|
การจัดเก็บ Log File
บทความเรื่อง การจัดเก็บ Log File
คำนิยาม Log File " ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน"
เหตุผลที่ต้องมีการเก็บ Log
1. ก็เพื่อความมั่นคงปลอดภัยของระบบข้อมูลข่าวสารบนเครือข่าย (Information system and network security)
2. ให้ System Administrator สามารถตรวจสอบดูแลสภาพการทํางานของเครือข่ายว่ายังอยู่ดีอยู่หรือไม่ ( System health monitoring)
3. ให้เป็นไปตามขอบังคับและการปฏิบัติตามกฎระเบียบข้อบังคับต่าง ๆ ( Legal and regulatory compliance)
4. หากเกิดเหตุการณ์ต่าง ๆ จะสามารถช่วยในการสืบสวนเชิงลึกทางนิติ (Forensic investigations)
ความสำคัญของการเก็บล็อกไฟล์
Log Files หรือข้อมูลจราจรทางคอมพิวเตอร์นั้น ที่เก็บข้อมูลการสื่อสารที่เกิดขึ้นกับระบบคอมพิวเตอร์เพื่อนำข้อมูลดังกล่าวไว้เป็นหลักฐานในการหาข้อมูลการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
สิ่งที่ควรคำนึงถึงในการเก็บล็อกไฟล์
การบริหารจัดการล็อกไฟล์ เป็นกระบวนการบันทึก จัดเก็บ การวิเคราะห์ และจำกัด หรือจัดเก็บถาวร โดยการบริหารจัดการที่ดีนั้นจะช่วยให้มั่นใจว่าได้ข้อมูลต่างๆ ที่สำคัญในเวลาที่สำคัญ มีการจัดเก็บที่ดีวิเคราะห์ข้อมูลอย่างสม่ำเสมอ วางแผน และปรับปรุงเหตุการณ์ที่เกิดขึ้น
ดังนั้นสิ่งที่ต้องคำนึงถึง และท้าทายสำหรับการบริหารจัดการล็อกไฟล์ ที่ทุกองค์กรจะต้องเผชิญ คือการบริหารจัดการล็อกอย่างไรให้มีประสิทธิภาพ และมีคุณภาพมากที่สุด โดยสามารถทำการบันทึกล็อกได้อย่างต่อเนื่องได้ในระบบที่มีทรัพยากรอยู่อย่างจำกัด และสอดคล้องกับ พ.ร.บ. ว่าด้วยการกระทำความผิด ทางคอมพิวเตอร์ดังนั้นสิ่งที่ควรปฏิบัติในการจัดเก็บล็อกไฟล์ คือ
- ควรมีการกำหนดนโยบายถึงจุดประสงค์ในการเก็บล็อกไฟล์
- มีการกำหนดอำนาจ และความรับผิดชอบให้ชัดเจน
- กำหนดแหล่งที่มาขอข้อมูลสำหรับจัดเก็บ
- รูปแบบการวิเคราะห์ และเครื่องมือที่ใช้ในการวิเคราะห์
- รูปแบบการตอบสนองต่อเหตุการณ์เฉพาะทาง
- การบริหารจัดการสตอเรจในระยะยาว
- การตรวจสอบเฝ้าดูการบันทึกล็อกไฟล์ และยกเลิกล็อกไฟล์ที่ไม่ใช้งาน
- ตรวจสอบการตั้งเวลานาฬิกาของแต่ละแหล่งข้อมูลให้ต่างกันอย่างสม่ำเสมอ
- เมื่อองค์กรมีการปรับเปลี่ยนซอฟต์แวร์ ฮาร์ดแวร์ หรือค่าเทคนิคต่างๆ ต้องคำนึงการเปลี่ยนแปลงในการ
บันทึก ล็อกไฟล์ด้วย
พรบ . ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ . ศ . ๒๕๕๐
ในปัจจุบันการติดต่อสื่อสารผ่านระบบคอมพิวเตอร์ หรือ ระบบอิเล็กทรอนิกส์ได้เข้ามามีบทบาท และ ทวีความสำคัญเพิ่มขึ้นตามลำดับต่อระบบเศรษฐกิจและคุณภาพชีวิตของประชาชนในประเทศไทย แต่ในขณะเดียวกันการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ก็มีแนวโน้มขยายวงกว้างและทวีความรุนแรงเพิ่มมากขึ้นด้วย ดังนั้น ข้อมูลจราจรทางคอมพิวเตอร์นับเป็นพยานหลักฐานสำคัญในการดำเนินคดี อันเป็นประโยชน์อย่างยิ่งต่อการสืบสวน สอบสวน เพื่อนำตัวผู้กระทำความผิดมาลงโทษ ใน พรบ . ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ จึงสมควรกำหนดให้ผู้ให้บริการมีหน้าที่ในการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ดังกล่าว
จากการประกาศใช้ พรบ . ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ . ศ . 2550 ทำให้หลายองค์กรทั้งภาครัฐและภาคเอกชนต้องมีการปรับตัว เนื่องจากมาตรา 26 ใน พรบ . ได้กล่าวไว้ว่า ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวันแต่ไม่เกินหนึ่งปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้ ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการ นับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่าเก้าสิบวันนับตั้งแต่การใช้บริการสิ้นสุดลง ความในวรรคหนึ่งจะใช้กับผู้ให้บริการประเภทใด อย่างไร และเมื่อใด ให้เป็นไปตามที่รัฐมนตรีประกาศในราชกิจจานุเบกษา ผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท การจัดเก็บแบบใดถึงจะถูกต้องตามวัตถุประสงค์ของ พรบ . โดยที่องค์กรแต่ละองค์กรมีลักษณะการใช้ระบบสารสนเทศที่แตกต่างกัน ดังนั้นจึงควรมีการแนวทาง หรือ Guideline ในการจัดเก็บข้อมูลจราจรคอมพิวเตอร์ให้ถูกต้องและเหมาะสมกับลักษณะการใช้ระบบสารสนเทศหรือระบบอินเทอร์เน็ตของแต่ละองค์กร ที่มีความแตกต่างกันค่อนข้างมากรวมทั้งร้านอินเทอร์เน็ตคาเฟ่ที่มีอยู่มากมายในประเทศไทย ควรจัดเก็บข้อมูลอย่างไรเป็นต้น ตลอดจน หลายองค์กรยังไม่มีความพร้อมในการจัดเก็บข้อมูลจราจรคอมพิวเตอร์ ทำให้ผู้บริหารระบบสารสนเทศขององค์กรต้องการทราบระยะเวลาในการผ่อนผันว่าทางการจะผ่อนผันได้นานกี่วันนับจากวันที่กฎหมายประกาศใช้ ก่อนที่จะมีการตรวจสอบหรือการขอข้อมูลโดยพนักงานเจ้าหน้าที่ซึ่งได้รับการแต่งตั้งโดยรัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
ดังนั้นทางกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร จึงได้ออกประกาศกระทรวงฯ
สำหรับหลักเกณฑ์ในการจัดเก็บข้อมูลจราจรคอมพิวเตอร์ดังกล่าว เพื่อให้เกิดความเหมาะสมในทางปฏิบัติและเพื่อให้หลายองค์กรได้มีแนวทางที่ชัดเจนในการปฏิบัติ ว่าข้อมูลจราจรอะไรบ้างที่ควรจัดเก็บ ข้อมูลอะไรที่ไม่ต้องจัดเก็บ ตลอดจนวิธีการจัดเก็บอย่างถูกต้อง ตรงตามลักษณะการใช้ระบบสารสนเทศหรือระบบอินเทอร์เน็ตของแต่ละองค์กร เช่น การจัดเก็บในลักษณะ Centralized Log
วิธีการเก็บข้อมูลจราจร มี 3 วิธี แบ่งได้ดังนี้
1. ข้อมูลที่เกิดขึ้นบนระดับเครื่อง ( Local Host Log) ไม่ว่่าจะเป็นระดับเครื่องลูกข่าย ( Client) หรือ เครื่องแม่ข่าย ( Server) การเก็บในหัวข้อนี้เป็นเรื่องละเอียดอ่อน และมีคุณค่าในการทำ Computer Forensics หรือที่เรียกว่า การสืบหาหลักฐานทางคอมพิวเตอร์ เรามักจะเก็บ Log จาก System , Application และ User เป็นหลัก ในแต่ละเครื่องย่อมมี Application ที่แตกต่างกัน ส่วน User แล้วจะมีประโยชน์มากสำหรับเครื่องที่เป็นแม่ข่าย ( server) การเก็บบันทึกข้อมูลจราจรขึ้นอยู่กับระบบปฏิบัติการ และมีซอฟต์แวร์ทุ่นแรงมาแล้วจากระบบปฏิบัติการ โดยเฉพาะระบบปฏิบัติการ Windows ซึ่งมี GUI ที่ดูแล้วสะดวกในการใช้งาน ทั้งหมดนี้ขึ้นตรงกับเวลา ( Time) ที่เป็นตัวกำหนดชะตาบนเครื่องนั่นๆ ไม่ว่าเป็น System มีความผิดปกติ จากอะไร ช่วงเวลาใด
Application ใดที่ใช้งาน บนเครื่องคอมพิวเตอร์ของเรา ก็ได้แก่ Web Browser Application ที่ใช้ก็ได้แก่ Firefox หรือ IE , Chat , Mail Client POP3 ไม่ว่าเป็น Outlook , Thunderbird เป็นต้น เราต้องพิจารณาการเก็บบันทึกเหตุการณ์ตาม ช่วงเวลาที่ใช้ Application ต่างๆ ที่กล่าวมา รวมถึงการติดต่อสื่อสารบน Application จากเครื่อง สู่ ระบบเครือข่าย ( Network) เป็นความสัมพันธ์ ชนิด 3 in 3 out หากต้องพิสูจน์หาหลักฐาน ต้องพิจารณาการเชื่อมโยงเครือข่าย จะเข้าสู่แนวทางการปฏิบัติแบบ Network Forensics จากความสัมพันธ์ส่วนนี้
2. การบันทึกข้อมูลจราจรระดับเครือข่ายคอมพิวเตอร์ ( Network Data Traffic) การเก็บบันทึกเหตุการณ์ส่วนนี้ มักดูจากอุปกรณ์เครือข่าย ไม่ว่าเป็นการอุปกรณ์ที่ใช้สำหรับวิเคราะห์ปัญหาเครือข่าย และอุปกรณ์ดักจับข้อมูลต่างๆ ได้แก่ อุปกรณ์ Sniffer หรือ IDS (Intrusion Detection System) ที่ปรับแต่งการตรวจจับให้รองรับข้อมูลจราจรบางสิ่งบางอย่าง อย่างจงใจ จากผู้ดูแลระบบ ซึ่งในส่วนนี้เป็นที่มาการสร้างระบบเฝ้าระวังภัยคุกคามทางความมั่นคง ซึ่งการบันทึกข้อมูลจราจรจากระดับเครือข่าย นี้ไม่ละเอียดเหมือนกรรมวิธีที่หนึ่ง แต่จะเห็นภาพรวมเหตุการณ์ ที่มีการติดต่อสื่อสารกันได้แบบเชิงกว้าง ไม่ลึก แต่พอทราบถึงเหตุปัจจัยการเกิดเหตุ นั่นเอง ซึ่งวิธีการนี้ สามารถตรวจจับตาม Protocol Application ที่ใช้งานทั้งในเครือข่าย ( LAN Technology) สู่ภายนอกเครือข่าย ( WAN Technology) ได้ Protocol ที่สนใจก็ได้แก่ Routing Protocol เส้นทางการลำเลียงข้อมูล ผ่านจากตัวเครื่องคอมพิวเตอร์ ในระดับ Host ไปสู่ระดับเครือข่าย ( Network) และ ระหว่างเครือข่ายกับเครือข่าย ( Network to Network) ช่วงเวลาที่เกิดการลำเลียงข้อมูล ระหว่าง IP ต้นทาง ( Source IP) และ IP ปลายทาง ( Destination) , Time Date ส่วน Application Protocol ใกล้เคียงกับ วิธีที่ 1 แต่แทนที่อยู่ในระดับเครื่องก็จะมองถึง ข้อมูลวิ่งผ่านเข้าออก บนระบบเครือข่ายแทน เช่น Web (HTTP) , Mail (SMTP, POP3 , IMAP) , IM (Chat) , P2P , FTP , Telnet เป็นต้น ช่วงเวลาที่บันทึก ( Time Date) ส่วน Protocol ที่มีการเข้ารหัสไว้ เช่น SSL , SSH สามารถรู้ได้เฉพาะ IP ต้นทาง และ IP ปลายทางในการเชื่อมต่อ แต่ระหว่างเนื้อหาในการกระทำไม่สามารถรู้ได้ทั้งหมด ยกเว้นจะใช้เทคนิคพิเศษ ซึ่งทำตัวคล้ายๆ กับ Man in the Middle เป็นต้น ในที่นี้ผมไม่ขอกล่าวถึงการตรวจจับชนิดการเข้ารหัสผ่าน Application Protocol ดังกล่าว ซึ่งทั้งนี้เราก็สามารถรู้ถึงข้อมูล ( Information) ที่วิ่งเข้าและออกบนเครือข่ายคอมพิวเตอร์ ได้ระดับหนึ่งลักษณะการเก็บ เช่น Web บันทึก IP ที่ใช้งาน Web ปลายทาง และบันทึกตามเวลา , Mail IP ต้นทางที่ส่ง mail , ปลายทางรับ mail , หัวข้อ mail และ วันเวลาที่ใช้ Application นี้ เป็นต้น
3. การเก็บบันทึกข้อมูลจราจรทั้งหมด โดยเชื่อมต่อกับการเก็บบันทึกกลาง หรือที่เรียกว่าการทำ SIM (Security Information Management) คือ เก็บบันทึก Log จากหัวข้อที่ 1 ทั้งหมด ส่งเข้าสู่ศูนย์กลาง และหัวข้อที่ 2 แต่เปลี่ยนเป็นเก็บบันทึกตามอุปกรณ์เครือข่าย เช่น Router , Firewall , IDS/IPS , UTM (Unified Threat Management) เป็นต้นส่วนการเก็บบันทึกการใช้งานระดับ User เรามักมองหาเทคโนโลยี เช่น Radius คือระดับ WAN Technology ส่งออกไป และในระดับ LAN Technology ก็เป็นระบบ NAC (Network Access Control) เป็นต้น ซึ่งทั้งหมดนี้สามารถ ส่ง Log ที่เกิดขึ้นให้กับ SIM ได้ และ SIM จะใช้กลไกในการทำ Correlation Log การเปรียบเทียบความสัมพันธ์ของ Log แต่ละชนิดให้จัดระเบียบ รวบรวมตามหมวดหมู่สำหรับผู้ดูแลระบบต่อไป วิธีนี้เป็นวิธีที่ละเอียดที่สุด แต่ ในความเป็นจริงแล้วทำยากที่สุดเช่นกัน เพราะต้องอาศัย ผู้เชี่ยวชาญ ที่รู้จักชนิดการส่ง Log ในแต่ละอุปกรณ์ Application และความแตกต่างของรุ่น ยี่ห้อ ทั้งระดับ Host และ Devices อย่างชำนาญ ถึงจะส่ง Syslog มาที่ SIM บริหารจัดการได้ ในส่วนตัวผมแล้วคิดว่าระบบนี้ คงเป็นไปได้ยากในเมืองไทย เนื่องจากความมากด้วยบริษัท SI ที่ขาดความรู้ในเชิง Implement จริง ทำให้ผลกระทบว่าซื้อไปแล้ว อาจไม่คุ้มค่า ได้
ซึ่งทั้งหมดนี้จะเป็นการเก็บบันทึกข้อมูลจราจร ที่เกิดขึ้นจากการใช้งานคอมพิวเตอร์ ที่เรียกว่า "์ Network Recorder" ซึ่งแน่นอนครับ ทั้งหมดนี้เวลาเป็นสิ่งสำคัญ Time Server จึงต้องเป็นเวลาที่เที่ยงตรงด้วยไม่เช่นนั้น เราจะทำการย้อนหลังเวลาที่บันทึกเหตุการณ์ โดยนั่ง Time Machine ทางเทคโนโลยี เพื่อสืบหาข้อมูลต่อไปไม่ได้
เอกสารอ้างอิง
1. //nontawattalk.blogspot.com/ 2008/03/ log.html
2. //nontawattalk.blogspot.com/ 2007/10/ network-time-machine- 1. html
3. //www.contactcenter.cattelecom.com/thai/IT_security/SecureLog_info.asp
4. //www.telecomjournal.net/index.php?option=com_content&task=view&id=954 &Itemid=36
5. Guide to Computer Security Log Management
6. บทความ คู่มือวิธีปฏิบัติสำหรับองค์กรตาม พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 โดย อ.ปริญญา หอมเอนก
| 
ฝากข้อความหลังไมค์
Rss Feed
ผู้ติดตามบล็อก : 1 คน [
