Egen centraliserad loggning - Lagring av loggar inom den egna organisationen
En aktör har typiskt sett flera olika typer av loggar som var och en upprättar individuella loggar.
En egen centraliserad loggning per offentlig verksamhet innebär att alla loggevent från olika instanser av IT-tjänster som används av en specifik aktör skrivs till en gemensam lagringsplats inom den egna verksamheten. Den egna centrala lagringsplatsen för loggning är oftast en databas som är optimerad för lagring och sökning.
Fördelar med ett eget Centraliserat loggsystem är att:
- Loggar som försvinner på grund av krascher, hackers som döljer sina spår och liknande, finns kvar centralt.
- Man kan söka i loggar även om källan är ur funktion.
- Man kan enklare korrelera loggar från olika källor.
- Det blir enklare att dela loggar från ett ställe, om andra vill ta del av loggarna.
Det är av stor vikt att samla loggar centralt i ett system, där logganalys kan utföras. Om det är möjligt, bör man separera loggmiljön från den plattform som övriga datacentret ligger på, så att loggar kan analyseras även om det uppstår problem i datacentret.
Nedan finns en konceptuell beskrivning av ett eget Centraliserat loggsystem.
Beskrivning av Konceptuell bild av ett eget centraliserat loggsystem med insamling från flera enheter. Bilden visar hur olika källor knyts till en transformation, aggregering, tolkning. En pil från detta på en ruta som föreställer Eget centraliserat loggsystem. Bilden visar att det egna centraliserade loggsystemet innehåller loggning och indexering samt analys och konfiguration. Bilden visar att det egna centraliserade loggsystemet har larmsättning som med koppling till SMS eller e-post. Bilden visar att från det egna centraliserade loggsystemet finns en koppling till arkivering och gallring.
Korrelering av loggevent
Korrelering av loggevent är en process där olika loggevent från olika källor sammanställs, analyseras och jämförs för att identifiera mönster och samband mellan händelser. För att korrelera loggevent måste man använda sig av ett centralt loggsystem. Som kan inhämta, samla och analysera loggar från olika källor. Dessa källor kan inkludera systemloggar, applikationsloggar, brandväggar, nätverksloggar och andra typer av loggar.
Loggevent från olika källor kan sedan korreleras för att hitta mönster och samband. Till exempel kan en korrelering mellan en rad inloggningsförsök från samma IP-adress, ett säkerhetslarm från en brandvägg och en mängd andra loggevent som indikerar en möjlig attack identifieras. Denna information kan sedan användas för att vidta lämpliga åtgärder, som att blockera IP-adressen, öka säkerhetsnivån eller vidta andra åtgärder för att skydda systemet.
Loggar som kan komma att behöva korreleras i olika spårbarhetsscenarios
- E-tjänstens loggevent i centrala loggsystem alternativt lokala loggsystem
- Andra relevanta datakällor
- Identitetstjänstens
Upprätta en centraliserad lagring av loggar inom den egna organisationen
En offentlig aktör bör:
- samla alla loggposter från olika IT-system till en egen lagringsplats eller loggserver (eget Centraliserat loggsystem). Detta ger fördelar som bättre översikt, enkel åtkomst och mer effektiv logganalys.
- korrelera alla loggevent från olika källor till ett eget Centraliserat loggsystem där det kan sammanställas, analyseras och jämförs för att identifiera mönster och samband mellan händelser.
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: