Logy jsou klíčový nástroj pro správu a zabezpečení IT prostředí. V tomto článku vysvětlíme, co jsou to logy, jaké jsou základní typy logů, co by se mělo logovat a z jakých zdrojů je sbírat, aby bylo možné logování efektivně využít pro zachování hladkého chodu organizace.

TL;DR

Logy zaznamenávají události generované operačními systémy, aplikacemi, síťovými zařízeními, cloudy, bezpečnostními a dalšími nástroji. IT týmům umožňují monitorovat provoz, odhalovat problémy a analyzovat bezpečnostní incidenty.

Efektivní strategie logování spočívá ve sběru logů z různých zdrojů a ve správném výběru událostí, které mají skutečnou hodnotu pro provoz, bezpečnost i compliance organizace.

Samotné logování je třeba centralizovat pomocí log management nástroje, aby bylo možné s logy dále pracovat, například vytvářet alerty při nežádoucích událostech, analyzovat incidenty nebo je dlouhodobě ukládat v bezpečném úložišti pro plnění regulatorních požadavků.

Co to jsou logy?

Logy jsou strukturované digitální záznamy o stavech a událostech, které generuje každá část IT prostředí, od operačních systémů přes aplikace až po síťové a bezpečnostní prvky. IT administrátorům umožňují logy detailně sledovat chování systémů, identifikovat odchylky od normálního provozu a včas odhalit bezpečnostní nebo provozní incidenty.

raw log example log management

Obr. 1: Příklad toho, jak může vypadat log v původní textové podobě (formát syslog).

Logování poskytuje administrátorům důležité informace pro správu, dohled a zabezpečení IT prostředí. Mezi typicky sbírané logy patří například:

Systémové logy: Zajišťují přehled o chodu operačních systémů. Měly by obsahovat informace o spuštění a zastavení služeb, systémových chybách, aktualizacích a změnách konfigurace.

Aplikační logy: Poskytují podrobnosti o chování aplikací, včetně chyb, varování, úspěšných či neúspěšných pokusů o připojení a specifických aplikačních událostí.

Bezpečnostní logy: Měly by zahrnovat údaje o přihlášení a odhlášení uživatelů, pokusech o neoprávněný přístup, změnách v oprávněních, detekci malwaru nebo neobvyklých aktivitách.

Síťové logy: Sledují komunikaci mezi zařízeními v síti a mohou obsahovat informace o pokusech o narušení, změnách v nastavení firewallu nebo aktivitách VPN.

Logy z firewallů, IDS/IPS a dalších bezpečnostních zařízení: Záznamy o neúspěšných pokusech o připojení, pokusech o exploity a sledování podezřelých aktivit.

syslog analyzer logmanager dashboard

Obr. 2: Nástroje pro centralizovaný log management agregují logy z různých systémů, aplikací, infrastruktury a bezpečnostních řešení, přičemž informace z původních raw dat interpretují a zobrazují ve srozumitelné podobě. Zde dashboard zobrazující autentizační události napříč organizací. (Logmanager)

Poznámka:

Každé zařízení, služba či aplikace logují události trochu jinak. Jinými slovy, je běžné, že každý výrobce zařízení/systému/aplikace vytváří zprávu (log) jiným způsobem, tedy s různými položkami a jinak popsanými záznamy o událostech. Loguje se navíc v různých formátech, kdy nejčastější je syslog (opět může mít různou podobu v závislosti na zdroji), JSON, CEF a LEEF.

Co by se mělo logovat

Efektivní logování nestojí jen na sběru dat, ale také na výběru těch správných informací. To, co se loguje, určuje, jak rychle dokáží IT týmy reagovat na incident, odhalit chybu nebo vysledovat nežádoucí změny v systému.

Klíčové je proto zaměřit se na události, které mají reálný dopad na bezpečnost, dostupnost a správu IT prostředí.

Mezi ty nejdůležitější patří například aktivita uživatelů, změny v konfiguracích, chybové stavy či síťová komunikace. Právě tyto záznamy tvoří základ pro auditní stopu, detekci hrozeb i proaktivní údržbu systémů.

Pro lepší představu si uveďme některé konkrétní typy událostí, které by v rámci správně nastaveného logování neměly chybět.

Bezpečnost a detekce hrozeb

  • Přístupy uživatelů: Záznamy o tom, kdo se přihlásil a kdy, včetně IP adres, metod ověření a informací k přístupu ke konkrétním zdrojům. Důležité zejména u administrátorských nebo privilegovaných účtů.
  • Neúspěšné pokusy o přihlášení: Logy informující o neúspěšných pokusech o přihlášení s časovými údaji, uživatelskými jmény a IP adresami zdroje. Důležité pro detekci útoků hrubou silou nebo zneužití přihlašovacích údajů.
  • Změny oprávnění: Logy zaznamenávající události, kdy dojde ke změně uživatelských rolí nebo oprávnění, případně kdy uživatelé přejdou do režimu s vyššími právy.
  • Zablokovaná spojení: Logy o zablokování provozu ze strany firewallu, WAFu nebo koncových bodů při komunikaci se známými škodlivými IP adresami nebo doménami.
  • Neobvyklý přístup k datům: Sledujte pokusy o přístup k chráněným souborům, databázím nebo API – zejména mimo běžné vzorce chování.
MS365 Admin Action log file

Obr. 3: Ukázka logu informujícího o akci administrátora v MS365. IT administrátor upravil pravidla přeposílání pošty, což může naznačovat chybnou konfiguraci nebo v horším případě škodlivého insidera či kompromitovaný účet. Takové chování představuje potenciální riziko úniku dat. (Zjednodušený log záznam)

VPN Login log file

Obr. 4: Log úspěšného přihlášení k VPN. Uživatel se úspěšně připojil k VPN pomocí FortiClientu. Tyto informace jsou klíčové pro audit bezpečného vzdáleného přístupu a detekci neobvyklých lokací nebo vzorců přihlášení. (Zjednodušený log záznam)

Provoz IT a monitoring infrastruktury

  • System health: Logy zaznamenávající stav systému, jako je využití CPU, paměti, disku a hardwarové chyby (např. selhání RAID, přehřívání).
  • Stav služeb: Spuštění, zastavení, pády nebo restartování služeb a zaznamenávejte návratové kódy či chybové hlášky.
  • Připojení zařízení: Logy informující o zařízeních, která se připojují nebo odpojují od sítě, včetně MAC/IP adres a událostí týkajících se DHCP.
  • Výkonnostní problémy: Pomalé databázové dotazy, dlouhé odezvy nebo přetížení front v systémech pro zpracování úloh na pozadí.
  • Neobvyklý síťový provoz: Zaznamenávejte spojení na neobvyklé nebo cizí IP adresy, neznámé porty či nečekané protokoly.

Cisco switch port down log file

Obr. 5: Záznam logu ukazující, že port na Cisco switchi neočekávaně vypadl, pravděpodobně kvůli flappingu nebo poškozenému kabelu. Takový záznam pomáhá provozním IT týmům rychle identifikovat problémy na fyzické vrstvě, nestabilitu hardwaru nebo odpojená zařízení. (Zjednodušený log záznam)

IT compliance a audit

  • Přístup k citlivým datům: Zaznamenávejte, kdo zobrazil, upravil nebo smazal osobní, finanční či regulovaná data.
  • Porušení zásad: Logujte události, při kterých došlo k porušení přístupových pravidel, například přihlášení mimo pracovní dobu nebo z omezených geografických oblastí.
  • Auditní stopa změn: Sledujte, kdo provedl změny v systémové konfiguraci, bezpečnostním nastavení nebo uživatelských oprávněních, a to včetně časových údajů a původních vs. nových hodnot.
  • Integrita logů: Zaznamenávejte události související s pokusy o manipulaci s logy, mazáním logovacích souborů nebo selháním samotné logovací služby.

