A importância dos logs
A criação de logs é um procedimento essencial em sistemas operacionais e softwares/aplicativos, no qual eventos são registrados e preservados para análises futuras, quando necessário. A criação de logs desempenha um papel fundamental na garantia da segurança de um sistema operacional ou aplicativo. Os logs fornecem uma visão geral do funcionamento do sistema, permitindo a identificação e correção de problemas, monitoramento do uso do sistema e detecção de atividades suspeitas ou maliciosas.
No contexto da cibersegurança, os logs desempenham um papel crucial na investigação de incidentes de segurança e na obtenção de evidências em caso de violações de segurança. Portanto, a criação de logs é uma prática altamente recomendada em ambientes tecnológicos, devido à sua importância na manutenção da segurança e na facilitação de análises e investigações.
A Importância dos Logs
A criação de logs é importante para a segurança de sistemas em diversos níveis, desde usuários até analistas de segurança. Como mencionado anteriormente, os logs fornecem informações valiosas sobre o que está acontecendo no sistema, permitindo que os usuários identifiquem e corrijam problemas, monitorem o uso do sistema e detectem atividades suspeitas.
- Para os desenvolvedores, os logs podem ser úteis para depurar erros e melhorar a qualidade do código.
- Para os coordenadores, os logs podem fornecer uma visão geral do desempenho do sistema e identificar pontos de melhoria.
- E para os analistas de segurança, os logs podem ser usados como evidências em caso de violações de segurança e para investigar incidentes de segurança.
Sendo assim, a criação de logs é uma prática importante para garantir a segurança de sistemas em todos os níveis, pos desta forma, o registro, a coleta, auditoria e análise de logs são procedimentos essenciais para monitoramento de um ambiente corporativo e tecnológico.
Logs e as leis de proteção de dados.
A criação de logs também pode ser uma exigência legal em algumas jurisdições. Por exemplo, em muitos países, as empresas são obrigadas a manter registros detalhados de suas atividades para fins fiscais e de conformidade. Esses registros podem incluir logs de sistema que forneçam informações sobre as operações do sistema, como quando um usuário entra no sistema ou executa uma determinada ação.
Os logs também podem ser úteis como evidências em caso de violações de segurança e para investigar incidentes de segurança. Em resumo, a implementação de um servidor de log é uma medida importante para atender aos requisitos da LGPD e garantir a segurança da informação.
Atendimento a LGPD (art 6º , inciso VII)
- Descrição: Produção de registros (log) de eventos das atividades do usuário, exceções, falhas e eventos de segurança da informação, mantidos e analisados criticamente a intervalos regulares.
- Justificativa: Ter rastreabilidade do ambiente de rede e sistemas, através de registro de eventos, para investigação de desvios. acessos indevidos ou uso indevido da informação de usuários comuns e usuários privilegiados.
E em um sub tópico, ainda pedia.
6 motivos para a implementação de um servidor de Logs
1- Centralização
Ao centralizar os dados de log em um único ponto de entrada, é possível ter uma visão geral do que está acontecendo no sistema e facilmente acessar e analisar os logs. Isso é importante para garantir que os logs estejam disponíveis e acessíveis para quem precisar, como usuários, desenvolvedores, coordenadores e analistas de segurança.
A centralização também facilita a administração dos logs, permitindo que sejam armazenados e gerenciados de maneira eficiente e segura. Com isso, a centralização é um dos principais motivos para trabalhar com um servidor de log e é importante para garantir a disponibilidade e acessibilidade dos logs para análise.
2- Facilidade na busca e pesquisa
Uma busca manual em logs de sistema pode ser uma tarefa muito desafiadora e desagradável, especialmente quando se trata de grandes quantidades de dados de log. Mesmo quando se usam ferramentas como awk, sed e grep para filtrar e transformar os dados de log, a tarefa ainda pode ser trabalhosa e demandar conhecimento e tempo.
Isso é principalmente devido ao fato de que os logs de sistema geralmente são grandes e complexos, com muitas informações diferentes que precisam ser lidas e interpretadas. Além disso, os logs de sistema também podem estar em formatos diferentes e precisam ser convertidos para um formato que seja mais útil para a tarefa em questão. Resumindo, uma busca manual em logs de sistema pode ser uma tarefa desafiadora e desagradável e é importante contar com ferramentas eficientes para facilitar essa tarefa.
