Логирование событий в операционной системе является одной из трех составляющих безопасности. Имеется в виду модель «AAA» – authentication, authorization, accounting – аутентификация, авторизация, аудит. Запись всех событий, связанных прямо или косвенно с безопасностью системы, и составляет сущность аудита. Логирование само по себе не препятствует злоумышленнику получить несанкционированный доступ к информационной системе. Однако оно повышает вероятность его выявления, а также последующего нахождения и изобличения злоумышленника. Также логирование способствует выявлению уязвимостей защищаемой системы.
Чем более полон аудит, тем проще расследовать компьютерное преступление. Пользуясь записанными данными, специалист или эксперт может извлечь много полезной для дела информации.
Рассмотрим устройство системного аудита событий для различных классов операционных систем.
СИСТЕМНЫЕ ЛОГИ WINDOWS
В операционных системах линейки «Windows NT» – «Windows 2000» – «Windows XP» предусмотрено три лога – прикладных программ (application log), системы (system log) и безопасности (security log).
В application log пишутся сообщения и события, генерируемые прикладными программами, а также некоторыми сервисами (службами). В system log помещаются события ядра ОС и важнейших сервисов. В security log записываются также события, генерируемые системными сервисами, относящиеся к отслеживаемой активности пользователей, их аутентификации и авторизации. К этим трем могут добавляться иные логи, если на компьютере работают дополнительные программы, такие как DNS сервер.
По умолчанию логируются очень немногие события, а в security log – вообще никаких. Чтобы в логах осаждалась более полная информация, администратор должен явно включить аудит и настроить политики аудита.
Все логи Windows просматриваются специальной программой «Event Viewer», которую можно найти в меню «Administrative Tools» или «Management Console».
В зависимости от того, что именно мы ищем, следы «взлома» исследуемого компьютера или следы противоправной деятельности пользователя, может оказаться полезной разная информация из разных логов.
СИСТЕМНЫЕ ЛОГИ UNIX И LINUX
Несмотря на разнообразие UNIX подобных операционных систем, у всех у них имеется схожая система сбора и хранения системных логов.
Логирование событий в операционной системе «MacOS X» устроено точно таким же образом.
Специальный демон (процесс), называемый syslogd, принимает сообщения о событиях от различных программ и процессов и раскладывает их по соответствующим файлам. Сообщения из одного источника можно направить в разные файлы, сообщения от разных источников можно направить в один и тот же файл – система настраивается довольно гибко.
Сообщения о событиях можно принимать как локально, так и через сеть; оба способа используют один и тот же протокол.
Каждое сообщение при его генерации снабжается двумя идентифицирующими признаками – приоритет (priority) и ресурс (facility). Их сочетание служит для последующей сортировки полученных сообщений по файлам.
Принятые syslogd сообщения снабжаются временнóй меткой и записываются в обычный текстовый файл по принципу одно сообщение – одна строка. Просмотреть эти сообщения можно в любом текстовом редакторе или иной программой, умеющей работать с текстовыми файлами.
СИСТЕМНЫЕ ЛОГИ IOS
Значительная часть (если не большинство) коммутаторов и маршрутизаторов сети Интернет работают под управлением операционной системы IOS. Другие ОС для коммуникационного оборудования схожи с IOS своими чертами, в частности, ведут логи аналогичным образом. К таким типичным устройствам относится коммуникационное оборудование, выпущенное под марками «Cisco», «Juniper», «Huawei» и некоторыми другими. Оно составляет подавляющее большинство.
В системе IOS логируются следующие события:
● изменение статуса интерфейса или порта;
● авторизация администратора или устройства;
● изменение и сохранение конфигурации устройства;
● прием транзитного пакета, если такой пакет подпадает под правило (ACL entry), отмеченное флагом логирования;
● некоторые другие.
Сообщения о событиях обычно отсылаются на внешний логирующий сервер по протоколу syslog или SNMP. Также несколько последних сообщений хранятся в буфере, в оперативной памяти и могут быть просмотрены соответствующей командой (show logging).
Когда требуется ознакомиться с логами коммуникационного оборудования, следует проделать такие действия:
● получить доступ к текущей конфигурации устройства (конфигурационному файлу), чтобы определить, куда именно отсылаются логи с данного устройства (команда show running config); сохранить и задокументировать вышеуказанную конфигурацию (или только ее часть, касающуюся логов);
● (опционально) просмотреть содержимое буфера устройства с последними сообщениями;
● определить местоположение логирующего сервера, то есть сервера, принимающего и сохраняющего логи;
● получить доступ к логирующему серверу и ознакомиться с конфигурацией его syslog демона, чтобы определить, в какой файл складываются логи, принятые от интересующего нас устройства; сохранить и задокументировать вышеуказанную конфигурацию syslog демона;
● осмотреть или изъять файл (файлы), в котором сохраняются логи с нужного устройства.
Некоторые коммуникационные устройства, относящиеся к меньшинству, не используют ОС IOS или схожую. В таких нетипичных устройствах логирование может быть устроено иначе. В частности, логи могут храниться локально или передаваться на логирующий сервер по нестандартному протоколу.