MS365 File Deletion log file

Obr. 6: Smazání souboru v MS365. Uživatel h.bauer smazal citlivý soubor ze SharePoint Online. Log zaznamenávající mazání citlivých souborů je důležitý pro prevenci úniku dat a auditování přístupů. (Zjednodušený log záznam)

Alertování pro administrátory a bezpečnostní manažery

Včasné a relevantní upozornění na podezřelou nebo neobvyklou aktivitu je zásadní pro udržení bezpečného a stabilního IT prostředí. Alertování umožňuje administrátorům i bezpečnostním manažerům reagovat okamžitě na nežádoucí události.

Logy nicméně samy o sobě alertovací funkci nezastávají. Je potřeba log management nástroj, který na základě definovaných pravidel umí alert vytvořit a odeslat.

Správně nastavený systém alertů by pak měl automaticky detekovat a hlásit například pokusy o neautorizovaný přístup, změny bezpečnostních nastavení, známky malwaru nebo pokusy o únik dat. 

port scan alert example log analysis

Obr. 7: Ukázka emailového alertu upozorňujícího administrátora na port scan, tedy nežádoucí aktivitu / hrozbu.

Automatizované alerty je vhodné nastavit pro kritické události, jako jsou:

  • Pokusy o neautorizovaný přístup nebo změny v konfiguraci.
  • Vyšší počet neúspěšných pokusů o přihlášení v krátkém časovém období.
  • Detekce malware nebo neznámých souborů, které mohou být vykonány.
  • Změny v nastavení firewallu nebo bezpečnostních pravidlech.
  • Důkaz o pokusu o exfiltraci citlivých dat.

Stejně důležité jako samotná detekce je však i definování úrovní závažnosti alertů. Je proto třeba správně nastavit úrovně závažnosti alertů tak, aby administrátoři dostávali pouze relevantní notifikace a nebyli zahlceni nepravdivými nebo neeskalujícími upozorněními.

Testování a validace logování

Pravidelné testování, zda jsou všechna důležitá zařízení a aplikace správně nakonfigurovaná, je pro efektivitu logování klíčové. Přitom je třeba ověřovat, zda jsou shromažďované logy dostatečně podrobné, relevantní a parsované (je množné je filtrovat a vyhledávat).

Zároveň lze doporučit provádět pravidelné simulace a testy, jak by logování a alertování reagovalo v případě útoků nebo narušení.

Ochrana logů před manipulací

V rámci nastavení logování je třeba zajistit, že jsou logy ukládány na bezpečná místa, aby nemohly být zneužity, změněny či dokonce smazány. Uložená data by měla být chráněna pomocí nástrojů pro kontrolu přístupu (např. RBAC) a pravidelných auditů.

Zdroje logů



V následujícím textu si představíme typické zdroje logů i s příklady, co je potřeba logovat. Mezi nejběžnější zdroje log dat patří:

  • Operační systémy
  • Aplikace
  • Síťová zařízení a infrastruktura
  • Bezpečnostní zařízení
  • Zálohovací systémy
  • IoT a průmyslová zařízení

1. Operační systémy (OS)

Windows

  • Event logy: Pokusy o přístup, neúspěšné přihlášení, změny nastavení, instalace software, chybové stavy, systémové události.
  • Auditní logy: Záznamy o uživatelském přístupu, změnách oprávnění a skupin.

Linux/Unix 

Záleží na konkrétní distribuci nebo verzi.

  • /var/log/auth.log: Přihlašování a odhlašování uživatelů, SSH přístupy, neúspěšné pokusy o přihlášení.
  • /var/log/syslog: Systémové události, chyby, varování, změny v konfiguracích, stav systémových služeb.
  • /var/log/messages: Chybové hlášky a systémové události.
  • /var/log/secure: Bezpečnostní události, včetně pokusů o získání přístupu k systémovým zdrojům.

