANALYSIS که متخصصان علوم کامپیوتر به آن تجزیه و تحلیل گزارش نیز می‌گویند می‌تواند برای اطمینان از انطباق با مقررات یا بررسی رفتار کاربر استفاده شود.

پیشنهاد مطالعه: چگونه مدرک CEH بگیریم: شروعی برای حرفه‌ی امنیت سایبری

چرا تحلیل لاگ مهم است؟

LOG ANALYSIS، در واقع، گزارش یک فایل جامع است که فعالیت‌های درون سیستم عامل، برنامه‌های کاربردی نرم‌افزار یا دستگاه‌ها را ثبت می‌کند.

آن‌چه فایل گزارش، در ضمن عملیات LOG ANALYSIS انجام می‌دهد به‌طور خلاصه به این شرح است:

• رصد و تحلیل پیام‌ها
• بررسی گزارش‌های خطا
• بررسی درخواست‌های فایل
• رصد انتقال فایل‌ها
• سنجش اعتبار درخواست‌های ورود/خروج

LOG ANALYSIS یا تحلیل لاگ، به متخصصان فن‌آوری اطلاعات و توسعه‌دهندگان کمک می‌کند تا در صورت بروز نقص سیستم، نقض یا سایر رویدادهای حاشیه‌ای، یک مسیر حسابرسی ایجاد کنند.

اما آن‌چه که این فعالیت را مهم و باارزش می‌کند این است که در بسیاری از موارد، تجزیه و تحلیل لاگ، یک امر قانونی است.

به‌عبارت بهتر، سازمان‌ها باید به مقررات خاصی پایبند باشند. مقرراتی که نحوۀ بایگانی و تجزیه و تحلیل داده‌ها را دیکته می‌کنند.

فراتر از انطباق با مقررات، تجزیه و تحلیل گزارش، زمانی که به‌طور موثر انجام شود می‌تواند مزایای بسیاری به همراه داشته باشد.

مزایای LOG ANALYSIS

1. عیب‌یابی مؤثر

سازمان‌هایی که به‌طور منظم، گزارش‌ها را بررسی، تجزیه و تحلیل می‌کنند به‌کمک تحلیل لاگ می‌توانند خطاها را سریع‌تر شناسایی کنند.

تشخیص به‌موقع و حتی زودهنگام خطا یعنی کاهش و صرفه‌جویی در زمان و هزینه. این جمله بدین معناست که تحلیل‌گر لاگ، با بررسی رویدادهای منتهی به خطا یا اشکال، به‌راحتی مشکل سیستم را عیب‌یابی کرده و از بروز حادثه جلوگیری می‌نماید.

به‌عبارت دقیق‌تر، به‌جای بروز مشکل و صرف وقت و هزینه برای رفع آن، از وقوع مشکل، جلوگیری می‌شود. یعنی همان: علاجِ واقعه قبل از وقوع کردن.

2. افزایش امنیت سایبری

تجزیه‌وتحلیل مؤثر گزارش، به‌طور چشمگیری، قابلیت‌های امنیت سایبری سازمان را تقویت می‌کند.

LOG ANALYSIS منظم گزارش‌ها، به سازمان‌ها کمک می‌کند تا سریع‌تر، ناهنجاری‌ها را شناسایی کنند؛ تهدیدها را مهار نمایند و پاسخ‌ها را اولویت‌بندی کنند.

3. بهبود تجربه مشتری

تحلیل لاگ، به کسب‌وکارها کمک می‌‍کند تا مطمئن شوند که همه برنامه‌ها و ابزارهای روبه‌روی مشتری، کاملاً عملیاتی و ایمن‌اند.

تحلیل لاگ چگونه عمل می‌کند؟

تجزیه و تحلیل گزارش، معمولاً در یک سیستم مدیریت گزارش (Log Management System) انجام می‌شود. یک راه‌کار نرم‌افزاری که داده‌های گزارش و گزارش رویدادها را از منابع مختلف جمع آوری، مرتب و ذخیره می‌کند.

پلتفرم مدیریت گزارش، به تیم فن‌آوری اطلاعات و متخصصان امنیتی اجازه می‌دهد تا یک نقطه واحد را ایجاد کنند و از آن‌جا به تمام داده‌های پایانی مربوط، شبکه و برنامه، دسترسی داشته باشند.

این فایل گزارش، به طور کامل، ایندکس (index)شده و قابل جست‌وجو است؛ به این معنی که تحلیلگر گزارش می‌تواند به‌راحتی به داده‌هایی دسترسی داشته باشد که برای تصمیم‌گیری در مورد امنیت شبکه یا تخصیص منابع، نیاز است. دارد دسترسی داشته باشد.

این فعالیت شامل مراحل زیر است:

1. گردآوری

جمع‌آوری گزارش از منابع مختلف،مثل: سیستم‌عامل، برنامه‌ها، سرورها، میزبان‌ها و هر نقطه پایانی، در زیرساخت شبکه.

2. متمرکزسازی

جمع‌آوری تمام داده‌های گزارش در یک مکان واحد و در یک قالب استاندارد شده بدون توجه به منبع گزارش.

این کار به ساده‌سازی فرآیند تجزیه‌وتحلیل و افزایش سرعت استفاده از داده‌ها کمک می‌کند.

3. جست‌وجو و تحلیل

استفاده از ترکیبی از AI/ML، تجزیه‌وتحلیل گزارش و منابع انسانی را فعال می‌کند تا خطاهای شناخته شده، فعالیت مشکوک یا سایر ناهنجاری‌ها را در سیستم، بررسی و تجزیه و تحلیل کند.

باتوجه‌به حجم گستردۀ داده‌های موجود در لاگ، تا آنجا که ممکن است باید فرآیند تجزیه‌وتحلیل فایل لاگ را خودکار کنید.

هم‌چنین یک نمایش گرافیکی از داده‌ها از طریق نمودار دانش یا تکنیک‌های دیگر ایجاد کنید تا به تیم فن‌آوری اطلاعات کمک کند هر ورودی گزارش، زمان‌بندی و روابط متقابل آن را تجسم کند، بسنجد و بررسی نماید.

4. نظارت و هشدار

سیستم مدیریت گزارش باید از تجزیه‌وتحلیل گزارش‌های پیشرفته، استفاده کند. این کار کمک می‌کند تا نظارت مستمر گزارش برای هر گونه رویداد گزارشی، عملی شود. رویدادی که نیاز به توجه یا مداخله انسانی دارد.

البته، سیستم را می‌توان طوری برنامه‌ریزی کرد که به‌طورخودکار، هشدارهایی را هنگام وقوع رویدادهای خاص یا عدم رعایت شرایط خاص، صادر کند.

5. گزارش

در نهایت، LOG ANALYSIS، باید یک گزارش کارآمد از همۀ رویدادها و هم‌چنین یک رابط بصری ارائه کند که تحلیل‌گر گزارش بتواند از آن برای دریافت اطلاعات اضافی از گزارش استفاده نماید.

محدودیت‌های تحلیل لاگ

بسیاری از راه‌حل‌های نرم‌افزار مدیریت لاگ برای سازمان‌دهی فعالیت LOG ANALYSIS، به نمایه‌سازی متکی هستند. نمایه‌سازی، یک فعالیت محاسباتی بسیار گران است که بین داده‌های وارد شده به سیستم و سپس گنجاندن آن‌ها در نتایج جست‌وجو، تأخیر ایجاد می‌کند.

چنین محدودیتی، عواقبی مخرب برای سازمان‌هایی دارد که به بینش زمان واقعی در مورد عملکرد سیستم نیاز دارند.

علاوه بر این، با راه‌کارهای مبتنی بر شاخص، الگوهای جست‌وجو نیز بر اساس آن‌چه نمایه شده است تعریف می‌شوند. این یکی دیگر از محدودیت‌های حیاتی فعالیت LOG ANALYSIS است؛ به‌ویژه، زمانی‌که به تحقیق نیاز است و داده‌های موجود را نمی‌توان جست‌وجو کرد؛ زیرا به‌درستی ایندکس نشده‌اند.

روش‌های اجرایی LOG ANALYSIS

1. Normalization

عادی‌سازی، یک تکنیک مدیریت داده است که تضمین می‌کند تمام داده‌ها و ویژگی‌ها، مانند آدرس‌های IP و مهرهای زمانی، در گزارش تراکنش به روشی سازگار قالب‌بندی شده‌اند.

2. الگوشناسی

تشخیص الگو به فیلترکردن رویدادها بر اساس الگوی به منظور جداسازی رویدادهای معمول از ناهنجاری‌ها اشاره دارد.

3. طبقه‌بندی و برچسب‌گذاری

این عمل، فرآیند برچسب‌گذاری رویدادها با کلمات کلیدی و طبقه‌بندی آن‌ها بر اساس گروه است تا بتوان رویدادهای مشابه یا مرتبط را با هم مرور کرد.

4. تجزیه‌وتحلیل همبستگی

تحلیل همبستگی، تکنیکی است که داده‌های گزارش را از چندین منبع مختلف جمع‌آوری می کند و اطلاعات را به‌طورکلی، با استفاده از تجزیه‌وتحلیل گزارش، بررسی می‌نماید.

5. نادیده‌انگاری

به بی‌توجهی فعال به ورودی‌هایی اشاره دارد که برای سلامت یا عملکرد سیستم مهم نیستند.

دانلود یک نسخۀ رایگان تحلیل لاگ: Graylog Open