You are here: TUTWiki>Tietoturva>Sisällysluettelo?>Lokitietoja

Lokitietoja

Loki on väännös englannin sanasta 'log'. Se tarkoittaa systemaattisesti pidettyä päiväkirjaa eli sellaista kirjanpitoa, johon on aikajärjestyksessä lisätty merkintöjä tietynlaisista tapahtumista. Käyttöjärjestelmät ja monet muut ohjelmat luovat lokeja. Ne ovat tärkeitä kun halutaan tietää, miten johonkin outoon tilanteeseen päädyttiin, vaikka kyseessä ei olisikaan tahallinen tietoturvaloukkaus.

Lokitiedostot ovat tyypillisesti hyvin suuria ja niiden lukemiseen ja tulkintaan tarvitaan yleensä erillisiä ohjelmia, vaikka ne voivatkin olla tekstimuotoisia. Sen lisäksi että asianmukaisia lokitietoja kerätään ja niitä jaksetaan ihmisvoiminkin tarkastella, hyökkääjän toimien havaitsemiseksi on oleellista, että lokeja ei pääse peukaloimaan. Erityisesti lokeihin kirjoittamisen pitäisi aina olla vain append-tyyppistä eli peräänkirjoittamista.

Unixissa lokitiedostoja ovat (vrt. hakemistosta /var/adm, mitä Lintulassa on käytössä):

  • wtmp: käyttäjätunnus, login-aika, pääte jolta yhteys otettiin, mahdollisen etäkoneen nimi, yhteysajan kesto, mahdollisia prosessi- ja istuntotunnisteita. Tämän tiedoston voi lukea last-ohjelmalla (esim: "last käyttäjätunnus").
  • loginlog: epäonnistuneet login-yritykset;
  • sulog: su-komennon käytöt ja epäonnistumiset siinä (su:lla "muunnutaan" toiseksi käyttäjäksi, oletuksena 'root' eli superuser; tämä ei ilmene wtmp:ssä);
  • aculog: ulossoittavien modeemien (automatic call units) tietoja;
  • (p)acct: kunkin käyttäjän ajamat komennot (luetaan lastcomm-komennolla);
  • messages: konsolille tulleet viestit;
  • vold.log: virheet ulkoisten tietovälineiden käytössä.

Joissain tapauksissa tieto ei ole kumulatiivinen, vaan lokitiedostoksi sanotaan (harhaanjohtavasti) myös voimassaolevaa tilanteen kuvausta. Tällaisia tiedostoja ovat mm.

  • lastlog: kunkin käyttäjän tuorein sisäänkirjautumisaika (näkyy aina seuraavan kerran alussa ja olisi hyvä jokaisen tarkastaa).
  • utmp: kullakin hetkellä sisällä olevat käyttäjät ja heistä vastaavat tiedot kuin wtmp:ssä (tätä käyttävät mm. who- ja finger-ohjelmat)

Lokeja voi kerätä myös yleisellä syslog-ohjelmalla, jota muut ohjelmat kutsuvat tallettamaan lokitietojaan.

Luonnollisesti myös MS-Windows -käyttöjärjestelmässä on lokien keruutoiminta. Lokien tarkastelun väline on Event Viewer, jolla saa kätevästi tietueiden rakenteen näkyviin. Lokeja on kolmessa kategoriassa: sovellus-, järjestelmä- ja turvalokit. Palvelinkoneilla on muitakin, ja kaikkia voi säätää. Turvaloki vastaa lähinnä em. kirjautumisiin liittyviä lokeja, ja sitä ei normaalissa työasemassa oletusarvoisesti kerätä.

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmis
Tyyppi Ydin
Luokitus Verkko
Mitä Useita
Miltä Useita
Missä Järjestelmä
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 22 Apr 2010 - 13:40:32 - MaijuLehtonen?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback