Loggføring

• Loggføring
  • Hovedformål med loggføring
  • Typer logger og innhold
  • Håndtering og verktøy

Loggføring (Logging) er den systematiske prosessen med å registrere hendelser, operasjoner og tilstander i et IT-system. En logg er en tidsstemplet, uforanderlig registrering av en aktivitet, enten den er utført av en bruker, et program eller operativsystemet.

Hovedformål med loggføring

Logger er den viktigste kilden til informasjon for feilsøking, sikkerhet og revisjon, og danner selve bevisgrunnlaget for hva som har skjedd i infrastrukturen.

1. Feilsøking og ytelsesanalyse:
   • Proaktivt: Logger gir ytelsesdata (f.eks. CPU-belastning, minnebruk, databasetilkoblinger) som kan brukes til å identifisere trender og flaskehalser. Dette hjelper driftere med å handle før en feil inntreffer.
   • Reaktivt: Når en feil inntreffer (f.eks. en server krasjer eller en applikasjon fryser), er logger det første stedet man ser for å finne rotårsaken. Loggen forteller nøyaktig hva systemet gjorde sekundene før feilen.
2. Sikkerhet og hendelseshåndtering:
   • Revisjonsspor (Audit Trail): Logger fungerer som bevis. De dokumenterer hvem som logget på, når de logget på, hvilke filer de aksesserte, og hvilke endringer som ble gjort. Dette er nødvendig for å overholde lovverk som GDPR (ved å spore tilgang til personopplysninger).
   • Oppdagelse: Ved å overvåke sikkerhetslogger kan man oppdage mistenkelige mønstre som indikerer et angrep (f.eks. et høyt antall mislykkede påloggingsforsøk eller uautoriserte filendringer).
3. Etterlevelse (Compliance):
   • Mange bransjeforskrifter og internasjonale standarder (som ISO 27001) krever at logger oppbevares i en definert periode og at de er beskyttet mot manipulasjon for å bevise at organisasjonen har fulgt reglene.

Typer logger og innhold

En moderne infrastruktur genererer mange forskjellige typer logger som må håndteres.

• Applikasjonslogger: Registreringer fra spesifikk programvare. Dette kan inkludere feilmeldinger fra et ERP-system, informasjon om transaksjonsbehandling, eller feil i en webserver. Dette er avgjørende for å feilsøke ytelse på applikasjonslaget.
• Systemlogger (OS-logger): Registreringer fra operativsystemet (Windows Event Viewer, Linux syslog). Inkluderer informasjon om oppstart/nedstengning av servere, maskinvarefeil, driverproblemer, og tilstandsendringer.
• Sikkerhetslogger: Logger spesifikt knyttet til autentisering og autorisasjon, for eksempel:
  • Mislykkede og vellykkede pålogginger.
  • Endringer i tilgangsrettigheter (hvem ga hvem tilgang til hva).
  • Aksess til sensitive filer.
• Nettverkslogger: Data fra rutere, svitsjer og brannmurer. Dette inkluderer brannmurlogger (hvem forsøkte å koble seg til og ble blokkert), DNS-forespørsler og VPN-tilkoblinger.

Håndtering og verktøy

Det er umulig å manuelt lese logger fra hundrevis av enheter. Derfor er sentralisering og automatisering av logganalyse nødvendig.

• Sentral loggserver: Logger fra alle kilder (servere, nettverk, applikasjoner) sendes automatisk til en sentral loggserver. Dette er avgjørende for effektiv analyse, spesielt ved hendelser som påvirker flere systemer samtidig.
• SIEM-systemer (Security Information and Event Management): Dette er spesialiserte plattformer (f.eks. Splunk, Microsoft Sentinel) som:
  1. Samler inn logger fra hele infrastrukturen.
  2. Normaliserer og korrelerer dataene (finner sammenhenger mellom logger fra forskjellige kilder).
  3. Bruker avanserte regler og KI for å identifisere mønstre som indikerer et angrep eller en feil, og deretter genererer varsler.
• Loggens Integritet: Logger må beskyttes mot manipulasjon. Derfor skal logger aldri lagres på samme server som genererte dem, og tilgangen til loggserveren skal være ekstremt strengt kontrollert for å sikre at loggene er et pålitelig bevis.

Effektiv loggføring og analyse er ryggraden i proaktiv overvåking og en ikke-forhandlingsbar del av moderne systemsikkerhet.

---

Relaterte kompetansemål

• bruke og gjøre rede for rutiner og systemer for avviksrapportering og vurdere tiltak for håndtering av avvik
• reflektere over og anvende virksomhetens retningslinjer for datasikkerhet og personvern i virksomheten
• gjøre rede for og følge virksomhetens rutiner knyttet til anskaffelser, implementering, oppsett, drift og avhending av utstyr
• lese, forstå og utforme dokumentasjon og spesifikasjoner
• utforske og bruke metoder for feilsøking, utføre utbedringer og dokumentere løsninger