Ini adalah tulisan perdana saya dengan wajah Kompasiana Baru, semoga fasilitas dan display web Kompasinan lebih bagus dari sebelumnya. Pada hari ini saya tulis artikel mengenai Log Files, apa itu log files ?
Log adalah “rekaman dari kegiatan didalam system dan jaringan”. Sebagai seorang Network Security Administrator kita harus bisa melakukan analisa terhadap beberapa hal dibawah ini :
- Firewall Log
- Web Server Log
- Application Server Log
- Database Log
- Directory Server Log
- DHCP Log
- VPN Client Log
Dan masih banyak log log lainnya, namun secara umum log files itu dibagi menjadi 6 ( enam) bagian besar yaitu :
- Access Control and Administrative Policy Events
- Data Confidentiality and Integrity Policy Events
- Non-Discretionary Policy Events
- Availability Policy Events
- Cryptographic Policy Events
- Default and Dependent Events
Sebenarnya apa yang kita cari didalam log itu sendiri ? Tergantung dari kebutuhannya dan keperluannya, untuk menganalisa log tersebut. Misalnya karena dipicu kejadian terjadi error dalam system sehingga perlu di cari log nya, hal hal lain misalnya :
- Pembuktian bahwa tidak ada applikasi yang berjalan mengaksses port tertentu
- Rekaman gagal nya seseorang login ke firewall
- Koneksi keluar yang mencurigakan
- Sumber dari aliran packet
- Pesan pesan dari OS
- Perubahan pada interface Jaringan
- Perubahan kebijakan pada Firewall
- Penambahan, penghapusan , perubahan account administrative
- Koneksi yang drop atau di reject, time / protocoal / IP/ Usernames yang diperbolehkan menggunakan jaringan
Log files juga bisa dijadkan sebagai satu bukti / evidence didalam dunia IT Forensic, log file akan menunjukkan siapa, jam berapa yang melakukan akses di suatu perangkat tertentu. Secara umum hampir semua OS, Perangkat membuat dan memiliki log file untuk tujuan trouble shooting, namun ada pula yang tidak, misalnya saja ketika orang meminjam komputer kita dengan akses sebagai admin dan mengedit suatu file katakanlah etc host ( windows) maka tidak akan ada log sebagai bukti evidence bahwa orang tersebut telah mengubah file etc host tersebut, untuk kasus seperti ini diperlukan aplikasi pihak ke tiga untuk bisa membuat log sebagai evidence. Apakah aplikasi tersebut ada ? Jawabannya ada..salah satunya yang di buat oleh ObserveIT, aplikasi ini mampu menutupi celah dimana suatu aplikasi tanpa log sekalian bisa dibuatkan log sehingga semua akses ke sistem server menjadi aman dan terkendali.
Okey..lanjutt...bagaimana pendekatan untuk menganalisa log ? Secara konseptual ada beberapa cara antara lain yang bisa ditempuh antara lain :
Statistik
Teknik ini adalah mendeteksi Anomali dimana fokusnya adalah berdasarkan pada kegiatan normal yang biasa terjadi namun bila muncul sesuatu yang diluar kebiasaan, ini patut di curigai. Misalnya saja traffic yang tiba tiba melonjak, resource processor yang tiba tiba meningkat tajam. Ini berdasarkan aturan didalam statistik area.
Rule Based
Metode ini berjalan dengan medeteksi penyalahgunaan yang melanggar suatu rule yang sudah diset. Biasanya pelanggaran rule ini mengindikasinya adanya intrusi.
Machine Learning
Mencoba mendeteksi dengan membandingkan past event dengan menggunakan suatu algoritma tertentu.
Adapaun beberapa aplikasi yang termasuk didalam log analyzer antara lain :
- Splunk
- Manage engine
- Observe IT
- Advanced Loganalyzer
- Awstat
- Weblogexpert
Demikian dapat saya sampaikan untuk kali ini, semoga bermanfaat dan keep tune di http://edysusanto.com untuk artikel artikel lainya
Referensi