Tagantjärele tarkus tuleb logidest

Tagantjärele tarkus tuleb logidest

2017-05-31

Teadmatus on omamoodi õnnistus ja kogu IT-haldus tundub pahatihti olema üksjagu kulukas. Nõnda on nii mõnegi organisatsiooni kogemuste pagasis lugusid sellest, kuidas mõni pahatahtlik inimene kustutas vägagi vajalikud failid või lunavara krüpteeris kõik, millel vähegi väärtust. Seejärel muutub korraga enesestmõistetavaks, et tagavarakoopiad on ikka täitsa vajalikud asjad.

Sama lugu on logide kogumise ja analüüsimisega. Keskmiselt avastatakse õnnestunud sissemurdmine alles 146 päeva pärast ründe toimumist, mis jätab halbade kavatsustega inimestele pea pool aastat aega, et meie andmetega segamatult toimetada. Me küll kogume tihti infot failiõiguste muutmise või õnnestunud ja ebaõnnestunud sisselogimiste kohta, kuid nendest anomaaliate leidmine on enamike arvates liiga keeruline ja ajamahukas ning nii see tegemata tööde loetelus üha tahapoole vajub.

Logide kogumis- ja analüüsimissüsteemi loomise puhul on oluline läbi mõelda tähtsad nüansid:

  • Millist infot ja kui kaua vajatakse?
  • Millist infot on võimalik koguda?
  • Kuidas saame seda infot kasutada?
  • Kuidas tagame, et kõrvalekalded tuvastatakse ning sellest IT-meeskonda teavitatakse?
  • Millised on seadusandlusest tulenevad nõuded?

Nagu viimasest küsimusest selgub, võib logide kogumise ja säilitamise nõue tuleneda ka seadusandlusest. Nii on näiteks elektroonilise side seaduses ära toodud nii nõutud andmestik kui ka säilitustähtajad, mida sideettevõtjad on kohustatud jälgima. Samuti on erinevates organisatsioonides kehtestatud sisereeglid, mis reguleerivad logifailide kogumise, säilitamise ja kasutamise korda.

Kuna logifailid võimaldavad lihtsamatel juhtudel tõendada millegi toimumist või mittetoimumist, siis võib nende automatiseeritud kogumine ja analüüsimine anda meile olulist infot süsteemide kasutuse ja väärkasutuse kohta. Kuid oluline on silmas pidada üht: analüüsida saab vaid andmeid, mis olemas on. See tähendab, et logida tuleb ennetavalt, sest kui küsimused on tekkinud ning tuleb vastuseid leida, on juba hilja hakata kasutusandmeid koguma.

Kuidas koguda, säilitada ja analüüsida?

Tänuväärt töö on siinkohal ära teinud Microsoft, kes on loonud logide haldamiseks lahenduse nimega Microsoft Operation Management Suite (OMS), mille osaks on Log Analytics. See lahendus võimaldab nii logide kogumist, säilitamist kui ka nende automaatset analüüsi. Logidest on toetatud nii Windowsi kui ka Linuxi süsteemsed logid ja jõudlusinfo, IIS veebiserveri logid, Syslog ning tegelikkuses võib Log Analyticsis ära kirjeldada mis tahes logifaili ning võimaldada selle kogumist ja analüüsimist.

Eriti suure väärtuse annavad sellele lahendusele ettevalmistatud analüüsikomplektid, mille hulk suureneb pidevalt. Hetkel on võimalik kasutada näiteks järgnevaid: süsteemi uuendused, varundamine, automatiseerimine, teavituste haldus, muudatuste jälgimine, turvalisus ja audit, AD ja SQL seisundianalüüs jne. Need lahendused ühendavad logide põhjal leitu Microsofti teadmusbaasidega ning väljundiks on põhjalikud raportid, mis annavad teie süsteemi hetkeolukorrast põhjaliku ülevaate.

OMS-i abil saab luua lihtsa monitooringusüsteemi. Lisaks teavitustele saab seadistada süsteemi automaatseid veaparandusi käivitama. Näiteks, kui mõni kriitiline teenus seiskub, on selle põhjal võimalik käivitada skriptid, mis selle teenuse taaskäivitavad.

Samuti saab OMS-i abil tuvastada võimalikud seadistusvead. Nii antakse teile parimatel praktikatel põhinevaid soovitusi, kuidas oma süsteemid efektiivsemalt ja turvalisemalt tööle seadistada.

Räägime rahast…

Alustada saab tasuta: kuni 500 MB logide säilitamine ja analüüsimine päevas on teile tasuta. Andmeid hoitakse sellisel juhul 7 päeva ning kogu lahenduse võimekus on kättesaadav, funktsionaalseid piiranguid ei ole. Kogemus on näidanud, et organisatsioonid, kes alustavad tasuta lahendusega, saavad väga kiiresti koostada järgmise aasta tegevuskava. Juba mõne kriitilisema süsteemi logide põhjal on võimalik teha vajalikke järeldusi.

Kui tasuta variandist enam ei piisa, on võimalik jätkata tasulise lahendusega. 1 GB logide analüüsimine lahendus maksab umbes 2 eurot ning hoiustamisperiood on 31 päeva. Kui reeglid eeldavad pikemat hoiustamisperioodi, on vajadusel võimalik seda aega pikendada kahe aastani. Samuti on võimalik arvutipõhine hinnakujundus, sellisel juhul hakkavad hinnad 10–15 eurost kuus ühe arvuti kohta.

Soovitangi alustada esialgu demokeskkonnast ning hea oleks katsetamiseks teha Azure konto ja võimalused ise järele proovida.

Microsofti lahendused logide analüüsimiseks on kindlasti ühed parimatest. Samas jääb igale ettevõttele vabadus valida, milline süsteem on talle logimiseks sobiv ja kui suures mahus on logianalüüsi vaja kasutada. Loodan siiski, et pea igapäevaseks muutunud suured turvaintsidendid panevad aina enam ettevõtteid logisüsteeme läbimõeldult kasutama. Nii jääb üha vähemaks neid ettevõtteid, kes vaid tagantjärele targad on, et oleks võinud ikka uurida, mis IT-süsteemides tegelikult toimub.

Kui teema tekitas huvi, siis osale Microsofti pilveteenuste teemalistel seminaridel või võta meiega ühendust: Heiki.tahis@atea.ee

Heiki Tähis
Pre Sales Technical Consultant