Giacomo Lanzi
Gestione dei Log File con il servizio di Secure Online Desktop
Tempo di lettura: 5 min
I sistemi IT producono grandi quantita’ di log file, strumenti utilissimi per garantire la sicurezza dei dati e la stabilita’ delle applicazioni. Pero’, in un ecosistema complesso, la quantita’ di file e la loro posizione, possono diventare due scogli insormontabili da superare, nel caso in cui sia necessario consultare i dati in modo efficiente. Ecco che entrano in gioco i sistemi di log management, che grazie a tecnologie come quella di Syslog-ng, sono in grado di aggirare il problema. Nell’articolo vediamo in che modo una soluzione di gestione dei log file possa essere un investimento prezioso.
Cos’e’ un log file, a cosa serve
Ogni azione che viene compiuta su un macchina o da essa, puo’ essere registrata in un file log. Per capire cosa sia, immaginiamo che si tratti del diario di bordo di una nave, in cui viene annotato ogni singolo fatto accaduto sull’imbarcazione. In effetti, il nome deriva proprio dall’ambiente nautico, in cui era comune l’uso di un logbook. Questo non era altro che un diario in cui venivano segnati, a intervalli regolari, i dati di navigazione: velocita’, forza e direzione del vento, condizione delle acque e cosi’ via.
Con il concetto di registrare informazioni utili in un file consultabile successivamente, il log file contiene ogni cambiamento, azione, stato o modifica per motivi di sicurezza. Nel caso in cui qualcosa dovesse andare storto, e’ semplice capire cosa sia successo consultando un log file. Questo e’ particolarmente vero quando parliamo di server e di applicazioni, diffusione dei dati, sicurezza IT, etc.
Quantita’ di log file
Alcune compagnie hanno fino a qualche decina di server, altre ne anno centinaia, alcune migliaia e ce ne sono altre che gestiscono decine di migliaia di server. Questi sistemi producono un numero enorme di dati sotto forma di log file.
A complicare le cose ci si mette l’architettura informatica. Molto spesso le macchine sono organizzate in sottosistemi, sia per motivi di comodita’ che di sicurezza. Nel malaugurato caso in cui qualcuno volesse consultare i log file in seguito a un incidente, ci sarebbe da disperarsi. Quale server conserva il dato che ci interessa? In quale sottosistema si trova? Non sono domande a cui si riesce a dare una risposta semplice, soprattutto se non si conosce l’origine del problema.
La gestione dei log file di un sistema (o Log Management) e’ indispensabile nella raccolta dei dati, prevenzione e risoluzione di problemi.
Log Management di Secure Online Desktop
SOD propone una soluzione di log management tramite gli agenti di Syslog-ng Premium Edition. Questi sono in carico della raccolta, trasmissione e stoccaggio dei log file. Non solo vengono raccolti e centralizzati in un unico luogo virtuale, ma i dati sono anche normalizzati, cioe’ “tradotti” in formati standardizzati in modo da poterli consultare e confrontare con maggiore facilita’.
Normalizzazione, report e classificazione in real-time
Grazie alla normalizzazione, e’ possibile effettuare in pochi secondi ricerche full-text trasversali a tutti i log file raccolti. Operazioni complesse sono garantite dalla possibilita’ di utilizzo di wildcard e operatori booleani. L’analisi dei dati raccolti ne risulta quindi molto semplificata, il che permette di utilizzare i dati anche per monitorare l’efficienza del sistema, individuare possibili problemi futuri e intervenire prima che sia troppo tardi.
E’ possibile anche generare report personalizzati composti da grafici e statistiche con lo scopo di attestare la conformita’ a norme e regolamenti come PCI-DSS, ISO 27001, SOX e HIPAA.
Una delle caratteristiche piu’ interessanti di syslog-ng, e’ la capacita’ di classificare in modo automatico i messaggi e ordinarli in classi. Queste possono essere poi usate per etichettare il tipo di evento descritto nel log. Esempi di possibili classi: login utente, crash dell’applicazione, trasferimento file, etc.
Estrazione e correlazione dei messaggi nei log file
La classificazione dei messaggi apre le porte a un ulteriore funzionalita’: l’estrazione e correlazione dei messaggi. Una volta che ogni messaggio contenuto nei log file e’ stato normalizzato e classificato secondo le proprie esigenze, e’ possibile assegnare diversi tag, per aggiungere un livello di filtro ulteriore.
Per fare un esempio: una volta raccolti i messaggi di accesso di un utente, e’ possibile etichettarli come user_login, e poi isolarli estraendoli e raccogliendoli in un file separato per eseguire ulteriori elaborazioni su questi messaggi.
Syslog-ng rende possibile anche la correlazione degli eventi in tempo reale, per evitare che i dati di un singolo evento siano sparsi in diversi log file. Per esempio i dati di accesso e uscita (log-in e log-out) sono spesso registrati lontani l’uno dall’altro, addirittura in log file diversi. Attraverso la correlazione si possono raccogliere e analizzare i dati di un singolo evento in modo isolato.
Backup automatico
I messaggi di log memorizzati e la configurazione del servizio di Log Management possono essere periodicamente trasferiti a un server remoto utilizzando i seguenti protocolli:
– Network File System protocol (NFS)
– Rsync over SSH
– Server Message Block protocol (SMB/CIFS)
Prestazioni
Il sistema di raccolta e gestione dei log file con gli agenti syslog-ng PE opera su oltre 50 piattaforme, incluse tutte le distribuzioni di Linux e le versioni commerciali di Unix e Windows. Il servizio e’ in grado di gestire quantita’ enormi di messaggi, fino a oltre 100.000 al secondo e oltre 70 GB di log file grezzi all’ora, da 5000 fonti differenti (server, applicativi, etc.).
Chiedici ulteriori informazioni sul nostro servizio di Log Monitoring per sapere nello specifico come e’ implementabile nei tuoi sistemi e come puo’ esserti di aiuto.
Link utili:
Log Management caratteristiche
Nuovo servizio | Log Management – Il servizio ad alte prestazione per la conservazioni dei Log
Condividi
RSS
Piu’ articoli…
- Event Overload? Il nostro SOCaaS può aiutare!
- Schemi di business email compromise (BEC)
- XDR come approccio alla sicurezza
- Cos’è la threat intelligence?
- Data Loss Prevention: definizione e utilizzi
- Prevenire il shoulder surfing e il furto di credenziali aziendali
- HTTP/3, tutto quello che c’è da sapere del protocollo di ultima versione
- Machine learning e cybersecurity: Applicazioni UEBA e sicurezza
Categorie …
- Backup as a Service (3)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (22)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (12)
- ownCloud (7)
- Privacy (7)
- Secure Online Desktop (14)
- Security (8)
- Ethical Phishing (4)
- SOCaaS (15)
- Vulnerabilita' (82)
- Web Hosting (15)
Tags
CSIRT
- Aggiornati prodotti Cisco
(AL02/210506/CSIRT-ITA) Maggio 6, 2021Cisco ha rilasciato diversi aggiornamenti di sicurezza per risolvere alcune vulnerabilità relative ai propri prodotti.
- Risolta vulnerabilità in VMware vRealize Business
(AL01/210506/CSIRT-ITA) Maggio 6, 2021VMware ha rilasciato aggiornamenti di sicurezza per sanare una vulnerabilità in vRealize Business for Cloud.
- Sanata vulnerabilità in Django
(AL03/210505/CSIRT-ITA) Maggio 5, 2021Disponibili aggiornamenti per Django, framework open source per lo sviluppo di applicazioni web.
- Aggiornamento DELL risolve vulnerabilità di gravità alta
(AL02/210505/CSIRT-ITA) Maggio 5, 2021Dell corregge la CVE-2021-21551, una vulnerabilità con gravità “alta”, presente nel driver del BIOS dbutil.
- Aggiornamenti cPanel
(AL01/210505/CSIRT-ITA) Maggio 5, 2021cPanel rilascia aggiornamenti per il pannello di amministrazione per portali web.
- Aggiornamento risolve le vulnerabilità “21Nails” di Exim
(AL03/210504/CSIRT-ITA) Maggio 4, 2021La nuova versione del mail server risolve 21 vulnerabilità, di cui 11 sfruttabili da locale e 10 da remoto.
- Rilasciata PoC pubblica per la CVE-2021-28482
(AL02/210504/CSIRT-ITA) Maggio 4, 2021Il 2 maggio è stata rilasciata una Proof of Concept che illustra le modalità di sfruttamento della vulnerabilità CVE-2021-28482 di Microsoft Exchange.
- Aggiornamento: risolte ulteriori vulnerabilità in Pulse Connect Secure
(AL01/210504/CSIRT-ITA) Maggio 4, 2021La nuova versione di Pulse Connect Secure sana 3 nuove vulnerabilità, oltre a quella già trattata nell'AL02/210421/CSIRT-ITA.
