首頁 » Log 管理策略:企業不可忽視的資安防護第一步
- 作者 | 簡士超
Log 管理策略:企業不可忽視的資安防護第一步
有效運用log管理 兼顧企業資安與維運效率
系統 Log 軌跡發現潛在資安威脅
台灣「新版個人資料保護法」早在2012年10月就已經上路,在法規施行的內容細則中規範,企業需要有「使用紀錄、軌跡資料以及證據保存的措施」。中央研究院資通系統電子形式軌跡資料(Log)管理要點之第五點:『各單位應定期依 Log 自動產生之綜合分析報告,進行例行性檢視,分析異常狀況,及早發現潛在的資安威脅,以維持系統正常穩定運作。各單位應建立 Log 管理者之權限控管、身分認證機制。並訂定 Log 之閱覽、判讀、更改設定之作業程序規範,報院備查。』
每一套 IT 系統通常要做好維運作業的關鍵是仰賴充分的資料來決策,也就是Log 管理;例如 Event log,可瞭解到系統運作期間是否有異常事件,如果發現了異常狀況,IT 人員需要立即被通知,並設法即時處理。
但是,早期大多數公司的首要目標不是強化資訊安全,因此有做好 Log 管理的公司並不多,對公司企業而言,第一考量通常是如何讓自身的業務獲利、加強產品功能、降低成本與改善服務品質等。這也讓公司企業長久以來關注的要點項目裡,很少先考慮資訊安全,除非公司內部想要推動的人能具體證明 Log 管理能替公司帶來很大的利益,或是避免極高風險的重大損失,否則大多數的公司是能免則免。因此,在Log 管理上,除非高階管理人員有特別要求要了解資安狀態、查看統計報表或稽核記錄,不然多數 IT 人員並不會主動去做這件事。
在「新版個人資料保護法」實施之後,其中一項規定「必要之使用紀錄、軌跡資料及證據之保存」,公司企業除了必須加強保護IT系統,因此連帶也增加了讓Log管理的重要性。企業日常運作中,透過各系統及應用程式所產生任何型式的紀錄,都必須妥善保存,以利日後必要之時可以舉證之用,因此Log保存與管理的重要性已完全不同以往,不再像過去是選擇性的作法。
海量 Log 管理多工複雜 整合萃取是關鍵
新法上路以來,企業已經意識到Log管理的重要性,但是早期大多數的企業的 IT 人員在採購 IT 系統或設備時,事實上是沒有很全面地加以規畫。比如說,系統對於每一種 Log 的儲存量,都有一個上限值,當資料量累積起來超過預設上限值,就無法再繼續保存在系統當中。
若在一開始採購沒有規畫好或搭配合適的系統去輔助,傳統上可能採取的作法,就是將 Log 匯出、存檔備查,等到需要時,再重新匯入搜尋;甚至有些系統本身沒有搭配大容量的儲存裝置,有些 IT 人員,不知道該怎麼處理而直接選擇清除記錄,或是有些 IT 系統雖有 Log 檔的自動壓縮機制,讓佔用的空間變少,但在日後要調閱相關 Log 檔,卻不知如何使用的話也沒有太大的幫助。
另外,由於不同系統有不同 Log,各式各樣的原始資料造成系統彼此之間產生的格式差異也很大。如果單純只是記錄這些 Log 是無法讓高層管理者理解其中的意義,如同在大海撈針,Log 管理必須經過萃取、分析、統計等處理程序,才能有效提升自身 IT 管理、資訊安全。
一站式Log管理有效提升營運系統與彈性
Log 管理主要著重在記錄功能的完整性。由於現代各系統網路化,因此透過網路記錄 Log 是最高效的方式,同時也可以兼顧系統需求變更的彈性。龐大資料量收集之後,必須達到即時分析、認證、加密儲存等,並且維持整體系統效能才算是真正有 Log 管理的效果。
digiLogs 能對常見日誌文件、網路封包、系統指標進行簡化收集並萃取處理,再有效地將日誌、事件等多個來源數據作轉換,在內部統一處理成 JSON 格式傳送到 Search Engine,建立索引以結構、非結構、時間序列的資料,做快速搜尋、高效分析,最後可讓資料藉由視覺化的方式更清晰地呈現。
digiLogs 透過單一瀏覽器即可管理企業海量日誌(Log)的集中式管理平台,支援四十多種資料來源格式,能按客戶需求解析邏輯、萃取日誌資料保存,以及全文檢索、關鍵字查詢、彈性搜尋等查詢並提供告警機制。除了具備視覺化報表與數位儀表板外,多元彈性的管理分析報表,滿足日誌管理各項需求,降低 IT 管理時間成本並增加工作效率。
參考資料:
了解更多昕力資訊產品:digiLogs
延伸閱讀: digiLogs 日誌管理系統的多樣化查詢功能