Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Informazioni su Log Analisys

Hai problemi con i file Zip, vuoi formattare l'HD, non sai come funziona FireFox? O magari ti serve proprio quel programmino di cui non ricordi il nome! Ecco il forum dove poter risolvere i tuoi problemi.

Moderatori: Dylan666, hydra, gahan

Informazioni su Log Analisys

Postdi BenjaminMalaussene » 21/05/03 11:12

ciao a tutti! :)
qualcuno saprebbe dirmi dove trovare del materiale on-line che riguardi l'analisi dei log in generale? :?:
ho già usato i motori di reicerca :P
grazie
non è la fame ma l'ignoranza che uccide!
(Litfiba)
BenjaminMalaussene
Utente Junior
 
Post: 54
Iscritto il: 14/04/03 10:51

Sponsor
 

Postdi Nippur_ge » 21/05/03 14:41

Se per i log intendi L'event log di sistema (dall'event viewer) puoi andare su:

http://www.eventid.net

Se i log sono di qualcos'altro dipende da cos'è....
Nippur_ge
Utente Senior
 
Post: 166
Iscritto il: 13/05/03 09:08
Località: Genova

Postdi BenjaminMalaussene » 21/05/03 14:55

effettivamente non sono stato molto chiaro.... :undecided:
solo che per me è un argomento nuovo...
cerco della documentazione per iniziare a farmi un'idea di come vengano "trattati" i log che vengono generati quando si accede ad un server, o una rete in generale. che sò, come li si può gestire, di che tipo sono, come interpretrli e come leggerli.
spero di essere stato un po' più chiaro.
ciao e grazie
non è la fame ma l'ignoranza che uccide!
(Litfiba)
BenjaminMalaussene
Utente Junior
 
Post: 54
Iscritto il: 14/04/03 10:51

Postdi BenjaminMalaussene » 21/05/03 15:01

per rendere meglio l'idea, lo studio dei log dovrebbe essere finalizzato al riconoscimento di eventuali intrusioni all'interno di una rete e non a scopo unicamente statistico.
ciao :)
non è la fame ma l'ignoranza che uccide!
(Litfiba)
BenjaminMalaussene
Utente Junior
 
Post: 54
Iscritto il: 14/04/03 10:51

Postdi Nippur_ge » 21/05/03 16:52

Mmmmm Ora diciamo che è un pelo più chiaro, ma ti manca la visione d'insieme del discorso Logging.

Mi spiego meglio:

Ci sono una serie di Log, prodotti da diverse applicazioni e con formati differenti. Ad esempio, in una rete tipo, dovresti controllare i log relativi a:

1 - Firewall (Tentativi di accesso, Port Scan, Connessioni da remoto)
2 - Server di Posta Elettronica (Tentativi di relay, Invio di Mail virate, tentativi di attacco)
3 - Server Web (tentativi di Attacco, Log on, modifiche ai dati)
4 - Log-On interno alla rete (Registro di Protezione degli eventi)
5 - Last but not the least Log dell'antivirus (magari centralizzato)

Ovviamente se hai altri strumenti / Server, devi controllare i log anche di questi.
Ovviamente non esiste una figura che passa la vita a guardare queste maree di dati, e tieni presente, inoltre, che su un'IP Pubblico, arrivano giornalmente una ventina di Portscan tanto per darti un'idea.

L'approccio normalmente è diverso, o si Attiva una Consolle di monitoraggio (che registra degli "avvisi" quando avvengono determinati eventi), o alternativamente si attivano delle funzioni di Alerting sempre su eventi critici (ma non centralizzando la cosa).

Ovviamente in presenza di eventi critici si vanno a spulciare i log cercando di capire cosa è successo.

Ora, darti un'idea "globale" su come si analizzano i log è ovviamente fuori dalla portata anche di un libro in generale. Il Log registra quel che è successo, ma devi saperne della materia specifica.
Se hai delle esigenze peculiari e le posti vedo se posso darti qualche delucidazione.
Nippur_ge
Utente Senior
 
Post: 166
Iscritto il: 13/05/03 09:08
Località: Genova

Postdi BenjaminMalaussene » 22/05/03 09:23

Nippur_ge ha scritto:alternativamente si attivano delle funzioni di Alerting sempre su eventi critici (ma non centralizzando la cosa).

perchè non centralizzando? darebbe problemi la mole di dati? o non si riescono a gestire?

Ovviamente non esiste una figura che passa la vita a guardare queste maree di dati

nel senso che il compito viene demandato alla consolle di cui mi parlavi?
e nel caso dove trovo documentazione/informazioni sul lavoro di questo genere di consolle?

Se hai delle esigenze peculiari e le posti vedo se posso darti qualche delucidazione.

come si impara ad "interpretare" questi log?dove trovo il materiale,visto che non esistono libri?
sto cercando di capire quanto è difficile fare una gestione e un'analisi real-time dei LOG (sempre in una rete interna) per tentare di intercettare eventuali intrusioni prima che "l'intruso" faccia danni (o al limite mentre li sta facendo).
perdonami nel caso io sia poco chiaro o "ingenuo" nella mia visione dell'argomento.
grazie 1000
non è la fame ma l'ignoranza che uccide!
(Litfiba)
BenjaminMalaussene
Utente Junior
 
Post: 54
Iscritto il: 14/04/03 10:51

Postdi Nippur_ge » 23/05/03 11:22

BenjaminMalaussene ha scritto:perchè non centralizzando? darebbe problemi la mole di dati? o non si riescono a gestire?


Se hai una consolle centralizzata hai tutto centralizzato, altrimenti devi necessariamente andare a guardare Alert By Alert.

BenjaminMalaussene ha scritto:nel senso che il compito viene demandato alla consolle di cui mi parlavi?
e nel caso dove trovo documentazione/informazioni sul lavoro di questo genere di consolle?


Nel senso che evidentemente, per sistemi un pelo complessi diventa un lavoro troppo oneroso.
Le consolle "belle" si chiamano Tivoli della IBM, o HP OpenView, ma ci sono anche consolle SNMP "Open Source" meno efficaci ma funzionali.

BenjaminMalaussene ha scritto:come si impara ad "interpretare" questi log?dove trovo il materiale,visto che non esistono libri?


Una registrazione in un log ti dice che è successo qualcosa. Se non hai ide di cosa possa succedere ne di come è strutturato il sistema, leggere i log è come leggere un libro giallo in koreano cercando di capire il colpevole.
Devi capire come funzionano i sistemi, poi i log vengono di conseguenza.

BenjaminMalaussene ha scritto:sto cercando di capire quanto è difficile fare una gestione e un'analisi real-time dei LOG (sempre in una rete interna) per tentare di intercettare eventuali intrusioni prima che "l'intruso" faccia danni (o al limite mentre li sta facendo).


Esistono anche dei SW di Intrusion Detection che si basano su Pattern di analisi "standard". Anche qui ce ne sono un po.
NetProwler Symantec è notevole e complesso.
GFI Languard SELM fa anch'esso un ottimo lavoro e costa meno.

Come prodotti "free", potresti dare un'occhiata a Nessus (che fa un lavoro un po diverso) e a SNORT (che fa anti-sniffing) solo che, entrambi, richiedono un livello di competenza non banale.

Ciao
Nippur_ge
Utente Senior
 
Post: 166
Iscritto il: 13/05/03 09:08
Località: Genova

Postdi kadosh » 23/05/03 11:58

Nessus e SNORT però sono per ambienti prevalentemente Unix Like, ritengo che LAN Guard sia tra i più immediati da capire e da utilizzare.

Non aver fretta di capire tutto, perchè spulciare un Log non è un lavoro piacevole e richiama una pazienza innata. Io ultimamente sto concentrando gli sforzi su HP Open View ed i suoi Plug-in ( Vantage point e NNM ), e i vari Tools della ISS ( Real Secure, Internet & System Scanner + vari Network Sensor ); eliminando le Policies del FW quello che cmq appare agli occhi è un mare di Logs spesso inutili, che però non puoi lasciar passare per troppo tempo senza fargli una breve analisi.

A seconda del tool che usi e della rete che implementi parti con una serie di conoscenze note, alle quali dovrai aggiungere gli sviluppi portati dall'uso di applicativi che tendono a complicare l'immagine standard che hai delle rete. Senza poi dimenticare i logs dei vari antivirus sparsi.