O recurso de busca e pesquisa em logs de sistema pode ser muito útil para rastrear um bug relatado por um usuário. Ao digitar o id de correlação que foi mostrado na tela do usuário, é possível facilmente encontrar e analisar a mensagem de erro correspondente no log. Isso permite que os desenvolvedores identifiquem e corrijam o bug rapidamente, o que é importante para garantir a qualidade do sistema e manter os usuários satisfeitos.
O mecanismo de identificação de correlação é importante para garantir que os logs sejam organizados e facilmente acessíveis para pesquisa e análise. Em resumo, o recurso de busca e pesquisa em logs de sistema pode ser muito útil para rastrear e corrigir bugs no sistema.
Como mencionado anteriormente, os logs de sistema geralmente são grandes e complexos, com muitas informações diferentes que precisam ser lidas e interpretadas. Isso pode ser um desafio para os analistas de segurança que precisam separar os dados relevantes dos comuns e detectar intrusões no sistema.
É por isso que a implementação de um servidor de logs e a configuração correta de cada estação que enviará dados podem ser muito úteis para o processo de detecção de intrusão. Ao centralizar os logs em um único ponto de entrada, é possível facilitar a análise dos logs e identificar rapidamente padrões e atividades suspeitas.
A configuração correta das estações que enviarão dados é importante para garantir que os logs sejam coletados e armazenados de maneira eficiente e segura. Desta forma, o uso de um servidor de logs e a configuração correta das estações que enviarão dados podem auxiliar o processo de detecção de intrusão e garantir a segurança do sistema.
3 – Acessibilidade
Imagine um cenário onde: Cada desenvolvedor tem o direito de acesso aos log do projeto no qual está trabalhando de maneira simples, sem a necessidade de ficar abrindo logs do sistema operacional e ter que decifrar linhas e mais linhas. Olhar os registros regularmente torna o relacionamento com o software/aplicativo muito mais íntimo, e aprendemos a ler suas pequenas dores e a melhor forma em acalmá-las.
Um servidor de registro é muito mais acessível do que registrar em um host por SSH e executar grep nos arquivos de registro ou abrir o visualizar os eventos em um Sistema Windows. Um servidor de log é geralmente mais fácil de acessar e usar do que outras opções de registro. Isso se deve principalmente às ferramentas e interfaces de usuário especialmente desenvolvidas para gerenciar e analisar logs em um servidor de log. Essas ferramentas geralmente são projetadas para serem fáceis de usar e oferecem recursos como busca e filtragem avançada, visualização de logs em tempo real e alertas configuráveis. Isso torna muito mais fácil para os usuários acessar e analisar os logs sem precisar de conhecimentos técnicos avançados.
Com a centralização dos logs em um servidor de log também facilita o acesso, pois os usuários só precisam se conectar a um único ponto para acessar todos os logs do sistema. Sendo assim, um servidor de log é muito mais acessível do que outras opções de registro e oferece uma maneira fácil e acessível de gerenciar e analisar logs.
4- Monitoramento e alerta
Especialmente nos primeiros dias de vida de um software/aplicativo, logo após ir para a produção, a equipe de desenvolvimento geralmente quer monitorá-lo de perto para garantir que esteja funcionando corretamente e identificar e corrigir problemas rapidamente. O uso de um servidor de logs pode ser muito útil nesse cenário, pois permite que a equipe de desenvolvimento acesse e analise os logs de maneira rápida e detalhada, o que é importante para identificar e corrigir problemas rapidamente.
Assim, o servidor de logs também pode fornecer alertas em tempo real sobre problemas detectados nos logs, o que permite que a equipe de desenvolvimento tome medidas rapidamente para corrigi-los.
Resumindo, o uso de um servidor de logs pode ser muito útil para monitorar um software/aplicativo de perto e garantir que esteja funcionando corretamente.
5 – Mínimo esforço
Uma desculpa frequente para não fazer algo, quando sabemos que devemos, é: “custa muito caro”.
Se um servidor de log não foi planejado no orçamento inicial de um projeto, temos que apresentá-lo às pessoas responsáveis pelo orçamento. Muitas vezes, não nos importamos com isso, porque sabemos que a resposta pode vir a ser o “não”. Sendo assim, se você já tem o “não”, o que custa tentar?
