Giacomo Lanzi
Gestione dei Log File con il servizio di Secure Online Desktop
Tempo di lettura: 5 min
I sistemi IT producono grandi quantita’ di log file, strumenti utilissimi per garantire la sicurezza dei dati e la stabilita’ delle applicazioni. Pero’, in un ecosistema complesso, la quantita’ di file e la loro posizione, possono diventare due scogli insormontabili da superare, nel caso in cui sia necessario consultare i dati in modo efficiente. Ecco che entrano in gioco i sistemi di log management, che grazie a tecnologie come quella di Syslog-ng, sono in grado di aggirare il problema. Nell’articolo vediamo in che modo una soluzione di gestione dei log file possa essere un investimento prezioso.
Cos’e’ un log file, a cosa serve
Ogni azione che viene compiuta su un macchina o da essa, puo’ essere registrata in un file log. Per capire cosa sia, immaginiamo che si tratti del diario di bordo di una nave, in cui viene annotato ogni singolo fatto accaduto sull’imbarcazione. In effetti, il nome deriva proprio dall’ambiente nautico, in cui era comune l’uso di un logbook. Questo non era altro che un diario in cui venivano segnati, a intervalli regolari, i dati di navigazione: velocita’, forza e direzione del vento, condizione delle acque e cosi’ via.
Con il concetto di registrare informazioni utili in un file consultabile successivamente, il log file contiene ogni cambiamento, azione, stato o modifica per motivi di sicurezza. Nel caso in cui qualcosa dovesse andare storto, e’ semplice capire cosa sia successo consultando un log file. Questo e’ particolarmente vero quando parliamo di server e di applicazioni, diffusione dei dati, sicurezza IT, etc.
Quantita’ di log file
Alcune compagnie hanno fino a qualche decina di server, altre ne anno centinaia, alcune migliaia e ce ne sono altre che gestiscono decine di migliaia di server. Questi sistemi producono un numero enorme di dati sotto forma di log file.
A complicare le cose ci si mette l’architettura informatica. Molto spesso le macchine sono organizzate in sottosistemi, sia per motivi di comodita’ che di sicurezza. Nel malaugurato caso in cui qualcuno volesse consultare i log file in seguito a un incidente, ci sarebbe da disperarsi. Quale server conserva il dato che ci interessa? In quale sottosistema si trova? Non sono domande a cui si riesce a dare una risposta semplice, soprattutto se non si conosce l’origine del problema.
La gestione dei log file di un sistema (o Log Management) e’ indispensabile nella raccolta dei dati, prevenzione e risoluzione di problemi.
Log Management di Secure Online Desktop
SOD propone una soluzione di log management tramite gli agenti di Syslog-ng Premium Edition. Questi sono in carico della raccolta, trasmissione e stoccaggio dei log file. Non solo vengono raccolti e centralizzati in un unico luogo virtuale, ma i dati sono anche normalizzati, cioe’ “tradotti” in formati standardizzati in modo da poterli consultare e confrontare con maggiore facilita’.
Normalizzazione, report e classificazione in real-time
Grazie alla normalizzazione, e’ possibile effettuare in pochi secondi ricerche full-text trasversali a tutti i log file raccolti. Operazioni complesse sono garantite dalla possibilita’ di utilizzo di wildcard e operatori booleani. L’analisi dei dati raccolti ne risulta quindi molto semplificata, il che permette di utilizzare i dati anche per monitorare l’efficienza del sistema, individuare possibili problemi futuri e intervenire prima che sia troppo tardi.
E’ possibile anche generare report personalizzati composti da grafici e statistiche con lo scopo di attestare la conformita’ a norme e regolamenti come PCI-DSS, ISO 27001, SOX e HIPAA.
Una delle caratteristiche piu’ interessanti di syslog-ng, e’ la capacita’ di classificare in modo automatico i messaggi e ordinarli in classi. Queste possono essere poi usate per etichettare il tipo di evento descritto nel log. Esempi di possibili classi: login utente, crash dell’applicazione, trasferimento file, etc.
Estrazione e correlazione dei messaggi nei log file
La classificazione dei messaggi apre le porte a un ulteriore funzionalita’: l’estrazione e correlazione dei messaggi. Una volta che ogni messaggio contenuto nei log file e’ stato normalizzato e classificato secondo le proprie esigenze, e’ possibile assegnare diversi tag, per aggiungere un livello di filtro ulteriore.
Per fare un esempio: una volta raccolti i messaggi di accesso di un utente, e’ possibile etichettarli come user_login, e poi isolarli estraendoli e raccogliendoli in un file separato per eseguire ulteriori elaborazioni su questi messaggi.
Syslog-ng rende possibile anche la correlazione degli eventi in tempo reale, per evitare che i dati di un singolo evento siano sparsi in diversi log file. Per esempio i dati di accesso e uscita (log-in e log-out) sono spesso registrati lontani l’uno dall’altro, addirittura in log file diversi. Attraverso la correlazione si possono raccogliere e analizzare i dati di un singolo evento in modo isolato.
Backup automatico
I messaggi di log memorizzati e la configurazione del servizio di Log Management possono essere periodicamente trasferiti a un server remoto utilizzando i seguenti protocolli:
– Network File System protocol (NFS)
– Rsync over SSH
– Server Message Block protocol (SMB/CIFS)
Prestazioni
Il sistema di raccolta e gestione dei log file con gli agenti syslog-ng PE opera su oltre 50 piattaforme, incluse tutte le distribuzioni di Linux e le versioni commerciali di Unix e Windows. Il servizio e’ in grado di gestire quantita’ enormi di messaggi, fino a oltre 100.000 al secondo e oltre 70 GB di log file grezzi all’ora, da 5000 fonti differenti (server, applicativi, etc.).
Chiedici ulteriori informazioni sul nostro servizio di Log Monitoring per sapere nello specifico come e’ implementabile nei tuoi sistemi e come puo’ esserti di aiuto.
Link utili:
Log Management caratteristiche
Nuovo servizio | Log Management – Il servizio ad alte prestazione per la conservazioni dei Log
Condividi
RSS
Piu’ articoli…
- Network Traffic Analyzer: una marcia in più per il Next Gen SIEM
- A cosa serve? Hadoop Security Data Lake (SDL)
- L’importanza della Cyber Threat Intelligence
- Red Team, Blue Team e Purple Team: quali sono le differenze?
- Attacco Magecart: cos’è e come proteggersi
- 9 ragioni per cui valutare l’uso di una VPN
- I più recenti trend di phishing con PDF del 2020
- Cybersecurity predittiva con il nostro SOCaaS
Categorie …
- Backup as a Service (3)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (22)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (13)
- ownCloud (7)
- Privacy (8)
- Secure Online Desktop (14)
- Security (8)
- Cyber Threat Intelligence (CTI) (1)
- Ethical Phishing (6)
- SOCaaS (18)
- Vulnerabilita' (83)
- Web Hosting (15)
Tags
CSIRT
- Individuata campagna malevola mirata al furto di credenziali email
(AL03/210722/CSIRT-ITA) Luglio 22, 2021Recentemente è stata osservata una campagna che mira a sottrarre credenziali utente tramite una email di phishing che notifica la presenza di FAX non letti.
- Aggiornamenti prodotti CISCO
(AL02/210722/CSIRT-ITA) Luglio 22, 2021Gli aggiornamenti sanano 9 vulnerabilità, di cui due di gravità “alta”.
- Apple corregge molteplici vulnerabilità sui propri prodotti
(AL01/210722/CSIRT-ITA) Luglio 22, 2021Apple ha rilasciato aggiornamenti di sicurezza per sanare molteplici vulnerabilità che interessano i propri prodotti.
- Aggiornamenti Linux sanano due vulnerabilità
(AL02/210721/CSIRT-ITA) Luglio 21, 2021Ricercatori di sicurezza hanno rilevato due nuove vulnerabilità in Linux che impattano il filesystem e l’utility di amministrazione systemd.
- Critical Patch Update di Oracle
(AL01/210721/CSIRT-ITA) Luglio 21, 2021Oracle ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono 327 nuove vulnerabilità su più prodotti.
- Fortinet rilascia aggiornamenti per FortiManager e FortiAnalyzer
(AL02/210720/CSIRT-ITA) Luglio 20, 2021Le nuove versioni sanano una vulnerabilità nel demone fgfmsd di FortiManager che potrebbe permettere a un utente malintenzionato l’esecuzione di codice da remoto.
- Aggiornamenti Citrix risolvono 3 vulnerabilità
(AL01/210720/CSIRT-ITA) Luglio 20, 2021Gli aggiornamenti rilasciati da Citrix risolvono 3 vulnerabilità che interessano i prodotti ADC, Gateway e SD-WAN.
- Disponibili IoC per vulnerabilità sfruttate in recenti campagne
(AL03/210719/CSIRT-ITA) Luglio 19, 2021I ricercatori di Google hanno rilevato lo sfruttamento di vulnerabilità zero-day presenti in alcuni browser ampiamente diffusi .
- Vulnerabilità in WooCommerce
(AL02/210719/CSIRT-ITA) Luglio 19, 2021Sono stati rilasciati aggiornamenti di sicurezza che risolvono due vulnerabilità in WooCommerce, nota piattaforma di e-commerce open source per siti web basati su WordPress.
- Rilasciata nuova versione di Google Chrome
(AL01/210719/CSIRT-ITA) Luglio 19, 2021Il nuovo aggiornamento per Windows, Mac e Linux corregge 8 vulnerabilità di sicurezza.
Dark Reading:
- Biden Administration Responds to Geopolitical Cyber Threats Luglio 23, 2021In response to growing concerns regarding the recent uptick in large-scale, nation-state-backed ransomware attacks on critical infrastructure, the Biden administration is taking new action to tackle the evolving challenges posed by ransomware attacks.
- 7 Hot Cyber Threat Trends to Expect at Black Hat Luglio 22, 2021A sneak peek of some of the main themes at Black Hat USA next month.
- Law Firm for Ford, Pfizer, Exxon Discloses Ransomware Attack Luglio 19, 2021Campbell Conroy & O'Neil reports the attack affected personal data including Social Security numbers, passport numbers, and payment card data for some individuals.
- US Accuses China of Using Criminal Hackers in Cyber Espionage Operations Luglio 19, 2021DOJ indicts four Chinese individuals for alleged role in attacks targeting intellectual property, trade secrets belonging to defense contractors, maritime companies, aircraft service firms, and others.
- How Gaming Attack Data Aids Defenders Across Industries Luglio 19, 2021Web application attacks against the video game industry quadrupled in 2020 compared to the previous year, but companies outside entertainment can learn from the data.
- NSO Group Spyware Used On Journalists & Activists Worldwide Luglio 19, 2021An investigation finds Pegasus spyware, intended for use on criminals and terrorists, has been used in targeted campaigns against others around the world.
- When Ransomware Comes to (Your) Town Luglio 19, 2021While steps for defending against a ransomware attack vary based on the size of the government entity and the resources available to each one, rooting out ransomware ultimately will come down to two things: system architecture and partnerships.
- Breaking Down the Threat of Going All-In With Microsoft Security Luglio 19, 2021Limit risk by dividing responsibility for infrastructure, tools, and security.
- 7 Ways AI and ML Are Helping and Hurting Cybersecurity Luglio 19, 2021In the right hands, artificial intelligence and machine learning can enrich our cyber defenses. In the wrong hands, they can create significant harm.
- Researchers Create New Approach to Detect Brand Impersonation Luglio 16, 2021A team of Microsoft researchers developed and trained a Siamese Neural Network to detect brand impersonation attacks.
Full Disclosure
- APPLE-SA-2021-07-21-7 Safari 14.1.2 Luglio 23, 2021Posted by Apple Product Security via Fulldisclosure on Jul 23APPLE-SA-2021-07-21-7 Safari 14.1.2 Safari 14.1.2 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212606. WebKit Available for: macOS Catalina and macOS Mojave Impact: Processing maliciously crafted web content may lead to arbitrary code execution Description: A type confusion issue was addressed […]
- APPLE-SA-2021-07-21-6 tvOS 14.7 Luglio 23, 2021Posted by Apple Product Security via Fulldisclosure on Jul 23APPLE-SA-2021-07-21-6 tvOS 14.7 tvOS 14.7 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212604. Audio Available for: Apple TV 4K and Apple TV HD Impact: A local attacker may be able to cause unexpected application termination or arbitrary code execution Description: […]
- APPLE-SA-2021-07-21-5 watchOS 7.6 Luglio 23, 2021Posted by Apple Product Security via Fulldisclosure on Jul 23APPLE-SA-2021-07-21-5 watchOS 7.6 watchOS 7.6 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212605. ActionKit Available for: Apple Watch Series 3 and later Impact: A shortcut may be able to bypass Internet permission requirements Description: An input validation issue was addressed […]
- APPLE-SA-2021-07-21-4 Security Update 2021-005 Mojave Luglio 23, 2021Posted by Apple Product Security via Fulldisclosure on Jul 23APPLE-SA-2021-07-21-4 Security Update 2021-005 Mojave Security Update 2021-005 Mojave addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212603. AMD Kernel Available for: macOS Mojave Impact: An application may be able to execute arbitrary code with kernel privileges Description: A memory corruption […]
- APPLE-SA-2021-07-21-3 Security Update 2021-004 Catalina Luglio 23, 2021Posted by Apple Product Security via Fulldisclosure on Jul 23APPLE-SA-2021-07-21-3 Security Update 2021-004 Catalina Security Update 2021-004 Catalina addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212600. AMD Kernel Available for: macOS Catalina Impact: An application may be able to execute arbitrary code with kernel privileges Description: A memory corruption […]
- APPLE-SA-2021-07-21-2 macOS Big Sur 11.5 Luglio 23, 2021Posted by Apple Product Security via Fulldisclosure on Jul 23APPLE-SA-2021-07-21-2 macOS Big Sur 11.5 macOS Big Sur 11.5 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212602. AMD Kernel Available for: macOS Big Sur Impact: An application may be able to execute arbitrary code with kernel privileges Description: A memory […]
- APPLE-SA-2021-07-21-1 iOS 14.7 and iPadOS 14.7 Luglio 23, 2021Posted by Apple Product Security via Fulldisclosure on Jul 23APPLE-SA-2021-07-21-1 iOS 14.7 and iPadOS 14.7 iOS 14.7 and iPadOS 14.7 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212601. iOS 14.7 released July 19, 2021; iPadOS 14.7 released July 21, 2021 ActionKit Available for: iPhone 6s and later, iPad Pro […]
- ipython3 may execute code from the current working directory Luglio 23, 2021Posted by Georgi Guninski on Jul 23Summary: under certain circumstances, ipython3 may execute code from the current working directory. This might be a problem if the current working directory is not trusted. python3 is safe. Tested on ubuntu 20. The following session illustrates it: [email protected]:~/tests/dir2$ pwd /home/joro/tests/dir2 [email protected]:~/tests/dir2$ ipython3 --version 7.13.0 [email protected]:~/tests/dir2$ ls ~/tests/dir1 a.py […]
- Cross-site Scripting vulnerability in Ampache 4.4.2 Luglio 23, 2021Posted by Daniel Bishtawi via Fulldisclosure on Jul 23Hello, We are informing you about a Cross-site Scripting vulnerability in Ampache 4.4.2. Information -------------------- Advisory by Netsparker Name: Cross-site Scripting vulnerability in Ampache 4.4.2 Affected Software: Ampache Affected Versions: 4.4.2 Homepage: http://ampache.org/ Vulnerability: Cross-Site Scripting Severity: High Status: Fixed CVSS Score (3.0): 7.4 (High) Netsparker Advisory […]
- CFP for Hardwear.io Netherlands 2021 Luglio 23, 2021Posted by Andrea Simonca on Jul 23Hardwear.io Security Trainings and Conference Netherlands 2021 28-29 October 2021, NH Hotel Den Haag, The Netherlands https://hardwear.io/netherlands-2021/ It is a pleasure to invite you to bring forward your cutting-edge research at Hardwear.io Netherlands 2021: Important Dates Deadline for submission: 20 August 2021 Notification of acceptance: 3 September 2021 Security […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Tempo di lettura stimato: 6 minuti Ogni giorno sentiamo parlare di qualche nuova minaccia o vulnerabilità in ambi… https://t.co/nlHWBfE6QU
-
SecureOnlineDesktop
Tempo di lettura stimato: 9 minuti Agile working and smart working are now a daily reality for many workers. W… https://t.co/FXpigfCLJ8
-
SecureOnlineDesktop
Tempo di lettura stimato: 9 minuti Ormai, lavoro agile e smart working sono una realtà quotidiana per molti lavor… https://t.co/AVUdOnRQB7
-
SecureOnlineDesktop
Tempo di lettura stimato: 9 minuti Nel periodo 2019-2020 si è notato un drammatico aumento del 1160% dei file PDF… https://t.co/78xe9tC59h
-
SecureOnlineDesktop
Tempo di lettura stimato: 9 minuti There was a dramatic 1160% increase in malicious PDF files in 2019-2020. It… https://t.co/kB9TNUmDfE
Newsletter
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Network Traffic Analyzer: una marcia in più per il Next Gen SIEM Luglio 21, 2021
- A cosa serve? Hadoop Security Data Lake (SDL) Luglio 19, 2021
- L’importanza della Cyber Threat Intelligence Luglio 14, 2021
- Red Team, Blue Team e Purple Team: quali sono le differenze? Luglio 12, 2021
- Attacco Magecart: cos’è e come proteggersi Luglio 7, 2021
Recensioni Google
Contatti
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications