BỘ CÔNG THƯƠNG
TRƯỜNG ĐẠI HỌC CƠNG THƯƠNG TP. HỒ CHÍ MINH

KHOA CÔNG NGHỆ THÔNG TIN
---------------------------

ĐỒ ÁN CHUYÊN NGÀNH

ỨNG DỤNG VÀ TRIỂN KHAI HỆ THỐNG LƯU
TRỮ VÀ XỬ LÝ LOG TẬP TRUNG BẰNG
GRAYLOG

GVHD : ThS TRẦN ĐẮC TỐT

TP. Hồ Chí Minh, ngày … tháng … năm 2023

BỘ CÔNG THƯƠNG
TRƯỜNG ĐẠI HỌC CƠNG THƯƠNG TP. HỒ CHÍ MINH

KHOA CÔNG NGHỆ THÔNG TIN
---------------------------

ĐỒ ÁN CHUYÊN NGÀNH

ỨNG DỤNG VÀ TRIỂN KHAI HỆ THỐNG LƯU
TRỮ VÀ XỬ LÝ LOG TẬP TRUNG BẰNG
GRAYLOG

GVHD : ThS TRẦN ĐẮC TỐT

TP. Hồ Chí Minh, ngày … tháng … năm 2023

i

LỜI CAM ĐOAN

Chúng em xin cam đoan đây là cơng trình nghiên cứu của riêng chúng tơi. Các
số liệu, kết quả nêu trong bài báo cáo Đồ án chuyên ngành là trung thực và chưa từng
được ai công bố trong bất kì cơng trình nào khác.

Chúng em xin cam đoan rằng mọi sự giúp đỡ cho việc thực hiện bài báo cáo Đồ
án chuyên ngành đã được cảm ơn và các thơng tin trích dẫn trong bài báo cáo Đồ án đã
được chỉ rõ nguồn gốc.

Nhóm sinh viên thực hiện Đồ án
(Đại diện ký và ghi rõ họ tên)

ii

LỜI CẢM ƠN

Trong quá trình thực hiện đề tài đồ án chuyên ngành, chúng em đã nhận được
rất nhiều sự giúp đỡ, đóng góp ý kiến và sử chỉ bảo tận tình của thầy cơ, bạn bè và của
gia đình.

Chúng em muốn bày tỏ lòng cảm ơn sâu sắc và chân thành đến thầy Trần Đắc
Tốt, là giảng viên của khoa Công nghệ thông tin và đồng thời cũng là người tận tình
hướng dẫn, chỉ bảo nhóm chúng em trong khoảng thời gian thực hiện đề tải Đồ án
chuyên ngành. Chúng em cũng xin gửi lời cảm ơn đến các thầy, cơ của khoa Cơng
nghệ thơng tin nói chung, các thầy cơ thuộc chun ngành bộ mơn An tồn thơng tin
nói riêng đã cung cấp những kiến thức thuộc cơ bản từ những kiến thức đại cương đến

những kiến thức chuyên ngành., giúp chúng em có được cơ sở lý thuyết vững chắc để
có thể thực hiện được báo cáo Đồ án chuyên ngành.

Cuối cùng, chúng em cũng xin chân thành gửi lời cảm ơn đến gia đình và bạn
bè, đã luôn tạo điều kiện, quan tâm, giúp đỡ và đồng viên trong q trình học tập và
hồn thành bài báo cáo Đồ án chuyên ngành.

Nhóm sinh viên thực hiện
(Đại diện ký và ghi rõ họ tên)

iii

TÓM TẮT

Theo thống kê đến từ trang panther, khoảng 70% những dữ liệu sử kiện chứa
thơng tin mang tính rủi ro cao tốn thời gian cả tháng để thu thập. Đến 44% khách hàng
cho rằng những hệ thống SIEM trở nên phức tạp trong việc tích hợp và triển khai vào
hệ thống của mình, q trình triển khai từ việc thu thập dữ liệu từ nhiều nguồn để phát
hiện mối đe dọa và lỗ hổng, việc này dẫn đến tốn thời gian, nhất là các hệ thống chưa
được tối ưu để tích hợp vào SIEM. Ngoài ra, các con số khác như thị trường dành cho
các hệ thống quản lý sự kiện cũng mang tính đặc biệt như lên đến 3.788 tỉ đô la Mỹ
trong năm 2023 và dự báo có thể lên đến 7.167 tỉ đô la Mỹ trong năm 2030, tức là tăng
khoảng 10.47% từ năm 2023 đến 2030. Đứng trước nhu cầu cần thiết để thiết lập một
hệ thống giám sát dành cho vấn đề về bảo, các ứng dụng nổi tiếng đáp ứng được những
nhu cầu có thể kể đến như Splunk, Logmatic, Logstash và nhiều ứng dụng khác. Trong
số những cái tên được kể đến, Graylog là một trong những hệ thống quản lý sự kiện tập
trung đáp ứng những tính năng cơ bản cũng như nâng cao của một hệ thống quản lý tập
trung về dữ liệu sự kiện, tìm hiểu và triển khai hệ thống lưu trữ và tập trung xử lý dữ
liệu sự kiện (log) của Graylog cũng là đề tài thực hiện trong bài báo cáo Đồ án chuyên
nghành.


Graylog là một nền tảng mã nguồn mở cho phép quản lý dễ dàng các dữ liệu các
cấu trúc và không cấu trúc dựa trên sự kết hợp giữa các thành phần như Elasticsearch
(có thể thay thế bằng Opensearch), MongoDB và Graylog Server. Một trong những
điểm nổi bật của Graylog là khắc phục được tính rời rạc và bảo mật trong những bộ
ứng dụng mang tính kết hợp nhiều ứng dụng khác để phục vụ một mục đích, Graylog
đảm nhận việc thu thập và xử lý thông tin, Elasticsearch sẽ thực hiện việc tìm kiếm
thơng qua các lệnh truy vấn và các thông tin thiết lập được lưu trữ trong MongoDB.
Ngoài ra, đáp ứng nhu cầu nâng cao của các hệ thống quản lý Log tập trung, Graylog

iv

cũng có thể triển khai trên nhiều nền tảng, có thể phát triển nâng cao để thành SIEM
hay triển khai trên mơi trường điện tốn đám mây.

Graylog là một hệ thống quản lý tập trung dự liệu sự kiện đáp ứng được những
nhu cầu cần thiết để đảm bảo việc giám sát và nâng cao tính bảo mật của hệ thống. Nội
dung của bài báo cáo Đồ án chuyên ngành tập trung tập trung khai thác những thông
tin tổng quan như :

 Chương 01 – Tỉm hiểu về những hệ thống quản lý dữ liệu sự kiện tập trung
 Chương 02 – Tìm hiểu tổng quan về Graylog
 Chương 03 – Triển khai hệ thống quản lý Log bằng Graylog

v

MỤC LỤC

LỜI CAM ĐOAN............................................................................................................ i
LỜI CẢM ƠN................................................................................................................ii

TÓM TẮT..................................................................................................................... iii
MỤC LỤC...................................................................................................................... v
CHƯƠNG 1. TỔNG QUAN VỀ HỆ THỐNG QUẢN LÝ LOG...............................2
1.1. Tổng quan về bản ghi sự kiện (log)........................................................................2
1.1.1. Khái niệm về log.................................................................................................2
1.1.1.1. Các bản ghi sự kiện bảo mật của thiết bị...........................................................2
1.1.1.2. Các bản ghi sự kiện của hệ điều hành...............................................................4
1.1.1.3. Các bản ghi sự kiện của ứng dụng....................................................................5
1.2. Tổng quan về hệ thống quản lý log........................................................................6
1.2.1. Kiến trúc chung của hệ thống quản lý log...........................................................6
1.2.2. Giao thức gửi và nhận nhật kí hệ thống Syslog (System Logging Protocol)........7
1.2.3. Hệ thống quản lý dự liệu và sự kiện tập trung SIEM (Security Information and
Event Management Software)........................................................................................8
1.2.4. Các hệ thống quản lý log hiện nay.......................................................................9
CHƯƠNG 2. TỔNG QUAN VỀ GRAYLOG...........................................................10
2.1. Tổng quan về Graylog..........................................................................................10
2.2. Kiến trúc của Graylog..........................................................................................11
2.3. Quá trình hoạt động Graylog................................................................................13
2.4. Sử dụng Graylog để phân tích và tìm kiếm..........................................................15

vi

2.4.1. Q trình phân tích log sau khi thu thập từ các nguồn trong Graylog................15
2.4.2. Quá trình tìm kiếm dữ liệu sự kiện trong Graylog.............................................16
2.5. Sử dụng Graylog để giám sát và cảnh báo............................................................17
2.6. Mơ hình triển khai Graylog..................................................................................18
2.6.1. Mơ hình dạng cơ bản dành cho quy mơ nhỏ......................................................18
2.6.2. Mơ hình mở rộng dành cho nhu cầu nâng cao...................................................20
CHƯƠNG 3. TRIỂN KHAI HỆ THỐNG QUẢN LÝ BẰNG GRAYLOG............22
3.1. Giới thiệu vấn đề..................................................................................................22

3.2. Mơ hình thực nghiệm...........................................................................................22
3.3. Kịch bản thực nghiệm..........................................................................................23
3.4. Các bước thực hiện...............................................................................................24
3.4.1. Thiết lập tường lửa với pfsense.........................................................................24
3.4.1.1. Tổng quan các bước thực hiện........................................................................24
3.4.1.2. Thiết lập IP cho máy Web Server (192.168.2.15/24)......................................26
3.4.1.3. Thiết lập IP cho máy Graylog Server (192.168.131.15/24).............................28
3.4.1.4. Thiết lập IP trên máy Window Server 2016 (192.168.131.16/24)...................29
3.4.2. Thiết lập máy Graylog Server............................................................................30
3.4.2.1. Tổng quan nội dung thực hiện........................................................................30
3.4.2.2. Cài đặt MongoDB (phiên bản 6.x)..................................................................30
3.4.2.3. Cài đặt OpenSearch (phiên bản 6.x, thay thế cho Elasticsearch).....................35
3.4.2.4. Cài đặt Graylog Server (phiên bản 5.7)...........................................................43
3.4.3. Thiết lập Syslog trên pfsense (gửi log về Graylog Server)................................50

vii

3.4.4. Thiết lập Syslog và Beats trên Web Server (gửi log về Graylog Server)...........58
3.4.4.1. Thiết lập Input cho Syslog của Web Server (sử dụng rsyslog)........................59
3.4.4.2. Thiết lập Input cho Graylog Sidecar của Web Server.....................................62
3.4.5. Triển khai các hình thức tấn công trên Kali vào Web Server.............................74
KẾT LUẬN.................................................................................................................. 77
TÀI LIỆU THAM KHẢO............................................................................................78

viii

DANH MỤC HÌNH ẢNH

Hình 1-1. Ví dụ về một bản ghi sự kiện của tường lửa tích hợp trên hệ điều hành
Windows........................................................................................................................ 3

Hình 1-2. Một ví dụ khác về bản ghi sự kiện của ứng dụng phát hiện và phòng chống
xâm nhập Snort............................................................................................................... 3
Hình 1-3. Ví dụ về một bản ghi sự kiện của tường lửa mã nguồn mở pfsense...............3
Hình 1-4. Ví dụ minh họa cho bản ghi sự kiện của Windows, được sử dụng thơng qua
Windows Event Log.......................................................................................................4
Hình 1-5. Ví dụ minh cho bản ghi sự kiện access của ứng dụng apache trong
access.log, thể hiện thông tin của thiết bị sử dụng trang web truy cập...........................5
Hình 1-6. Ví dụ minh họa cho các bản ghi sự kiện dành cho ứng dụng, thể hiện thơng
qua Window Event Log..................................................................................................5
Hình 1-7. Ví dụ minh họa của ứng dụng Kiwi Syslog, máy chủ Syslog tiếp nhận các
thơng báo sự kiện từ nhiều nguồn...................................................................................7
Hình 2-1. Mơ hình kiến trúc của Graylog, bao gồm 3 thành phần chính : Graylog
Server tiếp nhận các Log, thực hiện phân tích; Elasticsearch thực hiện việc tìm kiếm và
MongoDB..................................................................................................................... 12
Hình 2-2. Mơ hình quá trình hoạt động của Graylog...................................................14
Hình 2-3. Sơ đồ hoạt động việc phân tích dữ liệu sự kiện trong Graylog, các dữ liệu
sau khi được thu thập sẽ được chuyển vào các stream, q trình phân tích dựa vào các
rule và extrator để cụ thể hóa dữ liệu trong log và chuyển tiếp qua các hoạt động khác.
...................................................................................................................................... 15
Hình 2-4. Ví dụ một Extractor phân tích các trường dữ liệu để định nghĩa các thành
phần của pfsesne log.....................................................................................................16

