Che cosa sono i log file?

Articoli

  • log
  • log management

Che cosa sono i log file?

I log file contengono le registrazioni degli accessi sequenziali e cronologici ad un sistema informativo. Al suo interno possono essere contenute moltissime informazioni di vario genere. Lo scheletro minimo però solitamente riporta:

  • Timestamp, orario e data esatti in cui un log è stato generato;
  • Le informazioni sull’utente che lo ha generato;
  • Informazioni sul tipo di evento.

Naturalmente possono essere raccolte anche altre informazioni in più. Non ci se deve necessariamente limitare a quelle descritte qui sopra.

Proprio per questo motivo è molto importante, nella gestione dei log, effettuare alcune analisi a priori prima di lanciarsi nella raccolta, audit, etc. Ad esempio sarà utile decidere quali informazioni vogliamo raccogliere e per quale scopo ben preciso. Avere un obiettivo di controllo, sicurezza o compliance richiede un approccio diverso e diverse informazioni da raccogliere.

Dove puoi trovare i file di log?

Ogni sistema che genera log li raccoglie in file aperti all’interno di alcune cartelle. Spesso all’interno nel percorso directory/var/log anche se alcuni software o hardware potrebbero raccoglierli in altri percorsi di rete. Per poterli visualizzare nel mondo Microsoft bisogna rendere visibile i file nascosti, mentre nel mondo Apple bisogna utilizzare il comando log nel terminale oppure l’app console.

I log possono essere generati da varie fonti, in modo non esaustivo citiamo:

  • Applicazioni
  • Containers
  • Database
  • Firewalls
  • Computer, smartphone, etc (categoria degli endpoints)
  • Dispositivi IoT
  • Reti
  • Servers
  • Cartelle e file

Quali sono vari tipi di log?

Esistono vari tipi di log che raccolgono diverse informazioni, tra i più importanti:

  • Event log, che raccolgono informazioni su traffico di rete interna come i log in, log out, i tentativi di accesso fallito;
  • I log di sistema, ad esempio messaggi di avvio, modifiche, errori di shutdown inaspettati. Ogni sistema operativo registra i suoi;
  • Log di accesso, che raccolgono i log di accesso di persone con autorizzazioni speciali a specifiche applicazioni o file;
  • Log di modifica, che raccolgono informazioni sulle modifiche a file e cartelle;
  • Log dei server, che raccolgono all’interno di file di testo informazioni su uno specifico server in un determinato lasso di tempo;
  • Log sulle risorse, raccolgono informazioni su problemi di connessione e limiti di capacità.

La lista non è esaustiva chiaramente, ci sono altre fonti di log, ma una descrizione completa non è l’obiettivo di questo articolo.

I log file sono uno strumento fondamentale per l’analisi dell’infrastruttura IT

I log servono principalmente a monitorare l’infrastruttura IT. Grazie alla registrazione degli eventi diventa possibile tenere sotto controllo gli accessi a macchine, dispositivi, file e cartelle, software, hardware. Una volta centralizzati in un unico luogo diventa inoltre più semplcie avere il controllo su:

  • Possibili minacce interne ed esterne, poiché gli accessi sono monitorati e diventa possibile correlarli per cercare eventi anomali;
  • Problemi hardware o software, siamo in grado di verificare se ci sono criticità su determinate macchine, server o su programmi che potrebbero non funzionare correttamente;
  • La compliance normativa. In alcuni casi la legge interviene e chiede di gestire i log di determinati ruoli o settori. Quindi la raccolta e l’analisi diventano una conseguenza di un obbligo di legge. Ad esempio questo è il caso della GDPR e del provvedimento “Amministratori di sistema” per l’Italia. Mentre in ambito internazionale per la compliance ad alcune norme ISO, NIS, PCI-DSS.
< Torna al Blog