- La Settimana Cibernetica del 2 maggio 2021 Maggio 3, 2021Scarica il riepilogo delle notizie pubblicate dallo CSIRT italiano dal 26 aprile al 2 maggio 2021.
- Vulnerabilità multiple nei server DNS di ISC BIND
(AL04/210430/CSIRT-ITA) Aprile 30, 2021ISC ha rilasciato aggiornamenti di sicurezza per sanare 3 vulnerabilità nei server DNS BIND, di cui 2 con gravità “alta”.
Dark Reading:
- CISA Publishes Analysis on New 'FiveHands' Ransomware Maggio 6, 2021Attackers used publicly available tools, FiveHands ransomware, and SombRAT to successfully target an organization, officials report.
- Securing the Internet of Things in the Age of Quantum Computing Maggio 6, 2021Internet security, privacy, and authentication aren't new issues, but IoT presents unique security challenges.
- Cloud-Native Businesses Struggle with Security Maggio 6, 2021More companies moved to cloud-native infrastructure in the past year, and security incidents and malware moved right along with them.
- Biden's Supply Chain Initiative Depends on Cybersecurity Insights Maggio 6, 2021Those helming the US supply chain executive order need to leverage standards, measurement, and the lessons cybersecurity leaders have learned.
- How to Move Beyond Passwords and Basic MFA Maggio 6, 2021It's not a question of whether passwordless is coming -- it's simply a question of when. How should your organization prepare? (Part two of a two-part series.)
- Black Hat Asia Speakers Share Secrets About Sandboxes, Smart Doors, and Security Maggio 6, 2021Find video interviews with some of the coolest Black Hat Asia experts right here, as part of the Dark Reading News Desk this week.
- Attackers Seek New Strategies to Improve Macros' Effectiveness Maggio 5, 2021The ubiquity of Microsoft Office document formats means attackers will continue to use them to spread malware and infect systems.
- Gap Between Security and Networking Teams May Hinder Tech Projects Maggio 5, 2021Professionals in each field describe a poor working relationship between the two teams
- DoD Lets Researchers Target All Publicly Accessible Info Systems Maggio 5, 2021The Department of Defense expands its vulnerability disclosure program to include a broad range of new targets.
- Wanted: The (Elusive) Cybersecurity 'All-Star' Maggio 5, 2021Separate workforce studies by (ISC) 2 and ISACA point to the need for security departments to work with existing staff to identify needs and bring entry-level people into the field.
Full Disclosure
- APPLE-SA-2021-05-03-3 watchOS 7.4.1 Maggio 4, 2021Posted by Apple Product Security via Fulldisclosure on May 04APPLE-SA-2021-05-03-3 watchOS 7.4.1 watchOS 7.4.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212339. WebKit Available for: Apple Watch Series 3 and later Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report […]
- APPLE-SA-2021-05-03-4 macOS Big Sur 11.3.1 Maggio 4, 2021Posted by Apple Product Security via Fulldisclosure on May 04APPLE-SA-2021-05-03-4 macOS Big Sur 11.3.1 macOS Big Sur 11.3.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212335. WebKit Available for: macOS Big Sur Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a […]
- APPLE-SA-2021-05-03-1 iOS 14.5.1 and iPadOS 14.5.1 Maggio 4, 2021Posted by Apple Product Security via Fulldisclosure on May 04APPLE-SA-2021-05-03-1 iOS 14.5.1 and iPadOS 14.5.1 iOS 14.5.1 and iPadOS 14.5.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212336. WebKit Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, […]
- APPLE-SA-2021-05-03-2 iOS 12.5.3 Maggio 4, 2021Posted by Apple Product Security via Fulldisclosure on May 04APPLE-SA-2021-05-03-2 iOS 12.5.3 iOS 12.5.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212341. WebKit Available for: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, and iPod touch (6th generation) Impact: Processing maliciously crafted […]
- KSA-Dev-0012:CVE-2021-25326:Unauthenticated Sensitive information Discloser in Skyworth RN510 Mesh Extender Maggio 4, 2021Posted by Kaustubh Padwad via Fulldisclosure on May 04Overview ======== Title:- UnAuthenticated Sensitive information Discloser in RN510 Mesh Extender. CVE-ID :- CVE-2021-25326 Author: Kaustubh G. Padwad Vendor: Shenzhen Skyworth Digital Technology Company Ltd.(http://www.skyworthdigital.com/products) Products: 1. RN510 with firmware V.3.1.0.4 (Tested and verified) Potential 2.RN620 with respective firmware or below 3.RN410 With Respective […]
- KSA-Dev-0011:CVE-2021-25327: Authenticated XSRF in Skyworth RN510 Mesh Extender Maggio 4, 2021Posted by Kaustubh Padwad via Fulldisclosure on May 04Overview ======== Title:- Authenticated XSRF in RN510 Mesh Extender. CVE-ID :- CVE-2021-25327 Author: Kaustubh G. Padwad Vendor: Shenzhen Skyworth Digital Technology Company Ltd.(http://www.skyworthdigital.com/products) Products: 1. RN510 with firmware V.3.1.0.4 (Tested and verified) Potential 2.RN620 with respective firmware or below 3.RN410 With Respective firmwware or […]
- KSA-Dev-0010:CVE-2021-25328:Authenticated Stack Overflow in Skyworth RN510 mesh Device Maggio 4, 2021Posted by Kaustubh Padwad via Fulldisclosure on May 04itle :- Authenticated Stack Overflow in RN510 mesh Device CVE-ID:- CVE-2021-25328 Author: Kaustubh G. Padwad Vendor: Shenzhen Skyworth Digital Technology Company Ltd.(http://www.skyworthdigital.com/products) Products: 1. RN510 with firmware V.3.1.0.4 (Tested and verified) Potential 2.RN620 with respective firmware or below 3.RN410 With Respective firmwware or below. […]
- Re: Two vulnerabilities found in MikroTik's RouterOS Maggio 4, 2021Posted by Q C on May 04[Update 2021/05/04] Two CVEs have been assigned to these vulnerabilities. CVE-2020-20219: Mikrotik RouterOs 6.44.6 (long-term tree) suffers from a memory corruption vulnerability in the /nova/bin/igmp-proxy process. An authenticated remote attacker can cause a Denial of Service (NULL pointer dereference). CVE-2020-20262: Mikrotik RouterOs before 6.47 (stable tree) suffers from an […]
- Re: Two vulnerabilities found in MikroTik's RouterOS Maggio 4, 2021Posted by Q C on May 04[Update 2021/05/04] Two CVEs have been assigned to these vulnerabilities. CVE-2020-20221: Mikrotik RouterOs before 6.44.6 (long-term tree) suffers from an uncontrolled resource consumption vulnerability in the /nova/bin/cerm process. An authenticated remote attacker can cause a Denial of Service due to overloading the systems CPU. CVE-2020-20218: Mikrotik RouterOs 6.44.6 (long-term […]
- Re: Two vulnerabilities found in MikroTik's RouterOS Maggio 4, 2021Posted by Q C on May 04[Update 2021/05/04] CVE-2020-20212 and CVE-2020-20211 have been assigned to these two vulnerabilities. CVE-2020-20212: Mikrotik RouterOs 6.44.5 (long-term tree) suffers from a memory corruption vulnerability in the /nova/bin/console process. An authenticated remote attacker can cause a Denial of Service (NULL pointer dereference) CVE-2020-20211: Mikrotik RouterOs 6.44.5 (long-term tree) suffers from […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Tempo di lettura: 4 minMonitoraggioNegli ultimi anni abbiamo assistito ad una rapida evoluzione delle infrastruttur… https://t.co/3EQ6yPJG4g
-
SecureOnlineDesktop
Tempo di lettura: 6 min WastedLocker e' un software per attacchi ransomware che ha iniziato a colpire imprese e al… https://t.co/yRXHQPoAlG
-
SecureOnlineDesktop
syslog server - High performance service for collecting logs - Use all the strengths of the syslog-ng Premium Edit… https://t.co/NOmReNicwb
-
SecureOnlineDesktop
WastedLocker is ransomware attack software that began targeting businesses and other organizations in May 2020. It… https://t.co/8244AWLg8s
-
SecureOnlineDesktop
Tempo di lettura: 5 min Sia che si tratti di WordPress o no, il vostro sito web e' potenzialmente vulnerabile agli… https://t.co/k0NpytICpQ
Newsletter
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Event Overload? Il nostro SOCaaS può aiutare! Maggio 3, 2021
- Schemi di business email compromise (BEC) Aprile 28, 2021
- XDR come approccio alla sicurezza Aprile 26, 2021
- Cos’è la threat intelligence? Aprile 21, 2021
- Data Loss Prevention: definizione e utilizzi Aprile 19, 2021
Recensioni Google
Contatti
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications