فناوری سایبری یک موضوع بسیار پیچیده است و اینترنت بهطور فزایندهای، بهعنوان مکانی برای ارتکاب جرم با استفاده از رایانههای شخصی، رایانههای مبتنی بر شبکه، تلفنهای همراه و غیره استفاده میشود. اگرچه تحقیقات سایبری هنوز در مراحل اولیه توسعه و جلوگیری از این موضوع است، اما روشهایی نیز وجود دارد که کاربران میتوانند قبل از ارتکاب جرمهای اینترنتی از فعالیتهای مشکوک سرور خود آگاه شوند. یکی از این روشهای لاگ سرور است که یکی از کاربردهای آن افزایش آگاهی از جرایم سایبری است که با مقایسه آخرین فعالیتهای دیجیتال کاربران انجام میشود.
⏲ مدت زمان تخمینی مطالعه: 10 دقیقه
فهرست موضوعات
لاگ سرور چیست؟
لاگ سرور (Log Server) سروری است که پیامهای گزارش شده از وضعیت دستگاهها و برنامههای مختلف در شبکه را جمعآوری و ذخیره میکند. این پیامهای حاوی گزارش و سوابقی از رویدادهایی مانند خطاها، هشدارها یا بهروزرسانیهای وضعیت هستند که در یک سیستم رخ میدهند.
یک لاگ سرور میتواند با تجزیه و تحلیل دادههای گزارش شده به نظارت و عیبیابی عملکرد شبکه، امنیت و مسائل مربوط براساس بررسی هشدارها کمک کند.
در واقع در یک تعریف کلی میتوان گفت که لاگ سرور یک فایل گزارش است که بهطور خودکار توسط سرور ایجاد و نگهداری میشود که شامل لیستی از فعالیتهایی است که انجام شده است. اطلاعات Log Server بیشتر مربوط به درخواستها، از جمله آدرس IP مشتری، تاریخ و زمان درخواست، صفحههای درخواستی، کد HTTP، بایتهای ارائه شده، عامل کاربر، ارجاع دهنده و… است. این دادهها را میتوان در یک فایل واحد ترکیب کرد، یا به گزارشهای مجزا، مانند گزارش دسترسی، گزارش خطا، یا گزارش ارجاعدهنده تفکیک کرد.
با این حال، لاگ سرورها تنها به جمعآوری اطلاعات خاص کاربران نمیپردازند و ممکن است برای بررسی الگوهای ترافیک براساس زمان، روز، هفته، ارجاعدهنده یا عامل کاربر، مدیریت کارآمد وب سایت، منابع میزبانی کافی استفاده شود. همچنین Log Server برای کاربران عمومی قابل دسترسی نیستند و فقط برای شخص ارائه دهنده سرویس یا مدیران سرور قابل دسترسی و دیده شدن است.
آموزش راه اندازی لاگ سرور
برای راه اندازی لاگ سرور، باید نرمافزاری آن را داشته باشید که بتواند پیامهای گزارش شده از دستگاهها و سیستمهای مختلف شبکه را جمعآوری، ذخیره و تجزیه و تحلیل کند. گزینههای زیادی برای هر دو سیستمعامل لینوکس و ویندوز وجود دارد که برخی از آنها رایگان و برخی پولی هستند. میتوانید فهرستی از بهترین لاگ سرور برای لینوکس و ویندوز را در انتهای این مطلب مشاهده کنید.
یک لاگ سرور بهطورمعمول از یک شنونده syslog که دادههای ورودی را دریافت و تفسیر میکند و یک پایگاه داده برای ذخیره دادهها تشکیل شده است. همچنین نرمافزارهای Log Server داشبوردی را برای مدیریت، سازماندهی و مشاهده پیامهای گزارش ارائه میدهند. برخی از لاگ سرورها نیز دارای اعلان و پاسخ خودکار در زمان شناسایی مسائل و رویدادها هستند.
برای اجرای Log Server، باید هم نرمافزار log server و هم دستگاههای شبکهای که پیامهای گزارش را به آن ارسال میکنند، پیکربندی کنید. شما باید پورتهایی مانند: پورت UDP 514، پورت TCP 601، یا پورت TLS 6514 را که شنونده syslog برای برقراری ارتباط با دستگاهها از آن استفاده میکند، فعال کنید. همچنین باید قالب و محتوای پیامهای گزارش، مانند زمان، سطح شدت، آدرس IP میزبان، پیام رویداد و غیره را نیز مشخص کنید.
بسته به نرمافزار log server که انتخاب میکنید، باید آن را طبق دستورالعملهای ارائه شده توسط فروشنده نرمافزار بر روی سیستم خود نصب کنید. ممکن است لازم باشد قبل از نصب نرمافزار یک حساب کاربری ایجاد کنید یا یک مجوز برای ورود از فروشنده نرمافزار داشته باشید.
پس از نصب نرمافزار باید سیستم و دستگاههای شبکهای که میخواهید پیامهای گزارشی به آن ارسال شود، پیکربندی کنید. در این مرحله ممکن است لازم باشد سرویس syslog را فعال کنید، آدرس IP و پورت سرور گزارش را مشخص کنید و قالب و محتوای پیام های گزارش را انتخاب کنید.
از صفحه Settings > Reporting > Log Server برای بهروزرسانی این تنظیمات یا پیکربندی سایر جزئیات در مورد عملکرد Log Server استفاده کنید. هنگامی که بهروزرسانیهای پیکربندی خود را تمام کردید، روی OK کلیک کنید تا تغییرات خود را در حافظه پنهان ذخیره کنید. تا زمانیکه روی Save and Deploy کلیک نکنید، تغییرات ذخیره نمیشوند.
در قسمت Location، آدرس IP Log Server را تأیید کنید. در صورت لزوم، از فیلد Port برای بهروزرسانی پورتی که Log Server از طریق آن با Filtering Service ارتباط برقرار میکند (بهطور پیشفرض 55805) استفاده کنید. این پورت باید با پورت ورود به سیستم نمایش داده شده در صفحه Settings > General > Logging page مطابقت داشته باشد.
در مرحلهی بعدی اتصال Log Database را پیکربندی کنید. در این بخش Log Database Connection، اتصال ODBC را که Log Server برای اتصال به Log Database استفاده میکند، پیکربندی کنید. سپس نام منبع داده ODBC (DSN) را مشخص کنید و یک توضیحات منحصر به فرد برای اتصال پایگاه داده وارد کنید.
مکان سرور SQL (آدرس IP یا نام میزبان و نام نمونه، در صورت وجود) را برای نصب مایکروسافت SQL Server که پایگاه داده Log را میزبانی میکند و همچنین پورت اتصال برای ارسال داده ها به پایگاه داده لاگ (بهطور پیشفرض 1433) ارائه دهید. اگر محیط شما از خوشهبندی SQL Server استفاده میکند، آدرس IP مجازی خوشه را وارد کنید.
بعد از پیکربندی باید ارتباط بین دستگاههای شبکه و لاگ سرور را با ارسال چند پیام آزمایشی و بررسی کنید. میتوانید از ابزارهایی مانند Telnet یا Netcat برای ارسال پیام های آزمایشی از دستگاه خود به لاگ استفاده کنید.
بیشتر بخوانید: کلید نگهداری سیستم در سرورهای HPE
Syslog server چیست؟
Syslog یک پروتکل استاندارد برای ثبت پیام است که سیستمهای کامپیوتری از آن برای ارسال گزارش رویدادها و وضعیتهای مختلف به سرور و ذخیرهسازی آن استفاده میکنند. در دستگاههای شبکه، Syslog میتواند برای ثبت رویدادها مانند تغییرات در وضعیت رابط، راهاندازی مجدد سیستم و غیره استفاده شود. این پروتکل میتواند انواع مختلفی از رویدادها را ثبت کند که هنگام عیبیابی، بررسی علت حادثه و غیره ضروری هستند.
استاندارد Syslog در سه لایه اصلی تعریف میشود:
1. لایه محتوای Syslog : در لایه این دادههای واقعی براساس رویدادهای مختلف شامل برخی از عناصر اطلاعاتی مانند کد رویداد، زمان و شدت رویداد و غیره درج میشود.
2. لایه برنامه Syslog : در این لایه پیام تولید، تفسیر، مسیریابی و ذخیره میشود.
3. لایه انتقال Syslog: این پیام وظیفه انتقال پیام از طریق شبکه را برعهده دارد.
Syslog در لینوکس چیست؟
Syslog در لینوکس استانداری برای ثبت پیام و ارسال گزارش در سیستمهای لینوکس است. این استاندارد به برنامهها و هستهها اجازه میدهد تا پیامها را به یک شبح ثبت مرکزی ارسال کنند که میتواند آنها را در فایلها ذخیره و سپس به سرور دیگری ارسال کند یا به روشهای مختلف پردازش کند.
Syslog برای عیبیابی، حسابرسی و نظارت بر رویدادهای سیستمعامل لینوکس کاربرد دارد. پیامهای ارسالی Syslog دارای سطوح مختلفی از شدت هستند، که نشان میدهد چقدر مهم و از چه نوع پیامهایی هستند. بهعنوان مثال، پیامی با سطح شدت emerg به معنای غیرقابل استفاده بودن سیستم است، در حالیکه پیامی با موضوع cron مربوط به وظایف برنامهریزی شده در سیستم است.
پیامهای Syslog در لینوکس بهطور پیشفرض در فهرست /var/log ذخیره میشوند و کاربران می تواند آنها را با استفاده از دستوراتی مانند cat، tail، grep و… مشاهده کنند.
بیشتر بخوانید: سرور ذخیره سازی اطلاعات و روش های ذخیره سازی
Syslog در سیسکو
Syslog در سیسکو قابلیتی است که پیامها و گزارشهای سیستمی را از دستگاههای سیسکو مانند روترها، سوئیچها، فایروالها و وایرلس اکسس پوینت جمعآوری، ذخیره و مدیریت کنید. پیامهای Syslog در نظارت بر وضعیت، عملکرد و امنیت دستگاههای شبکه و همچنین عیبیابی آنها و هر گونه مشکلی دیگری که ممکن است رخ دهد، کاربرد فراوانی دارند. پیامهای Syslog در سیسکو به یک سرور مرکزی به نام سرور syslog ارسال میشوند، جاییکه می توان آنها را ذخیره، فیلتر، تجزیه و تحلیل کرد و نمایش داد. همچنین پیامهای ثبت سیستم از طریق کنسول دستگاه یا ترمینال از راه دور قابل مشاهده کنید.
برای استفاده از syslog در دستگاههای سیسکو، باید آن را براساس پارامترهای مختلف پیکربندی کنید. بهعنوان مثال برای دسترسی به آدرس IP که میخواهید پیامها را به آن ارسال کنید باید از دستور logging IP استفاده کنید.
راه اندازی syslog server
برای راه اندازی syslog server و پیکربندی آن بهصورت زیر عمل کنید:
– به بخش System services و Log settings بروید و روی گزینهی Add کلیک کنید.
– یک نام انتخاب کنید.
– تنظیمات IP آدرس، انتقال گزارش ایمن، پورت، قالب فرمت Log و را مشخص کنید. (شکل 1)
– گزینه Save را بزنید.
– به تنظیمات Log بروید و گزارشهایی را که میخواهید به سرور syslog ارسال شود، انتخاب کنید.
بهترین لاگ سرور
برای کلیه سیستمعاملها از جمله لینوکس، ویندوز و… میتوانید از لاگ سرور استفاده کنید. در جدول زیر محبوبتر و پر ویژگیترین لاگ سرورها که در جهان بسیار مورد استفاده قرار میگیرند، معرفی شده است.
| لاگ سرور | پلتفرمهای سازگار | تست رایگان |
| Kiwi | Unix, Linux, Windows | 14 روز |
| PRTG | Windows | 30 روز |
| Syslog Watcher | Unix, Linux, Windows | به ازای درخواست |
| The Dude | Linux, macOS, Windows | × |
| Visual Syslog Server | Unix, Linux | × |
| Datagram | Windows | نسخه آزمایشی نامحدود |
| ManageEngine EventLog Analyzer | Linux, Windows | × |
| Icinga | Unix, Linux | × |
| GrayLog | Linux | × |
| WinSyslog | Windows | × |
| Nagios | Linux, Windows | 30 روز |
| Splunkbase | Unix, Linux, Windows | 14 روز |
| Progress WhatsUp Gold | Windows | 14 روز |
| Logstash | Unix, Linux, Windows | 14 روز |
| Loggly | مبتنی بر فضای ابری | 30 روز |
| Site24x7 | مبتنی بر فضای ابری | 30 روز |