Mas será mesmo que baseado apenas no orçamento, colocar um servidor de log no ambiente é realmente caro?
Configurar um servidor de log não é nada especial que demande um conhecimento espetacular ou horas gastas para implantação. Podemos ter servidor rodando em nossa máquina local ou em uma máquina parada no estoque. Basta um servidor com Linux e algumas linhas de comando e veja só! Um servidor de log!
Um detalhe lógico, mas importante citar. Dependendo da quantidade de máquinas/softwares, será necessário um bom espaço de armazenamento para atender alguma situação de contrato, como citado acima com relação a LGPD.
Manter um histórico do registro de log, conforme determinações de órgãos reguladores ou por pelo menos um ano, com um mínimo de três meses, imediatamente disponível para análise
6 – Não repúdio
O “não repúdio” é uma propriedade muito importante em muitos contextos, especialmente no contexto da trilha de auditoria e dos logs em geral. O “não repúdio” significa que o autor de uma mensagem não pode negar que produziu a mensagem, o que permite à organização provar que os registros que apresenta (ao auditor, reguladores ou tribunais) não podem ser contestados. Isso é importante para garantir a integridade dos logs e evitar contestações ou desacordos em relação às informações contidas nos logs.
O uso de um servidor de logs bem configurado e gerenciado, com todas as atualizações e políticas e normas de segurança, pode ser muito útil para garantir o “não repúdio” e a integridade dos logs. Isso porque um servidor de logs bem configurado e gerenciado garante que os logs sejam coletados, armazenados e protegidos de maneira segura e eficiente, o que impede que os logs sejam adulterados ou alterados de alguma forma. Isso permite que a organização apresente os logs com confiança e provar que eles são autênticos e não podem ser contestados. Em resumo, o “não repúdio” é uma propriedade muito importante no contexto da trilha de auditoria e dos logs em geral, e o uso de um servidor de logs bem configurado e gerenciado pode ser muito útil para garantir a integridade dos logs e evitar contestações ou desacordos em relação às informações contidas nos logs.
Um servidor de logs com todas as medidas de mitigação de riscos, sem usuário com permissões para editar ou excluir logs, pode ser muito mais confiável do que um log criado em um sistema operacional sem os devidos paths de segurança instalados ou com vários usuários conectados via Active Directory com a possibilidade de deletar logs. Isso porque um servidor de logs bem configurado e protegido evita que os logs sejam modificados ou excluídos por usuários mal-intencionados ou por erro, o que garante a integridade dos logs e evita contestações ou desacordos em relação às informações contidas nos logs.
Assim, se o usuário tentar deletar ou modificar alguma informação no sistema, o log desse movimento será registrado e armazenado de maneira segura, o que impede que o usuário repudie/negue essa ação. Isso é importante para garantir a confiabilidade dos logs e evitar que usuários mal-intencionados tentem esconder suas ações deletando ou modificando os logs.
Resumindo, um servidor de logs com medidas de mitigação de riscos e sem usuários com permissões para editar ou excluir logs pode ser muito mais confiável do que um log criado em um sistema operacional sem proteções adequadas, pois garante a integridade das informações sobre ações do(s) usuário(s).
Ferramentas
Abaixo uma lista com 10 ferramentas open-source sobre o assunto.
Finalizando
O uso de um servidor de log deve ser o padrão para o desenvolvimento, operação e segurança na maioria dos ambientes tecnológicos. Isso porque o uso de um servidor de logs traz vários benefícios e vantagens, como a centralização dos logs, facilidade de pesquisa e análise, acessibilidade, segurança e integridade dos logs, entre outros. Esses benefícios são importantes para garantir a qualidade, segurança e confiabilidade do sistema, e podem trazer benefícios a longo prazo que justificam o investimento inicial.
Se você está tendo dificuldade em convencer a diretoria de sua empresa sobre a importância do uso de um servidor de logs, pode tentar mostrar este artigo ou outras fontes que descrevam os benefícios e vantagens do uso de um servidor de logs. Isso pode ajudar a esclarecer as vantagens do uso de um servidor de logs e convencer a diretoria da importância desse investimento.
