log

log

log คืออะไร

log เมื่อวันที่ 3 มีนาคม 2551 ฉันได้รับเกียรติจากสำนักงานบริการเทคโนโลยีสารสนเทศภาครัฐ (SOPT) บรรยายเทคโนโลยีที่ใช้ในการบันทึกข้อมูลจราจรตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ฉันนำเสนอเทคโนโลยี Hybrid Log Recorder มีเวลาให้ผมบรรยายไม่มากประมาณ 15-20 นาทีซึ่งพูดตามตรง ถ้าภาคเอกชนเชิญผมมาบรรยายและให้เวลาแบบนี้ผมคงไม่รับ ขอบรรยายอย่างน้อยครึ่งวัน เพราะการพูดฉันจึงเริ่มช้า ทั้งนี้เนื่องจากรัฐบาลเป็นส่วนสำคัญของประเทศ ฉันตัดสินใจที่จะมาถึงแม้ว่าจะมีบางประเด็นที่ฉันไม่สามารถอธิบายได้ในช่วงเวลาสั้น ๆ แต่ฉันก็นำมันลงในบล็อกเพื่อสร้างความเข้าใจในตัวละคร

จากการประกาศกฏกระทรวง เราจะพบ 3 ศัพท์ ที่ต้องสร้างความเข้าใจ นั้นคือ Data Traffic , Data Archive และ Data Hashing

Data Traffic เป็นข้อมูลการจราจรซึ่งข้อมูลการจราจรนี้เกิดขึ้นจากการสื่อสารกับด้านส่งและด้านรับตามกลไกของเลเยอร์ OSI 7 ซึ่งเป็นเส้นทางการส่งข้อมูลที่ฉันมักอ้างถึงรูปภาพที่ทำให้เข้าใจง่ายขึ้น: หลักการที่ฉันมา ขึ้นกับตัวเองคือ 3 in 3 out ข้อมูลใดที่หมุนเวียนบนเครือข่ายจะไม่สามารถดูย้อนหลังได้เนื่องจากเป็นแบบ Real – Time มีเพียงวิธีเดียวในการดูอดีตในอดีตให้ดูที่การบันทึก ความหมายของ Log คืออะไร? ฉันให้คำจำกัดความว่า ข้อมูลการใช้งานที่เกิดขึ้นซึ่งส่งผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน

คุณเคยได้ยินคำพูดว่าอากาศที่เราหายใจได้รับอิทธิพลจากแพนโธลใต้น้ำในมหาสมุทรแปซิฟิกและผีเสื้อที่กระพือปีกในประเทศจีน มันอาจส่งผลให้เกิดพายุเฮอริเคนในอเมริกา อาจเป็นเพราะทุกสิ่งสอดประสานกันเป็นห่วงโซ่แห่งความสัมพันธ์จากสิ่งหนึ่งไปสู่อีกสิ่งหนึ่ง ในแง่ของเวลาการดำรงชีวิตของเราก็เหมือนกัน ทุกรายละเอียดที่เราเคลื่อนไหวย่อมสร้างความเปลี่ยนแปลงให้เกิดขึ้นไม่หยุดยั้งวงโคจรของโลกมนุษย์หมุนรอบตัวเอง หมุนรอบดวงอาทิตย์การหมุนทำให้สิ่งมีชีวิตเปลี่ยนแปลงหยุดนิ่งหรือไม่เปลี่ยนแปลง มีเพียงหนึ่งเดียวที่ไม่มีชีวิตอยู่
นี้เองจึงเป็นเหตุผลที่ผมให้คำนิยามว่า Log คือ ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน

ขอยกตัวอย่าง ให้เห็นภาพความสัมพันธ์ที่เชื่อมโยงกัน จนกว่าเราจะไม่รู้ตัวเพียงแค่กดนิ้วที่ปุ่ม Enter บนเครื่องของคุณเอง ในการเข้าถึงเว็บไซต์ใดเว็บไซต์หนึ่งได้เปลี่ยนไปแล้วแม้ว่าการกระทำนั้นจะไม่ส่งผลกระทบต่อเสรีภาพของภาพของ Web Server แม้แต่นิดเดียว แต่การสื่อสารของคุณและเว็บไซต์นั้นจะมีร่องรอยของการเปลี่ยนแปลง เว็บไซต์มีสถิติในวันนั้นที่หมายเลข IP ของคุณเข้าเยี่ยมชมไซต์

log

เกิดการรับส่งข้อมูล หรือได้รับการบันทึกบนเว็บไซต์นั้นแล้วจากปุ่ม Enter ของคุณผ่านการ์ด LAN หรือ Wi-Fi จากเครื่องของคุณเอง วิ่งตรงไปยังระบบเครือข่ายที่คุณอาศัยอยู่เรียกใช้อินเทอร์เน็ตจาก ISP ที่คุณใช้เพื่อเข้าถึงเว็บไซต์นั้นผ่านโปรโตคอล HTTP พอร์ต 80 เป็นการเชื่อมต่อ TCP มีการประมวลผลผ่านระบบปฏิบัติการซึ่งอาจเป็น Windows โดยใช้ IIS 6.0 หรือ Apache CPU / RAM ที่ใช้ Linux ตามการเยี่ยมชมเว็บนี้ และส่งค่าการประมวลผลไปให้ส่งผ่านจากฝั่งเว็บเซิร์ฟเวอร์ผ่าน

เครือข่ายที่เช่าบน Data Center (IDC) ใน ISP ที่ไหนสักแห่งในโลก (น่าจะ) และกำหนดเส้นทางจากเราเตอร์เครื่องหนึ่งไปยังอีก กลับไปที่เครือข่ายที่คอมพิวเตอร์ของคุณ ผ่านอุปกรณ์เครือข่าย Core Switch ใน บริษัท ของคุณและมาถึงในพริบตาและคุณจะได้รับความบันเทิงจากเว็บไซต์นั้น การดูเนื้อหาบนเว็บไซต์ที่เปิดขึ้นมีผลต่อทั้งประสาทสัมผัสทั้ง 6 ของตัวเราเองซึ่งส่งผลต่อพฤติกรรมอย่างต่อเนื่องหลังจากที่เว็บไซต์ทราบถึงสิ่งที่กล่าวมาแล้วเป็นต้นการเปลี่ยนแปลงจะเกิดขึ้นในขณะนี้อันเป็นผลมาจากการคลิก Enter ของคุณเอง การเปลี่ยนแปลงคือความเสื่อมเอง ด้านของคุณและด้านเว็บไซต์เมื่อเริ่มทำงานจะเกิดการเสื่อมสภาพ เสื่อมตามอายุขัยการเสื่อมสภาพที่จะใช้ซึ่งการเสื่อมสภาพเป็นตัวแปรของเวลา

โดยการคลิกปุ่ม Enter โดยใช้แรงกดเพียงเล็กน้อยการประมวลผลจากระบบปฏิบัติการของคุณเองทำให้เกิดความเสียหายกับคอมพิวเตอร์ที่คุณใช้งานรวมถึงบันทึกเส้นทางการเดินทางด้วยความเร็วทันทีบันทึกไว้ในอุปกรณ์เช่น Switch to Firewall to Router จาก Router ในประเทศไทยไปยัง Router ในต่างประเทศ และวิ่งตรงไปยังเว็บไซต์ที่ต้องการ ได้รับการบันทึกแล้ว บนอุปกรณ์ตามสายพานลำเลียงข้อมูลหรือหากไม่มีการเก็บบันทึกที่ถูกต้องอย่างน้อยการบันทึกนั้นก็เกิดขึ้นในหน่วยความจำของคุณเอง และจางหายไปเพราะเราไม่สนใจ

และการไหลของข้อมูลตามชั้น OSI 7 หรือ 3 ใน 3 ผมคิดว่าเป็นห่วงโซ่ของเหตุการณ์
ห่วงโซ่ของเหตุการณ์ที่เรียกว่า “ห่วงโซ่ของเหตุการณ์”
ลำดับเหตุการณ์ที่เกิดขึ้นจริงและการเกิดของประวัติผู้ใช้ประวัติของอุปกรณ์ที่ใช้งานได้และหากเป็นกรณีที่สำคัญและบันทึกไว้มันจะกลายเป็นประวัติศาสตร์ และกรณีศึกษาเพิ่มเติม
สิ่งที่ต้องบันทึกตามห่วงโซ่เหตุการณ์ คือ ใคร , ทำอะไร , ที่ไหน , เมื่อไร , ทำไม , อย่างไร การบันทึกสิ่งเหล่านี้เรียกว่า “Data Arachive”