ix

Hình 2-5. Bảng Dashboard trống:................................................................................17
Hình 2-6. tạo Event Defination:...................................................................................18
Hình 2-7. Mơ hình triển khai dạng tổng hợp cho Graylog...........................................19
Hình 2-8. Mơ hình triển khai cho mơi trường địi hỏi các yêu cầu cao về tính sẵn sàng
và độ mở rộng cao........................................................................................................20
Hình 2-9. Mơ hình triển khai gồm nhiều node chứa các Elasticsearch chung một

Cluster.......................................................................................................................... 21
Hình 2-10. Mơ hình triển khai gồm nhiều thành phần trên mơi trường ảo hóa Docker
và sử dụng điều phối Container là k8s..........................................................................21
Hình 3-1. Mơ hình thực hiện bài thực nghiệm triển khai quản lý tập trung log bằng
Graylog......................................................................................................................... 22
Hình 3-2. Thiết lập tường lửa pfsense thành công với 3 giao diện mạng bao gồm WAN
(192.168.38.x/24), LAN (192.168.131.10/24) và DMZ (192.168.2.10/24)..................25
Hình 3-3. Truy cập giao diện Dashboard của pfsense tại IP của máy LAN.................26
Hình 3-4. Thay đổi IP trong tập tin 00-installer-config.yaml.......................................27
Hình 3-5. Thực hiện kiểm tra Ping thành công đến Google, tức là máy có thể ra được
Internet......................................................................................................................... 27
Hình 3-6. Tùy chỉnh thiết lập cho máy ảo Graylog, kết nối vmnet vào mạng LAN.....28
Hình 3-7. Thay đổi thơng tin về mạng trong /etc/netplan/00-installer-config.yaml.....28
Hình 3-8. Kết quả có thể ping được google thành cơng...............................................28
Hình 3-9. Thiết lập tùy chỉnh cho máy ảo, kết nối với Vmnet1 cùng nhóm mạng với
LAN.............................................................................................................................. 29
Hình 4.68. Có thể ping thành công đến Google.com....................................................29

x

Hình 3-10. Cài đặt gnupg và curl trên Ubuntu Server 22.04.3.....................................32
Hình 3-11. Thực hiện thêm key vào bằng pipeline......................................................32
Hình 3-12. Thêm mongodb list vào source list của apt................................................33
Hình 3-13. Cài đặt mongoDB bằng lệnh thơng qua apt...............................................33
Hình 3-14. Kiểm tra bằng lệnh apt list.........................................................................33
Hình 3-15. Khởi động các lệnh liên quan đến dịch vụ.................................................34
Hình 3-16. Thêm khóa GPG để xác thực chữ kí của APT Repository.........................36
Hình 3-17. Sử dụng lệnh để thêm repo vào source file tại máy Local.........................37
Hình 3-18. Sử dụng lệnh “sudo apt update” để cập nhập các Source File tại Local.....37
Hình 3-19. Thưc hiện tải OpenSearch, file tải gần 1 GB nên có thể đợi một lát tùy theo

tốc độ tải để hồn thành................................................................................................38
Hình 3-20. Thay đổi cluster.name và node.name.........................................................39
Hình 3-21. Tùy chọn path chứa các data và logs.........................................................40
Hình 3-22. Tùy chọn cách thức Discovry cho OpenSearch phát hiện node.................40
Hình 3-23. Tùy chọn dãy mạng để OpenSearch hoạt động thu thập dữ liệu................40
Hình 3-24. Thay đổi các thông số cho runtime, nếu lỗi phân quyền thì sử dụng tài
khoản root để thiết lập..................................................................................................41
Hình 3-25. Sử dụng các câu lệnh để khởi động dịch vụ...............................................42
Hình 3-26. Cũng có thể kiểm tra bằng lễnh curl để lấy dữ liệu đang có từ OpenSearch.
...................................................................................................................................... 42
Hình 3-27. Tải tập tin .deb từ trang chủ bằng wget.....................................................45
Hình 3-28. Thực hiện cài đặt .deb bằng dpkg..............................................................45
Hình 3-29. Cập nhập apt và tải Graylog Server...........................................................45

xi

Hình 3-30. Thiết lập mật khẩu cho Graylog Server.....................................................46
Hình 3-31. Tùy chỉnh thiết lập mật khẩu trong file cấu hình graylog..........................46
Hình 3-32. Tùy chỉnh IP Address để sử dụng IP hoặc Port khác khi truy cập.............47
Hình 3-33. Nếu bị lỗi về message_journal_max_size thì thay đổi thiết lập cho phù hợp.
...................................................................................................................................... 47
Hình 3-34. Thực hiện khởi động lại các dịch vụ..........................................................48
Hình 3-35. Thực hiện xem trạng thái hoạt động của dịch vụ.......................................48
Hình 3-36. Truy cập graylog Server qua IP address được thiết lập..............................49
Hình 3-37. Giao diện khi xác thực thành cơng............................................................49
Hình 3-38. Thiết lập một inputs trong system..............................................................50
Hình 3-39. Chọn dạng input là một syslog UDP, vì mặc định pfsense dùng syslog gửi
qua UDP.......................................................................................................................51
Hình 3-40. Thiết lập tối thiểu 2 thơng số, Bind Address thì có thể giữ ngun và Port
thì thay bằng một Port chưa dùng, mặc định là 514......................................................51

Hình 3-41. Sau khi thiết lập xong sẽ hiển thị một input dành cho pfsense...................52
Hình 3-42. Thiết lập trong Status > System Logs........................................................52
Hình 3-43. Di chuyển đến mục Settings......................................................................53
Hình 3-44. Bật “Enable Remote Logging” và nhập IP:Port của máy Graylog.............53
Hình 3-45. Sau khi thiết lập thì có thể để ý những thơng số cho thấy có dữ liệu đang
nhận về......................................................................................................................... 54
Hình 3-46. Kiểm tra trong mục Search hay nhấn vào “Show Received message” để
xem những log hiển thị và gửi về từ pfsense trên Graylog...........................................54

xii

Hình 3-47. Hiển thị thơng tin chi tiết khi nhập vào event, hình là trường hợp nhập
thành cơng tài khoản admin..........................................................................................55
Hình 3-48. Chọn tìm kiếm Snort và cài đặt.................................................................55
Hình 3-49. Có thể kiểm tra các log gửi về có event cho thấy cài đặt gói Snort............56
Hình 3-50. Bật thêm tính năng “Send Alerts to System Log” để pfsense có thể gửi log
của Snort về Graylog....................................................................................................56
Hình 3-51. Ví dụ đặt một Rule phát hiện Ping trên LAN, kết quả các Alert hiển thị
trong mục Alert của pfsense, thiết lập thì các cảnh báo này sẽ chuyển đến Graylog....57
Hình 3-52. Các log cảnh báo của Snort trên pfsense được hiển thị trên Graylog.........57
Hình 3-53. Kiểm tra sẽ thấy một input mới dành cho máy Web Server thơng qua
Syslog........................................................................................................................... 60
Hình 3-54. Thay đổi nội dung trong tập tin cấu hình rsyslog.conf...............................60
Hình 3-55. Thử đăng nhập sai nhiều lần trong quá trình xác thực của SSH................61
Hình 3-56. Kiểm tra trong phần Search sẽ thấy những thơng báo về đăng nhập sai....61
Hình 3-57. Thiết lập một Inputs, chọn Beats...............................................................62
Hình 3-58. Thiết lập tên và Port..................................................................................63
Hình 3-59. Có thể tắt xác thực TLS để đơn giản.........................................................63
Hình 3-60. Input mới tạo ra cho Beats.........................................................................63
Hình 3-61. Tạo Sidecar trong System > Sidecars........................................................64

Hình 3-62., Tạo Token bằng nhấn vào “Create or Reuse a token for the graylog sidecar
user”............................................................................................................................. 64
Hình 3-63. Tạo một Token..........................................................................................65

xiii

Hình 3-64. Một token mới tạo cho web server sidecar, nên ghi nhớ lại vì nó khơng
hiển thị lại nữa đâu.......................................................................................................65
Hình 3-65. Tải gói tin .deb chứa thơng tin về key và thêm vào source list file............66
Hình 3-66. Thực hiện cài đặt gói .deb bằng dpkg........................................................66
Hình 3-67. Thực hiện cập nhập local repository và thực hiện tải graylog-sidecar.......66
Hình 3-68. Thiết lập nội dung về server_url và server_api_token...............................67
Hình 3-69. Thực hiện kiểm tra tình trạng hoạt động của Graylog Sidecar...................67
Hình 3-70. Nếu làm đúng thì trở lại bên Overview sẽ thấy status là running..............68
Hình 3-71. Dùng curl để lấy tập tin .deb......................................................................68
Hình 3-72. Cài đặt file .deb bằng dpkg........................................................................69
Hình 3-73. Chọn Create Configuration........................................................................69
Hình 3-74. Cái này thì chỉ cần chọn Collector là Filebeat trên Linux, các thiết lập sẽ
được tạo ra, lúc này chỉ cần thay đổi nội dung là dc.....................................................70
Hình 3-75. Configuration được tạo cho filebeats.........................................................71
Hình 3-76. Chọn filebeat > Assign Configuration.......................................................71
Hình 3-77. Chọn configuration về filebeats.................................................................72
Hình 3-78. Sau khi thiết lập thì sidecar sử dụng configuration vừa thiết lập...............72
Hình 3-79. Các log hiển thị trong access.log và error.log............................................73
Hình 3-80. Bật tính năng rule cộng đồng trên Snort và Emergin Threats....................74
Hình 3-81. Bật giám sát trên interface cho WAN........................................................74
Hình 3-82. Máy Kali sử dụng Zenmap để quét Port và các Scripts tổng hợp khác......75
Hình 3-83. Các cảnh báo hiển thị trên Snort................................................................75

xiv


Hình 3-84. Graylog có thể giám sát và phát hiện hình thức tấn cơng bằng qt port, cụ
thể là dùng các script quét trong nmap.........................................................................76

1

MỞ ĐẦU

Với sự phát triển và nhu cầu nâng cao đối với tính chất đảm bảo an ninh cho hệ
thống mạng, các doanh nghiệp đang phải đối mặt với một lượng lớn dữ liệu log từ các
hệ thống khác nhau như máy chủ, ứng dụng và thiết bị mạng. Việc quản lý và xử lý
lượng log này trở nên khó khăn, chúng em nhận ra rằng cần một giải pháp hiệu quả
hơn để kiểm sốt, phân tích và lưu trữ log một cách hiệu quả.

Mục tiêu chính của chúng em là ứng dụng và triển khai hệ thống quản lý log tập
trung bằng Graylog để cải thiện khả năng theo dõi và phân tích log. Chúng em hy vọng
sẽ hình thành một giải pháp giúp rút ngắn thời gian phản ứng đối với sự cố bảo mật, tối
ưu hóa tài nguyên hệ thống và tăng cường khả năng giám sát.

Tập trung khai thác các vấn đề tổng quan liên quan đến các hệ thống quản lý log
nói chung và ứng dụng Graylog nói nói riêng. Đối tượng chính trong q trình thực
hiện là Graylog, các thơng tin tổng quan, kiến trúc, q trình thu thập và phân tích, xử
lý Log cũng như cách thức triển khai hệ thống quản lý Log tập trung bằng Graylog.

Graylog là một nền tảng quản lý và phân tích dữ liệu sự kiện mã nguồn mở miễn
phí đáp ứng được những nhu cầu cơ bản và nâng cao trong việc phân tích, xử lý và truy
cập dữ liệu sự kiện. Việc thực hiện tìm hiểu để tài mang lại nhiều ý nghĩa cho khoa học
và thực tiễn. Việc nghiên cứu, tìm hiểu cho các nhìn tổng quan cũng như tăng thêm
hiểu biết về cách thức hoạt động của các hệ thống quản lý dữ liệu sự kiện, việc tối ưu
hóa q trình thu thập và phân tích các sự kiện cũng như giám sát, đưa ra các sự kiện

cảnh báo để cho ra một cái nhìn trực quan về cách thức cũng như quá trình hoạt động
của các hệ thống quản lý sự kiện nói chung và của Graylog nói riêng.

2

CHƯƠNG 1. TỔNG QUAN VỀ HỆ THỐNG QUẢN LÝ LOG

1.1. Tổng quan về bản ghi sự kiện (log)
1.1.1. Khái niệm về log

Log (hay còn gọi là bản ghi sự kiện) là bản ghi lại các sự kiện xảy ra trong hệ
thống và mạng của tổ chức. Nhật ký là bao gồm các mục nhật ký; mỗi mục chứa thông
tin liên quan đến một sự kiện cụ thể đã xảy ra trong một hệ thống hoặc mạng. Ban đầu,
nhật ký được sử dụng chủ yếu để khắc phục sự cố, nhưng nhật ký hiện phục vụ nhiều
chức năng trong hầu hết các tổ chức, chẳng hạn như tối ưu hóa hệ thống và mạng hiệu
suất, ghi lại hành động của người dùng và cung cấp dữ liệu hữu ích để điều tra hoạt
động độc hại. Trong một tổ chức, nhiều nhật ký chứa các bản ghi liên quan đến bảo
mật máy tính; ví dụ phổ biến về các nhật ký bảo mật máy tính này là nhật ký kiểm tra
theo dõi các nỗ lực xác thực của người dùng và nhật ký thiết bị bảo mật ghi lại các
cuộc tấn công có thể xảy ra.

1.1.1.1. Các bản ghi sự kiện bảo mật của thiết bị
Các thiết bị thường sử dụng hay được triển khai trong hệ thống mạng đều hoạt

động theo dạng Network-based hay Host-based với mục đích chính là giám sát quá
trình hoạt động của hệ thống mạng, các thiết bị trong môi trường mạng nhằm bảo vệ dữ
liệu và phản ứng nếu xảy ra các tình huống rủi ro an ninh đến hệ thống. các thiết bị có
thể kể đến như tường lưa (Firewall), các hệ thống phát hiện và phòng chống xâm nhập
(IDS, IPS), thiết bị định tuyến (Router), các thiết bị xác thực (Authentication Servers)
và nhiều thiết bị khác trong hệ thống mạng.


3

Hình 1-1. Ví dụ về một bản ghi sự kiện của tường lửa tích hợp trên hệ điều hành
Windows

Hình 1-2. Một ví dụ khác về bản ghi sự kiện của ứng dụng phát hiện và phòng chống
xâm nhập Snort.

Hình 1-3. Ví dụ về một bản ghi sự kiện của tường lửa mã nguồn mở pfsense.

4

1.1.1.2. Các bản ghi sự kiện của hệ điều hành
Hệ điều hành (hay Operating System) là một phần mềm hệ thống quản lý tài

nguyên và phần cứng của mính tính, đóng vai trị là cầu nối quan trọng trong quá trình
giao tiếp giữa phần cứng và phần mềm. Các bản ghi sự kiện của hệ điều hành thường
chứa những thông tin liên quan đến các vấn đề về bảo mật, thường nằm trong hai vấn
đề là : sự kiện hệ thống (System Events) và hồ sơ kiểm toán (Audit Records).

 Sự kiện hệ thống (hay là System Events) : là các hoạt động được thực thi bởi các
thành phần của OS, các sự kiện đều có thời gian, nội dung hoạt động và dịch vụ
hay thành phần liên quan tạo nên sự kiện ấy.

 Các hồ sơ kiểm toán (Audit Records) : thường là chứa các thông tin về sự kiện
an ninh hệ thống về thất bại hay thành công của xác thực và nhiều hoạt động
khác.

Hình 1-4. Ví dụ minh họa cho bản ghi sự kiện của Windows, được sử dụng thông qua

Windows Event Log..