Problematika Logování Flashcards
Co je log a logování?
Logování (záznam událostí) je proces zaznamenávání informací o činnostech a událostech v systému, aplikaci nebo síti.
Logy slouží k monitorování, analýze, odhalování problémů, zabezpečení a splnění legislativních či regulačních požadavků.
Úrovně Logování
1) Ladící (DEBUG) - využívané při vývoji a hledání problémů,
2) Informační (INFO) - popisují stavy a události,
3) Varovné (WARNING) - chybějící funkce nebo součást systému,
4) Chybové (ERROR) - chyby ohrožující funkčnost systému,
5) Pohotovostní (CRITICAL) - událost spojená s bezpečností nebo stav, ve kterém sytém
již dále nedokáže pracovat.
Kategorie logů
Systémové logy
Záznamy operačních systémů (např. spuštění/služby, chyby hardwaru).
Slouží k analýze problémů s operačním systémem nebo hardwarem.
Aplikační logy:
Záznamy činností a chyb aplikací (např. přístup k databázi, volání API).
Slouží k ladění a monitorování aplikací.
Bezpečnostní logy:
Záznamy přihlášení, pokusy o přístup, změny oprávnění.
Používají se k detekci narušení bezpečnosti.
Síťové logy:
Informace o síťových přenosech, připojeních nebo pokusech o přístup (např. firewall, proxy servery).
Umožňují detekci narušení a analýzu provozu.
Auditní logy:
Sledují aktivity uživatelů (např. změny konfigurace, přístup k citlivým datům).
Splňují požadavky na audit.
Formáty Logu
Textový - Jednoduchý, lidsky čitelný (např. JSON, CSV, prostý text)
formát má výhodu ve skutečnosti, že ho lze otevřít v jakémkoliv textovém editoru. Jeho vytváření je nenáročné na systémové prostředky, existuje společná syntaxe
pro mnoho aplikací.
Binární - kompaktní, efektivnější pro strojové zpracování, ale nečitelný čitelný pro lidi. Binární logy bývají menší než
textové (data lze ukládat efektivnějí), lépe se ukládají do databáze a mají lepší optimalizaci využíti prostředků. Binární logování využívá například OS Windows nebo Systemd.
Standardizované formáty - např Syslog pro kompatibilitu mezi systémy.
Obsah Logu
Časové razítko (timestamp): Přesný čas události.
Úroveň závažnosti: Např. debug, info, warning, error, critical.
Identifikátor zdroje: Např. jméno aplikace, proces nebo komponenta.
Identifikátor události: Číslo nebo název, který definuje typ události.
Kontextové informace: Např. IP adresa, uživatelské jméno, ID procesu.
Popis události: Detaily o tom, co se stalo.
Každému záznamu je také přiřazena úroveň pro účely filtrace a oddělení informačních
údajů od těch, kterým je potřeba věnovat zvýšenou pozornost. A také musí být obsažena
informace samotná, včetně informace o chybě (traceback), je-li k dispozic
Ochrana logů
Administrátor systému by měl mít přehled o souborech, do kterých logy zapisují klíčové programy a démony (přihlašování, změna nastavení systému). Tyto logy by měly být zálohovány a chráněny – v případě existence centrálního logovacího serveru je potřeba zajistit jejich bezpečnost i při přenosu po síti.
Autenticita a integrita: Použití digitálních podpisů nebo hashovacích funkcí pro ochranu před neoprávněnými úpravami.
Šifrování: Šifrování logů pro ochranu citlivých dat během přenosu a ukládání.
Přístupová kontrola: Omezení přístupu k logům na oprávněné uživatele pomocí ACL nebo RBAC.
Archivace a rotace: Automatické archivování a rotace logů, aby nedošlo k zaplnění úložiště.
Detekce neoprávněného přístupu: Monitorování pokusů o přístup k logům a audit těchto událostí.
Sledování a audit: Pravidelný audit logovacích systémů pro zajištění souladu se zásadami a legislativou.
