Logid ja logimine 1. osa

CYBERS 18. veebr 2019

Korralike logide põhjal on võimalik tuvastada, mis on süsteemis toimunud ja kes on süsteemis mingisuguseid tegevusi teinud, kirjutab Security Software OÜ projektijuht Helena Jürgenson.

Süsteemi logi on süsteemis toimunud sündmuste kronoloogiline salvestus. Logisid kasutatakse erineval eesmärgil, tüüpilised logide kasutusvaldkonnad on infoturbe tegevused, süsteemide arendusel süsteemis toimuvate protsesside mõistmine ja probleemide lahendamine ning süsteemide testimine. Logisid saab kasutada ka ebatüüpiliselt, näiteks äri tööprotsesside analüüsiks: kus on pudelikaelad, kus kulutatakse kõige rohkem aega või kus midagi dubleeritakse.

Vähegi suurema süsteemi korral tekib logidesse kiiresti palju andmeid, mille töötlemine käib inimesel üle jõu, kuid mida on võimalik automatiseerida. Selleks tööks on võimalik võtta kasutusele turvateabe ja -sündmuste haldussüsteem (inglise keeles security information and event management ehk SIEM). SIEM-i mõte on koguda logisid ja kaardistada infot süsteemi taristu ja äriprotsesside kohta, et võimaldada turbeanalüütikul teha kontekstist sõltuvaid otsuseid süsteemis toimuvate sündmuste kohta.

Logid

Süsteemi logi on tegevuste kronoloogiline salvestus, et hiljem oleks võimalik tuvastada, mis on süsteemis toimunud. Süsteemi logi võib olla nii kasutajategevuste salvestus kui ka süsteemse info salvestus (nt mingi andmehulga salvestamine mälupuhvrisse). IT-süsteemide usaldusväärsuse tagamiseks on tarvis, et logisse saaksid kirja kõik turbe seisukohast tähtsad sündmused.

Revisjonlogi ehk auditlogi (inglise keeles audit trail, audit log) on kronoloogiliselt salvestatud tegevuste järjestus, mille abil on võimalik tuvastada, mis tegevusi tehti, et andmed/süsteem on jõudnud mingisse kindlasse olekusse. Revisjonlogi kirjed peavad tekkima süsteemi sisse- või väljalogimisest ja transaktsioonidest süsteemis, näiteks panganduse transaktsioonidest või isiku terviseandmetega tehtavatest tegevustest. Revisjonlogikirjete ulatus ja sisu sõltuvad konkreetse süsteemi vajadustest.

Logikirjete sisu

Logikirjete sisu sõltub logimise eesmärgist. Näiteks tarkvaraarenduse puhul võib olla vajadus kirjutada logisse ühte tüüpi andmeid, turvasündmuste analüüsiks aga teist tüüpi andmeid. Samuti on logikirjeid võimalik luua erineva detailsusega.

Logisid on võimalik luua eri tasemetel: mida kõrgema tasemega logi, seda vähem sinna üldjuhul kirjeid tekib, ja mida madalama tasemega logi, seda rohkem kirjeid tekib. Näiteks süsteemi arenduse korral on enamasti vaja rohkem logiinfot süsteemis toimuva kohta kui juba reaalses süsteemis.

Logide tasemed võivad olla on järgmised: Fatal, Error, Warning, Info, Debug ja Trace, kus iga järgmine toodab rohkem andmeid.

Turvasündmuste analüüs

Turvasündmuste analüüsiks peavad logiandmed tüüpiliselt sisaldama vähemalt järgmist infot:

  • ainulaadne logikirje tunnus (logiidentifikaator, nt ID);
  • sündmuse toimumise aeg (ajatempel);
  • lähteaadress (ingl source IP);
  • sündmuse alustanud protsess (nimi, number);
  • sündmusega seotud kasutajakonto (ingl account);
  • siht-IP-aadress (ingl destination IP);
  • mis sündmus toimus (nt sisselogimine);
  • millisele protsessile/failile/kasutajale jne sündmus mõjus;
  • sündmuse tulemus (õnnestumine, ebaõnnestumine vms).

Need andmed peavad logis olemas olema, et logiandmeid oleks võimalik turvasündmuste puhul analüüsida, kuid süsteemi vajaduste põhjal võib vajalikke andmeid lisada, samuti sisaldavad lisaandmeid auditlogide kirjed.

Loe edasi Äripäeva IT-juhtimise teabevarast:

  • Logide terviklikkus ja puutumatus
  • Logiandmete säilitamine
  • Logimine valmistoodetes
  • Logimine organisatsioonile arendatava süsteemi korral
  • Vead logimisel

Artikkel on täisulatuses avaldatud Äripäeva Teabekeskuse IT-juhtimise teabevaras 

Viimased postitused

2. juuli 2026

Kuidas tagada turvaline AI ja pilveteenuste kasutamine

Netskope aitab muuta nähtamatud riskid nähtavaks Pilveteenused, SaaS-rakendused ja tehisintellekt on saanud meie igapäevase töö oluliseks osaks. Küsimus ei ole enam isegi selles, kas töötajad neid kasutavad, vaid selles, kas organisatsioon suudab seda kasutust turvaliselt omaltpoolt juhtida. Täna on võimalik töötada kõikjal- kontoris, kodus, kliendi juures ja liikvel olles. Andmed liiguvad Microsoft 365, Google Workspace’i, […]

Loe edasi
2. juuli 2026

Üks turvanõrkus võib peatada kogu tootmisliini

Eesti tööstusettevõtted on viimastel aastatel teinud suure arenguhüppe. Automatiseeritud tootmisliinid, ühendatud seadmed, pilveteenused ja digitaliseeritud tarneahelad aitavad tõsta efektiivsust ning konkurentsivõimet. Kuid mida rohkem sõltub tootmine digitaalsest taristust, seda suuremaks muutub ka küberturvalisuse roll. Neverhack Estonia juhatuse liikme Rita Käit’i sõnul ei ole Eesti tööstusettevõtete suurim väljakutse enam tehnoloogia puudumine, vaid tervikpildi puudumine. „Paljud ettevõtted […]

Loe edasi
26. juuni 2026

Suurem sooline tasakaal juhtimises on kasulik ka meestele

Suurem sooline tasakaal juhtimises annab ka meestele võimaluse pääseda peaaegu kohustuslikust tugeva otsustaja rollist, kirjutab küberturbeettevõtte Neverhack Estonia juhatuse liige Rita Käit. Eesti börsiettevõtted peavad vastavalt eurodirektiivile juuni lõpuks suurendama soolist tasakaalu oma juhtimises. Suuremast soolisest tasakaalust ettevõtete juhtimises räägitakse sageli kui naiste võimalusest jõuda õiglasemal ja lihtsamal viisil otsustajate sekka. See on kahtlemata oluline, […]

Loe edasi