Тэмдэглэл, лог бүртгэл хадгалагдаж буй эсэх?
Лог бүртгэл (log, audit trail) гэдэг нь систем дээр хийгдсэн бүх үйлдлийг нарийн бичиж тэмдэглэдэг бүртгэл юм. Үүнд хэрэглэгчийн нэвтрэлт, өөрчлөлт хийх, файл татах, устгах гэх мэт бүхий л мэдээлэл орно. Лог бүртгэл нь мөрдлөг, хяналт, эрсдэлийн үнэлгээ, халдлагын шинжилгээ хийх үндэс болдог.
Яагаад чухал вэ?
- Хэн, хэзээ, юу хийснийг хянах боломжтой.
- Халдлага, системийн доголдлын үед шинжилгээ хийх, сэргээх боломж бүрдүүлдэг.
- Эрх мэдлээ хэтрүүлэн ашигласан хэрэглэгчийг илрүүлэхэд тусална.
- ISO 27001, NIST зэрэг аудитын стандартуудын гол шаардлагуудын нэг.
Шалгах зүйлс
Систем лог бичдэг эсэх (login/logout, update, delete, error)
- Бүх чухал үйлдэл бүртгэгдэж байгаа юу?
Лог хаана хадгалагдаж байна?
- Local, centralized server эсвэл SIEM систем дээр хадгалагдаж байна уу?
Лог өөрчлөгдөх боломжгүй эсэх (tamper-proof)
- Лог файлуудыг өөрчлөх, устгах эрх зөвхөн админд байгаа юу?
Логийн хадгалах хугацаа
- Логийг дор хаяж 6 сар хадгалж байгаа эсэх?
Лог автоматаар архивлагддаг эсэх
- Хуучин логийг хадгалах, шинэ лог үүсгэх процесс ажилладаг уу?
Лог дээр үндэслэн сэрэмжлүүлэг гаргадаг эсэх
- Жишээлбэл, 5 удаа буруу нууц үг оруулбал IP-г хаах.
Жишээ
Хэрэглэгч user1 2025-07-07 14:15 цагт системд нэвтэрсэн:
login_logs хүснэгтэд: INSERT INTO login_logs (user_id, ip_address, login_time)
VALUES (1, '202.131.1.5', '2025-07-07 14:15:00');
change_log хүснэгтэд: [2025-07-07 14:17] Admin updated role for user_id=5 from 'user' to 'moderator'
Файлыг устгасан бүртгэл: [2025-07-07 14:19] User #3 deleted file: contracts_2024.pdf
Логийг /var/log/app/system.log гэх мэт байрлалд хадгалдаг бөгөөд зөвхөн root хэрэглэгч хандах эрхтэй.
SIEM систем ашиглан логийг бодитоор хянаж, аюул илэрвэл админ руу мэйл илгээдэг.