Анализ логов может дать руководителям, начальникам ИТ отделов полную картину того, как сотрудники используют Интернет, что в свою очередь может помочь в организации повышения производительности труда, выявить сотрудников, использующих Интернет не в служебных целях, а для развлечений, а значит, сэкономить деньги компании. Кроме того, анализ логов может сэкономить время администратора, потраченное на обнаружения неисправностей или брешей в системе и помочь устранить их.
TECKLORD
Анализ логов может дать руководителям, начальникам ИТ отделов полную картину того, как сотрудники используют Интернет, что в свою очередь может помочь в организации повышения производительности труда, выявить сотрудников, использующих Интернет не в служебных целях, а для развлечений, а значит, сэкономить деньги компании. Кроме того, анализ логов с помощью продуктов от ADVSoft может сэкономить время администратора, потраченное на обнаружения неисправностей или брешей в системе и помочь устранить их.
Компания ADVSoft предоставляет 3 версии утилиты ProxyInspector: ProxyInspector Light (эта утилита будет доступна лишь в конце этого года, и в данный момент не распространяется), ProxyInspector и ProxyInspector Enterprise (Пока существует версия лишь для Microsoft ISA Server). Утилита ProxyInspector Light работает лишь с локальной базой данных, совместима с такими программами как Qbik WinGate, Ositis WinProxy и Krio WinRoute. Лицензия распространяется на 12 пользователей Интернет для одного сервера. Эта утилита будет оптимальным вариантом для маленьких компаний. Эта утилита является наиболее урезанной версией из всех, предлагаемых ADVSoft. ProxyInspector – это более сложная утилита с поддержкой командной строки, работающая как с локальной БД, так и с БД на сервере Interbase 6.x/Firebird. Она совместима со всеми вышеперечисленными программными продуктами, и, кроме того, поддерживает Microsoft ISA Server. Количество пользователей для одного прокси сервера – от 25 до 250 человек. Утилита ProxyInspector Enterprise предназначена прежде всего для работы в большой доменной сети, так как обладает такими специальными возможностями, как синхронизация с Active Directory, поддержка базы данных на SQL сервере от Microsoft и Interbase 6.x/Firebird, работа с логами одновременно нескольких серверов. Количество пользователей на один прокси сервер от 100 человек. Эта утилита просто удобна в обращении и может помочь найти нужную информацию в считанные секунды.
ProxyInspector for ISA Server может быть установлен на любой машине, имеющей доступ к логам ISA сервера. После установки ProxyInspector for ISA Server следует сделать некоторые изменения в настройках ISA сервера. Все логи должны вестись ISA сервером в формате W3C. Для корректной работы утилиты логи для сервиса Web прокси должны содержать следующие записи:
Для сервиса фаирвол:
Рис. 1
Меню Электронная почта позволяет задать опции для отсылки отчета по почте (к сожалению можно создать лишь одну запись). Меню Microsoft ISA Server 2000 содержит важные настройки для создания требуемых отчетов. Тут же указывается путь к базе логов ISA сервера.
Команда piconsole.exe -atgen создаст .bat-файл (для Планировщика
задач). Пример этого файла:
--------------- schedule.bat-------------
at 08:00 /every:M,T,W,Th,F,S,Su "C:\Program Files\ProxyInspector for
ISA Server\PIConsole.exe" -import
at 10:00 /every:M,T,W,Th,F,S,Su "C:\Program Files\ProxyInspector for
ISA Server\PIConsole.exe" -import
at 12:00 /every:M,T,W,Th,F,S,Su "C:\Program Files\ProxyInspector for
ISA Server\PIConsole.exe" -import
at 14:00 /every:M,T,W,Th,F,S,Su "C:\Program Files\ProxyInspector for
ISA Server\PIConsole.exe" -import
at 16:00 /every:M,T,W,Th,F,S,Su "C:\Program Files\ProxyInspector for
ISA Server\PIConsole.exe" -import
at 18:00 /every:M,T,W,Th,F,S,Su "C:\Program Files\ProxyInspector for
ISA Server\PIConsole.exe" -import
at 20:00 /every:M,T,W,Th,F,S,Su "C:\Program Files\ProxyInspector for
ISA Server\PIConsole.exe" -import
at 22:00 /every:M,T,W,Th,F,S,Su "C:\Program Files\ProxyInspector for
ISA Server\PIConsole.exe" -import
at 00:00 /every:M,T,W,Th,F,S,Su "C:\Program Files\ProxyInspector for
ISA Server\PIConsole.exe" -import
--------------- schedule.bat-------------
Использование команд:
PIConsole.exe –atgen | Создать .bat файл |
PIConsole.exe –import | Импортировать лог в БД |
PIConsole.exe -report "template_name" /saveto="file_name" | Создать отчет по шаблону и сохранить в файл. (Дополнительные ключи: /excel (отчет в формате MS Excel), /nocss (отчет в html-формате без каскадных стилей)) |
PIConsole.exe -report "template_name" /mailto= "recipient" [/subject= "message_subject"] | Создать отчет по шаблону и отправить по почте (Дополнительные ключи: /excel (отчет в формате MS Excel), /nocss (отчет в html-формате без каскадных стилей)) |
PIConsole.exe –packdb | Удалить записи из локальной базы данных. (Эта операция возможна только
из-под командной строки. Используя GUI можно лишь пометить записи на
удаление). Если база данных хранится на SQL сервере, то для удаления записей следует использовать встроенные возможности вашего SQL сервера |
PIConsole.exe -silent | Запрет вывода сообщений программы на экран |
После импортирования логов можно приступать к генерации отчетов. Для начала создадим самый простой отчет по прокси серверу. Для этого в навигационной панели двойной щелчок по меню Прокси сервер. В появившемся окне (Рис. 2), укажем требуемые опции для формирования отчета. В данном случае, мы оставили настройки по умолчанию.
Рис. 2
Далее, указав период для формирования отчета, мы получили описание в деталях
и диаграммах по использованию всего трафика. ProxyInspector for ISA Server
создал общий отчет об использовании трафика пользователями, распределении
его по IP адресам, сайтам, по часам, дням недели, протоколам и программам.
Фрагмент отчета вместе с диаграммой (Табл.1):
Proxy Server |
Activity by user | |||||
User | Requests | Sent | Received | Total traffic (*) | %(Total traffic) |
anonymous | 43,456 | 45.3 MB | 126.5 MB | 180.8 MB | 9.21% |
System | 83 | 66.54 MB | 15.6 MB | 82.14 MB | 4.18% |
user1 | 16 | 5,870 Bytes | 95.4 MB | 95.5 MB | 4.86% |
user2 | 425 | 875.54 MB | 1.54 MB | 877.08 MB | 44.66% |
user3 | 952 | 1,005 Bytes | 5,450 KB | 5.5 KB | 0.01% |
user4 | 45 | 453.87 KB | 6.65 MB | 6.1 MB | 0.31% |
user5 | 658 | 554.45 MB | 23.54 MB | 578 MB | 29.43% |
user6 | 56 | 345 KB | 74.56 MB | 74.9 MB | 3.81% |
user7 | 19 | 926 Bytes | 78.4 MB | 78.4 MB | 3.46% |
user8 | 47 | 3,45 Bytes | 45,540 KB | 45.5 KB | 0.01% |
Total | 45,164 | 1541.8 MB | 422.2 MB | 1964 MB | 100 % |
ProxyInspector for ISA Server способен создать отчеты по активности
отдельного пользователя, группы пользователей, времени, дню недели, IP-адресе
и т.д. Для просмотра списка пользователей, раскройте меню «Пользователи»
в правом фрейме главного окна (Рис. 3).
При выборе одного или нескольких пользователей, будет составлен полный
отчет по их сетевой активности: данные об IP-адрес, адресах посещенных
сайтов и распределение трафика по ним, распределение трафика по часам,
дням недели, протоколам, программам и диаграммы, иллюстрирующие вышесказанное.
Эта возможность может очень пригодится системным администраторам и специалистам
по безопасности для получения подробной информации о деятельности того
или иного сотрудника фирмы, используемых им программам.
Для удобства чтения логов, или создания отчета сетевой активности группы пользователей
(например, сотрудников одного отдела (если требуется отчет по целому отделу)),
некоторых пользователей можно объединить в группы (пункт меню База->Группы
пользователей).
ProxyInspector for ISA Server позволяет хранить некоторую информацию о
пользователях (Ник, настоящее имя, дополнительная информация, e-mail), предварительно
синхронизировав ее с Active Directory. Эта возможность позволяет быстро получить
необходимую информацию о человеке путем наведения курсора мышки на его имя
в меню «Пользователи» в правом фрейме главного окна программы. Для создания
такой базы, вы можете воспользоваться окном Редактор свойств пользователей
(База->Редактор свойств пользователей).
Для создания отчета по протоколам, можно воспользоваться окном Редактор протокола,
из меню База, чтобы добавить, или удалить из общего списка протоколов необходимые
данные. Менеджер отчетов дает возможность создавать шаблоны отчетов для будущего
использования.
Сложно возразить, что создание отчетов сетевой активности является одним из важнейших элементов защиты сети, так как дает исчерпывающую информацию о пользователях, их деятельности, используемых ими приложениях и т.д.
Давайте перейдем к практическому использованию и попробуем решить некоторые проблемы безопасности. Предположим, в нашем распоряжении небольшая корпоративная сеть (до 150 рабочих станций под управлением Windows 2000, XP; AD). Пользователи поделены на группы по отделам, каждая группа работает с определенным программным обеспечением и выполняет различные задачи. Скажем отдел работы с общественностью использует в основном почту (the Bat и Outlook Express), а отдел рекламы – ICQ и Web браузер. Вы заметили общее повышение исходящего трафика по сравнению с прошлой неделей. Простой отчет по группам пользователей с выбором лишь одного параметра для создания отчета (Распределение трафика по протоколам (исходящий трафик) поможет вам определить отдел, из которого пересылаются данные. Далее создадим отчет по используемым протоколам этого отдела:
Распределение трафика по протоколам | |||||
Протокол | Запросы | Отправлено (*) | Получено | Общий трафик | %(Всего) |
SMTP | 10,546 | 2,452 MB | 2,164 KB | 2454.1 MB | 94% |
POP3 | 1,475 | 66.54 MB | 657.5 MB | 148.7 MB | 2% |
Неизвестен | 13 | 5,870 Bytes | 1,273 KB | 1,280 KB | 1,3% |
HTTP | 351 | 15.8 KB | 195 MB | 195.1 MB | 2,7% |
FTP | 4 | 0 KB | 35.6 KB | 35.6 KB | 0.01% |
Total | 45,164 | 1541.8 MB | 422.2 MB | 1964 MB | 100 % |
Явное преимущество использования SMTP протокола может говорить
лишь о том, что ведется активная рассылка какой-то информации, будь то спам,
или ценные данные. Сформировав отчет по протоколу SMTP, мы без труда определим
IP-адрес, с которого ведется рассылка, и имя пользователя. Нам остается лишь
настроить SMTP фильтр для ISA сервера и в свободную минутку решить возникшую
проблему.
Иначе, эту проблему можно решить, воспользовавшись логами Web-прокси, в которых
указывается название активного в сети приложения. Для этого создадим отчет
по приложениям и использованному ими протоколу. В списке доступных приложений
выберем неизвестные нам и группу приложений “Not specified”. Таким образом,
посмотрев статистику по использованных протоколах, мы сможем определить приложение,
рассылающее информацию по протоколу SMTP. Заметим, что такой способ обнаружения
приложения зависит от правильности настроек ISA сервера.
Анализ логов почтовых серверов.
Излишне говорить, что анализ логов почтовых серверов играет немаловажную
роль в обеспечении безопасности предприятия. Компания ADVSoft предоставила
утилиту для создания отчетов по лог файлам для почтового Alt-N MDeamon. Поскольку
доступна только демо-версия утилиты MailDetective for Alt-N MDeamon, то именно
ее мы попытаемся описать в нашей статье.
Спойлер: она начинается с подписки на наш канал