Data Archive คือบันทึกจากห่วงโซ่ของเหตุการณ์หากใช้ การบันทึกดังกล่าวข้างต้นประโยคนี้สามารถรวมเข้าด้วยกันได้ว่า Data Archive คือพฤติกรรมการใช้งานที่เกิดขึ้น ซึ่งส่งผลให้ปัจจุบันเปลี่ยนไปจากห่วงโซ่ของเหตุการณ์

แต่เรายังขาดความน่าเชื่อถือในการเก็บบันทึก Data Archive นี้เนื่องจากทุกคนที่มีความรู้และการเปลี่ยนแปลงสามารถเปลี่ยนแปลงได้ เหตุการณ์ลูกโซ่แม้ว่าการแก้ไขอาจเกิดขึ้นกับเหตุการณ์หนึ่ง ๆ แต่ยังมีร่องรอยการใช้งานจากโซ่เหลืออยู่. มันเป็นเพียงการแก้ไขมัน ซึ่งอาจส่งผลให้เกิดความไม่ถูกต้องจนไม่สามารถตรวจสอบข้อมูลของโซ่ได้ พูดง่ายๆว่าหลักฐานไม่เพียงพอ

ดังนั้นจึงควรป้องกันห่วงโซ่ของเหตุการณ์เพื่อให้บันทึกยังคงอยู่ ซึ่งเรามีศัพท์เรียกว่า Chain of Cusdoty

สาระสำคัญของพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ที่หลายคนมักตั้งคำถามว่าการจัดเก็บแบบไหนถึงจะเพียงพอ? แบบพอเพียงคุณต้องตอบตาม Chain of event และมี Chain of Custody retention ไม่ว่าจะใช้เทคโนโลยีอะไรเมื่อพนักงานพนักงานขอ บันทึกหรือเจ้าของ บริษัท เองต้องการทราบการใช้งานของพนักงาน ตอบตัวเองให้เป็นอย่างที่บอกนี้มีประโยชน์ทั้งการทำอย่างถูกต้องตามกฎหมายและสามารถตอบสนองความต้องการของนายจ้างได้เช่นกัน จะลงทุนเป็นล้านหรือหลายแสนในบันทึกการรับส่งข้อมูล (Data Traffic Log Recorder).

  1. Data Archive Logs from the chain of event? โดยส่วนใหญ่อุปกรณ์ syslog SIEM (Security Information Event Managment) สามารถสร้าง Data Archive ได้
  2. มีการทำ Data Hashing หรือไม่ คือ มีการเก็บบันทึกเพื่อรักษาหลักฐานและยืนยันความถูกต้องของเนื้อหาบันทึกจากห่วงโซ่เหตุการณ์เป็นเนื้อหาบันทึกไฟล์มีการยืนยันค่าความสมบูรณ์หรือไม่ อีกมากมาย แต่อย่าตรวจสอบไฟล์ Integrity ในระดับสากล อัลกอริทึม MD5, SHA-1 ใช้เพื่อตรวจสอบไฟล์บันทึกหรือไฟล์บันทึกที่เขียนลงซีดีและจัดเก็บทุกวัน การลงทุนนี้จะไม่มีประโยชน์หากไม่มีความถูกต้องของหลักฐานจากล็อกไฟล์ จำเป็นต้องมีความสำคัญมากเนื่องจากมีการจัดหามาอาจใช้ไม่ได้ตามข้อกำหนดของพระราชบัญญัตินี้หรือในกรณีที่ต้องขึ้นศาลไม่สามารถยืนยันหลักฐานนี้ในศาลถึงความถูกต้องของข้อมูล

อย่างที่บอกไปความสิ้นเปลืองงบประมาณในการจัดหาเทคโนโลยีจะลดลงความสับสนน้อยลงในการเก็บบันทึกอย่างถูกต้อง และงบประมาณที่เหลือในการสร้างองค์ความรู้ให้กับประชาชนเพื่อให้คนใช้เทคโนโลยีอย่างถูกต้องและควบคุมคนได้อีกชั้นหนึ่ง เพื่อความเป็นระบบและตรวจสอบได้

ติดต่อเรา

เรื่องก่อนหน้า

slotxo 311

เรื่องถัดไป

talk

เมนู