Sređeni dnevnici
Moderni informacioni sistemi proizvode veliku količinu log‑fajlova koji nose obilje korisnih informacija. Da bismo iz miliona generisanih linija izdvojili nekoliko najvažnijih, neophodan nam je efikasan alat poput GFI EventsManager‑a.
Dobre strategije bezbednosti podrazumevaju permanentan monitoring log‑fajlova, kako u realnom vremenu zbog identifikacije akutnih incidenata, tako i naknadno, u cilju analize trendova i sticanja opšte slike o ponašanju IT sistema. Log‑fajlovi predstavljaju masovne podatke čija je najveća vrednost, a ujedno i mana, detaljnost. Izveštaji će biti bolje izrađeni ako ima više informacija, ali je veća i šansa da se kakav veoma bitan događaj propusti.
Snalaženje u mnoštvu
GFI EventsManager je automatizovano rešenje za skupljanje i obradu log‑fajlova iz praktično svih izvora ICT sistema – hardverskih uređaja, sistemskog, bezbednosnog i aplikativnog softvera. Informacije se prikupljaju uz pomoć dva podsistema: Event Retrieval Receiving Engine(s)Ii. Prvi obezbeđuje preuzimanje podataka iz logova uređaja i softvera koji nemaju mogućnost da ih šalju van svog perimetra. U ovu grupu spadaju, osim Windows Event logova, SQL i Oracle baze podataka, i svi ostali fajlovi koji su automatski generisani kao posledica nekih događaja (tekstualni, xml, html i drugi), tako da ne postoji strukturisan tip informacija koje nije moguće uvoziti u EventsManager.
Drugi podsistem zadužen je da „hvata“ poruke koje su emitovane (najčešće SNMP i syslog protokolom) i koje se u većini slučajeva ne čuvaju na izvorištu; u ovoj kategoriji uglavnom se nalaze hardverski uređaji. Bez obzira na koji način su informacije prikupljene, obezbeđeno je njihovo skladištenje u okviru baze podataka i priprema za dalju obradu.
Prava snaga i kategorizacija sistema za obradu logova nalazi se u mogućnostima podešavanja sistema za analizu i povezivanje prikupljenih informacija, koje GFI EventsManager‑u ne nedostaju. Obrada prikupljenih podataka počinje neposredno nakon prihvata u internu bazu, a s obzirom na to da se svi pristigli podaci tretiraju ravnopravno, njihovo međusobno poređenje i korelacija realizovani su jednostavno. Filteri koje je moguće primeniti veoma su fleksibilni i bogati mogućnostima, i obezbeđuju da „izdvojite drvo iz šume“. Ništa manje nije fleksibilan ni sistem za grupisanje podataka, pa ćete osim pojedinačnih zapisa jednostavno moći da pratite i statistiku prikupljenih podataka u definisanim vremenskim jedinicama.
Prema stepenu hitnosti
Sve obrađene informacije koje međusobno uz pomoć sistema pravila možete porediti, klasifikuju se prema stepenu kritičnosti, od najvažnijih do smetnji/šuma. Ovako dodeljena ocena važnosti određuje prioritete i akcije koje neposredno slede – nadležne je moguće obavestiti elektronskom poštom, SMS porukom ili preko mreže. Takođe, osim notifikacije, istovremeno je moguće podesiti i korektivne aktivnosti koje imaju za cilj da spreče eventualno dalje pogoršanje situacije i pojavu naknadnih štetnih događaja. Sve aktivnosti sistema takođe se loguju, pa je moguća veoma precizna rekonstrukcija detalja, što u znatnoj meri olakšava izradu izveštaja i čuvanje dokaza.
Iako su performanse GFI EventsManager‑a visoke, preporučena minimalna konfiguracija od 3 GB RAM memorije i 10 GB prostora na disku ne može obezbediti komforno korišćenje sistema čak ni u manjim mrežama. Zato je prilikom odabira hardvera važno raspolagati barem okvirnim informacijama o prosečnom broju generisanih događaja u sekundi, kao i predviđenom porastu u narednom periodu. Ukoliko niste u mogućnosti da do nekih parametara dođete, preporuka je da se konsultujete s lokalnim partnerom oko izbora optimalne hardverske platforme, jer je ispravno konfigurisanje ključno za kasnije efikasno korišćenje sistema.
Kristijan Lazić
(Objavljeno u časopisu PC#212)