Davanti hai un mosaico da comporre. L'insieme da ricostruire difficilmente sarà poi lo stesso, giorno per giorno. Non ci sono libri che possono spiegarti tutto ciò, però l'esperienza aiuta parecchio; dopo un po' vedrai che il bandolo della matassa riuscirai ad intravederlo eheheh...in bocca al lupo :P

Per farti un rapido esempio, i Logs tracciati dal nostro FW sono circa 20 al minuto sulla singola interfaccia, quindi analizzarli uno per uno è decisamente da malati. Bisogna sempre filtrare ciò che si cerca, quel che ci si aspetta e quello che non dovrebbe esserci. Alla fine cmq...un po' di culo non fa mai male 8)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi BenjaminMalaussene » 23/05/03 12:50

Nippur_ge ha scritto:Devi capire come funzionano i sistemi, poi i log vengono di conseguenza

ho letto di log che vengono criptati per maggior sicurezza, e infatti mi è capitato di beccare degli esempi di log incomprensibili al contrario di altri facilmente interpretabili... :(
Nippur_ge ha scritto:solo che, ..., richiedono un livello di competenza non banale.


kadosh ha scritto:Non aver fretta di capire tutto, perchè spulciare un Log non è un lavoro piacevole e richiama una pazienza innata

spero che non sia competenza che richieda anni di applicazione :eeh: :eeh:
non mi prendete per un tipo superficiale, non è che voglia saltare le tappe, ma è importante che capisca bene quali siano le difficoltà connesse (dovrei basare la mia tesi su questi argomenti) e non mi va di fare previsioni di tempo sballate :-?

grazie e ciao
non è la fame ma l'ignoranza che uccide!
(Litfiba)
BenjaminMalaussene
Utente Junior
 
Post: 54
Iscritto il: 14/04/03 10:51

Postdi Nippur_ge » 23/05/03 14:42

BenjaminMalaussene ha scritto:ho letto di log che vengono criptati per maggior sicurezza, e infatti mi è capitato di beccare degli esempi di log incomprensibili al contrario di altri facilmente interpretabili... :(


Tipo?

BenjaminMalaussene ha scritto:spero che non sia competenza che richieda anni di applicazione :eeh: :eeh:
non mi prendete per un tipo superficiale, non è che voglia saltare le tappe, ma è importante che capisca bene quali siano le difficoltà connesse (dovrei basare la mia tesi su questi argomenti) e non mi va di fare previsioni di tempo sballate :-?


Arrivare ad una conoscenza approfondita richiede sicuramente anni.
Se devi fare una tesi puoi restringere il campo sugli argomenti specifici della tesi, ma mi sembra una cosa molto più "settoriale" sulla quale, documentandoti per qualche mese puoi produrre una tesi efficace.
Da li a fare il Consulente il passo è tutt'altro che breve.

Una delle grosse lezioni dell'informatica è che non puoi crescere senza studiare, e non puoi apprendere senza esperienza (e tanta)
Nippur_ge
Utente Senior
 
Post: 166
Iscritto il: 13/05/03 09:08
Località: Genova

Postdi BenjaminMalaussene » 23/05/03 16:33

Nippur_ge ha scritto:Tipo?

ho letto l'articolo su

http://www.sans.org/rr/paper.php?id=200
volevo allegare l'esempio, ma non so se posso visto che "Author retains full rights"

Nippur_ge ha scritto:Una delle grosse lezioni dell'informatica è che non puoi crescere senza studiare, e non puoi apprendere senza esperienza (e tanta)

sono un po' di anni che programmo in vari ambienti e con vari linguaggi, ogni volta all'inizio è una continua frustrazione. so che senza pratica non si va lontano.
cerco solo suggerimenti per ridurre al minimo il tempo passato a sbattere la testa contro il monitor.
ciao e grazie
non è la fame ma l'ignoranza che uccide!
(Litfiba)
BenjaminMalaussene
Utente Junior
 
Post: 54
Iscritto il: 14/04/03 10:51

Postdi Nippur_ge » 23/05/03 17:29

:)

L'articolo che citi è molto interessante a livello divulgativo.
Non dice "proprio" quello che hai interpretato ;)

Dice che, naturalmente, i Log devono servire allo sviluppatore dell'applicazione, e che per questo sono naturalmente "criptici" (ma non Crittati :D)
Oltre a questo, quando salvi dei log storici su CD, è buona norma "proteggerli" per evitare che alcuno, entrando in possesso degli stessi possa carpire informazioni sul sistema.

Tieni presente che dice (dette molto meglio) le cose che ci siamo detti anche noi, parecchio di più, e da una serie di link MOLTO interessanti per te....
Nippur_ge
Utente Senior
 
Post: 166
Iscritto il: 13/05/03 09:08
Località: Genova


Torna a Software Windows


Topic correlati a "Informazioni su Log Analisys":


Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti