నేను భద్రతా ఈవెంట్ లాగ్లను ఎందుకు ఉపయోగించాలి?

మీరు చొరబాటుదారుడిని పట్టుకోవటానికి ముందుకు రావలసి ఉంది

ఆశాజనక మీరు మీ కంప్యూటర్లు విభజిస్తారు మరియు నవీకరించబడింది మరియు మీ నెట్వర్క్ సురక్షితం. అయితే, మీరు ఏదో ఒక సమయంలో హానికర కార్యకలాపాలతో హిట్ చేసేలా చాలా అనివార్యమైనది - వైరస్ , పురుగు , ట్రోజన్ హార్స్, హాక్ దాడి లేదా. అలా జరిగినప్పుడు, మీరు దాడికి ముందు సరైన పనులను చేస్తే, దాడిని ఎంత సులభంగా మరియు ఎలా విజయవంతం అయ్యేటట్లు నిర్ణయించే పని చేస్తుంది.

మీరు ఎప్పుడైనా టీవీ షో CSI ని చూసి ఉంటే, లేదా ఏదైనా ఇతర పోలీసు లేదా చట్టపరమైన TV షో గురించి చూస్తే, ఫోరెన్సిక్ సాక్ష్యాలు చంపిన slimmest తో కూడా పరిశోధకులు ఒక నేరస్థుని నేరస్థుడిని గుర్తించి ట్రాక్ చేయవచ్చు మరియు పట్టుకోవచ్చు.

అయితే, వారు నేరస్థుడికి చెందిన ఒక జుట్టును కనుగొని, దాని యజమానిని గుర్తించడానికి DNA పరీక్షను చేయటానికి ఫైబర్స్ ద్వారా జారుకోవాల్సిన అవసరం లేదంటే అది మంచిది కాదా? ఏ వ్యక్తికి వారు ఎవరితో సంబంధంలోకి వచ్చారో, ఎప్పుడైనా రికార్డు చేయబడితే? ఆ వ్యక్తికి ఏమి జరిగినా రికార్డు ఉ 0 టే అప్పుడేమిటి?

ఆ కేసు ఉంటే, CSI లో ఆ వంటి పరిశోధకులు వ్యాపార బయటకు కావచ్చు. పోలీస్ శరీరం కనుగొంటుంది, చివరిగా మరణించిన వారితో మరియు ఏది జరిగింది మరియు వారు ఇప్పటికే త్రవ్వకుండా గుర్తింపు కలిగి ఉంటుంది చూడటానికి రికార్డు తనిఖీ చేస్తుంది. మీ కంప్యూటర్ లేదా నెట్వర్క్లో హానికరమైన కార్యకలాపాలు ఉన్నప్పుడు ఫోరెన్సిక్ సాక్ష్యాలను సరఫరా చేయడం లాగింగ్ ఇది.

ఒక నెట్వర్క్ నిర్వాహకుడు లాగింగ్ చేయకపోయినా లేదా సరైన సంఘటనలు జరగనట్లయితే, అనధికార యాక్సెస్ లేదా ఇతర హానికరమైన కార్యకలాపాల సమయం మరియు తేదీ లేదా పద్ధతి గుర్తించడానికి ఫోరెన్సిక్ సాక్ష్యాలను త్రవ్వడం ఉంటే, గడ్డివాము. తరచుగా దాడి మూల కారణం కనుగొనబడలేదు. హ్యాక్ లేదా సోకిన యంత్రాలు శుభ్రపర్చబడతాయి మరియు వ్యవస్థలు మొదటి స్థానంలో తాకినప్పుడు వారు కంటే మెరుగైన భద్రత కలిగి ఉంటే నిజంగా తెలుసుకోకుండా ప్రతి ఒక్కరూ వ్యాపారానికి తిరిగి వస్తారు.

కొన్ని అనువర్తనాలు డిఫాల్ట్గా లాగ్ చేయబడతాయి. IIS మరియు Apache వంటి వెబ్ సర్వర్లు సాధారణంగా అన్ని ఇన్కమింగ్ ట్రాఫిక్లను లాగ్ చేస్తుంది. వెబ్ సైట్ గురించి ఎంతమంది వ్యక్తులు వెబ్ సైట్ను సందర్శించారు, వారు ఏ IP చిరునామా ఉపయోగించారో మరియు ఇతర మెట్రిక్-టైప్ సమాచారం వెబ్ సైట్లో చూడడానికి ఇది ప్రధానంగా ఉపయోగించబడుతుంది. కానీ, CodeRed లేదా Nimda వంటి వార్మ్స్ విషయంలో, సోకిన వ్యవస్థలు మీ సిస్టమ్ను ప్రాప్తి చేయడానికి ప్రయత్నించినప్పుడు వెబ్ లాగ్లు కూడా మీకు కనిపిస్తాయి, ఎందుకంటే అవి విజయవంతంగా ఉన్నా లేదో లాగ్లలో కనిపిస్తున్న కొన్ని ఆదేశాలను కలిగి ఉంటాయి.

కొన్ని వ్యవస్థలు వివిధ ఆడిటింగ్ మరియు లాగింగ్ ఫంక్షన్లను అంతర్నిర్మితంగా కలిగి ఉన్నాయి. మీరు కంప్యూటర్లో వివిధ చర్యలను పర్యవేక్షించటానికి మరియు లాగిన్ చేయడానికి అదనపు సాఫ్టవేర్ను కూడా వ్యవస్థాపించవచ్చు (ఈ వ్యాసం యొక్క కుడివైపుకు లింక్బాక్స్లోని పరికరాలను చూడండి). విండోస్ XP ప్రొఫెషనల్ మెషీన్లో ఖాతా లాగాన్ ఈవెంట్స్, ఖాతా మేనేజ్మెంట్, డైరెక్టరీ సర్వీస్ యాక్సెస్, లాగాన్ ఈవెంట్స్, ఆబ్జెక్ట్ యాక్సెస్, విధాన మార్పు, అధికార వినియోగం, ప్రాసెస్ ట్రాకింగ్ మరియు సిస్టమ్ ఈవెంట్స్ ఆడిట్ చేయడానికి ఎంపికలు ఉన్నాయి.

ఈ ప్రతి మీరు విజయం, వైఫల్యం లేదా ఏమీ లాగిన్ ఎంచుకోవచ్చు. ఉదాహరణకు విండోస్ XP ప్రోని ఉపయోగించి, మీరు వస్తువు యాక్సెస్ కోసం ఏ లాగింగ్ను ఎనేబుల్ చేయకపోతే ఫైల్ లేదా ఫోల్డర్ చివరిగా యాక్సెస్ చేయబడినప్పుడు ఎటువంటి రికార్డు ఉండదు. మీరు మాత్రమే వైఫల్యం లాగింగ్ ఎనేబుల్ ఉంటే మీరు ఎవరైనా ఫైల్ లేదా ఫోల్డర్ యాక్సెస్ ప్రయత్నించినప్పుడు రికార్డు ఉంటుంది కానీ సరైన అనుమతులు లేదా అధికారం లేదు కారణంగా విఫలమైంది, కానీ మీరు ఒక అధీకృత యూజర్ ఫైలు లేదా ఫోల్డర్ యాక్సెస్ చేసినప్పుడు రికార్డు కాదు .

హ్యాకరు బాగా పగిలిన యూజర్ పేరు మరియు పాస్వర్డ్ను ఉపయోగించడం వలన వారు విజయవంతంగా ఫైల్లను ప్రాప్యత చేయగలరు. మీరు లాగ్లను చూసి బాబ్ స్మిత్ ఆదివారం ఉదయం 3 గంటలకు కంపెనీ ఆర్ధిక ప్రకటనను తొలగించినట్లయితే, అది బాబ్ స్మిత్ నిద్రపోతుందని మరియు బహుశా అతని వినియోగదారు పేరు మరియు పాస్ వర్డ్ ను రాజీ పడిందని భావించవచ్చు. ఏదైనా సందర్భంలో, మీరు ఇప్పుడు ఫైల్కు ఏమి జరిగిందో తెలిసినప్పుడు మరియు ఇది ఎలా జరిగిందో పరిశోధించడానికి మీరు ప్రారంభ బిందువును ఇస్తుంది.

రెండు వైఫల్యం మరియు విజయం లాగింగ్ ఉపయోగకరమైన సమాచారం మరియు ఆధారాలు అందిస్తుంది, కానీ మీరు మీ పర్యవేక్షణ మరియు లాగింగ్ కార్యకలాపాలు సమతుల్యం ఉంటుంది వ్యవస్థ పనితీరు. పై నుండి మానవ రికార్డు పుస్తక ఉదాహరణను ఉపయోగించడం- ప్రజలు సంపర్కంలోకి వచ్చిన ప్రతి ఒక్కరిని లాగ్ చేసి, సంకర్షణ సమయంలో ఏమి జరిగిందో పరిశోధకులు సహాయం చేస్తారు, కానీ అది ఖచ్చితంగా ప్రజలను తగ్గించగలదు.

మీరు ఆపడానికి మరియు వ్రాసి ఉంటే, ఎవరు, ఎప్పుడు మరియు ప్రతి ఎన్కౌంటర్ కోసం మీరు అన్ని రోజు కలిగి అది తీవ్రంగా మీ ఉత్పాదకత ప్రభావితం ఉండవచ్చు. అదే విషయం కంప్యూటర్ కార్యకలాపాలు పర్యవేక్షణ మరియు లాగింగ్ నిజం. మీరు ప్రతి సాధ్యం వైఫల్యం మరియు విజయం లాగింగ్ ఎంపికను ఎనేబుల్ చేయవచ్చు మరియు మీరు మీ కంప్యూటర్లో వెళ్లే ప్రతిదీ యొక్క చాలా వివరణాత్మక రికార్డు ఉంటుంది. అయితే, ప్రాసెసర్ బిజీగా నమోదు అవుతున్నందున, 100 వేర్వేరు ఎంట్రీలు లాగ్లలో ఎవరో ఒక బటన్ను నొక్కినప్పుడు లేదా మౌస్ను క్లిక్ చేసేటప్పుడు మీరు తీవ్రంగా ప్రభావాన్ని ప్రదర్శిస్తారు.

మీరు లాగింగ్ రకాల వ్యవస్థ పనితీరు మీద ప్రభావంతో ప్రయోజనం ఉంటుంది మరియు మీరు ఉత్తమంగా పని చేసే సంతులనం తో వస్తాయి ఉంటుంది బరువు ఉంటుంది. మీరు అనేక హ్యాకర్ టూల్స్ మరియు ట్రోజన్ హార్స్ ప్రోగ్రాంలు Sub7 వంటివి కూడా లాగ్ ఫైళ్ళను వారి చర్యలను మరుగుపరచటానికి మరియు వాటికి చొరబాట్లను దాచడానికి అనుమతించుటకు అనుమతించును, కాబట్టి మీరు లాగ్ ఫైళ్ళపై 100% ఆధారపడలేరు.

మీ లాగింగ్ను అమర్చినప్పుడు మీరు కొన్ని పనితీరు సమస్యలను నివారించవచ్చు మరియు కొన్ని హ్యాకరు ఉపకరణాల అంశపు సమస్యలను పరిగణనలోకి తీసుకోవచ్చు. మీరు లాగ్ ఫైల్స్ ఎంత పెద్దదిగా పొందుతారు మరియు మీరు మొదటి స్థానంలో తగినంత డిస్క్ స్థలాన్ని కలిగి ఉన్నారని నిర్ధారించుకోవాలి. పాత లాగ్లు భర్తీ చేయబడతాయో లేదా తొలగించాలో లేదా మీరు రోజువారీ, వారపు లేదా ఇతర ఆవర్తన పద్ధతిలో లాగ్లను ఆర్కైవ్ చేయాలనుకుంటున్నారా అనేదానికి మీరు విధానాన్ని సెటప్ చేయాలి, తద్వారా మీరు పాత డేటాను తిరిగి చూడాలని కోరుతున్నారు.

ప్రత్యేక డ్రైవ్ మరియు / లేదా హార్డుడ్రైవు నియంత్రికను వుపయోగించుట సాధ్యమేనా మీరు తక్కువ పనితీరు ప్రభావము కలిగివుండటం వలన లాగ్ ఫైళ్ళను డ్రైవ్కు యాక్సెస్ చేయటానికి ప్రయత్నిస్తున్న అనువర్తనాలతో పోరాడకుండా డిస్కునకు వ్రాయును. మీరు లాగ్ ఫైళ్ళను ప్రత్యేక కంప్యూటర్కు లాగ్ చేయగలిగితే - బహుశా లాగ్ ఫైళ్ళను నిల్వ చేయడానికి మరియు పూర్తిగా వేర్వేరు భద్రతా సెట్టింగులతో అంకితం చేయవచ్చు- లాగ్ ఫైళ్ళను మార్చడానికి లేదా తొలగించడానికి మీరు అక్రమించేవారి సామర్థ్యాన్ని నిరోధించవచ్చు.

తుది నోట్ ఇది చాలా ఆలస్యం అయ్యే వరకు వేచి ఉండకూడదు మరియు మీ సిస్టమ్ లాగ్లను చూసే ముందుగానే క్రాష్ చేయబడింది లేదా రాజీపడింది. ఇది క్రమం తప్పకుండా లాగ్లను సమీక్షిస్తుంది, కాబట్టి మీరు సాధారణమైనది ఏమిటో తెలుసుకోవచ్చు మరియు బేస్లైన్ను స్థాపించవచ్చు. ఆ విధంగా, మీరు దోషపూరిత ఎంట్రీలు అంతటా వచ్చినప్పుడు, వాటిని గుర్తించి, మీ సిస్టమ్ను గట్టిగా పట్టుకోవటానికి, దాని చాలా ఆలస్యంగా ఫోరెన్సిక్ దర్యాప్తు చేయడం కంటే చురుకైన చర్యలను తీసుకోవచ్చు.