2. Aplikační logy

Webové servery

  • Apache/Nginx

– access.log: Záznamy o HTTP požadavcích (IP adresy, URL, časy, status kódy, uživatelské agenty).

– error.log: Chyby, varování, neúspěšné požadavky, problémy s konfigurací.

Databáze

  • MySQL/PostgreSQL

– error.log: Chyby připojení, problémy s SQL dotazy, varování o výkonnostních problémech.

– general.log: Záznamy všech SQL dotazů (pokud je zapnuto), což je užitečné pro audit a detekci SQL injekcí.

Mail servery

  • Sendmail, Postfix

– mail.log: Přijaté a odeslané e-maily, pokusy o doručení, chyby doručení.

Aplikační logy

– Logy chyb a výjimek: Záznamy o chybách při provádění kódu, neočekávaných výjimkách, nesprávném chování aplikace.

– Auditní logy: Záznamy o přístupu k citlivým funkcím aplikace nebo citlivým datům.

3. Síťová zařízení a infrastruktura

Firewally (např. Fortigate, Cisco ASA, pfSense)

– Logy o připojení: Pokusy o připojení (úspěšné a neúspěšné), blokované a povolené porty, změny v nastavení firewallu.

– Logy o útocích: Detekce pokusů o DDoS, skenování portů, podezřelé aktivity.

Intrusion Detection/Prevention Systems (IDS/IPS)

– Snort, Suricata: Alerty na detekci útoků, okusy o zneužití zranitelností (např. SQL injection, cross-site scripting), pokusy o exploitaci.

Load balancery a reverse proxy servery

– HAProxy, F5: Logy o distribuci provozu, záznamy o směrování provozu mezi servery, výpadky serverů, latence.

4. Bezpečnostní zařízení

VPN servery

– Logy o připojení: Přihlášení a odhlášení uživatelů, neúspěšné pokusy, IP adresy, časové značky, údaje o šifrování (např. OpenVPN, Cisco AnyConnect).

Antivirové a antimalwarové systémy

– Logy o detekovaných hrozbách: Detekce virů, malwaru, neobvyklých aktivit, odstranění hrozeb.

– Logy o aktualizacích: Informace o aktuálnosti definic virů a antivirových databází.

5. Zálohovací systémy

Backup softwary (např. Veeam, Bacula):

– Logy záloh: Úspěšnost a neúspěšnost zálohování, chyby při zálohování, časové údaje o provedení záloh.

Cloudové zálohy:

– Logy o stavu záloh: Informace o synchronizaci a úspěšnosti zálohování dat v cloudu (např. Amazon S3, Google Drive).

6. Bezpečnostní incidenty a monitorování

Zranitelnosti a patch management:

– Logy o patchování: Záznamy o aplikování patchů, aktualizacích a opravách zranitelností.

Bezpečnostní incidenty:

– Logy o podezřelé aktivitě: Logování by mělo zahrnovat záznamy o neobvyklém chování (např. více pokusů o přihlášení z různých míst), změnách práv uživatelů, změnách konfigurace, detekci malware a jiné bezpečnostní incidenty.

7. IoT a průmyslová zařízení

  • IoT zařízení (kamery, senzory, systémy pro správu budov): Záznamy o připojení, změnách konfigurace, chybách a bezpečnostních událostech.
  • SCADA systémy: Monitorování a logování dat o provozu průmyslových zařízení, bezpečnostních incidentech.

Centralizujte logování profesionálním nástrojem

Logování má v rámci interního IT firem a organizací nezastupitelné místo.

Při řešení nečekaných událostí je ale přístup k logům přímo na jednotlivých zařízeních nepraktický. Vyžaduje detailní znalost způsobu logování každého systému a často výrazně prodlužuje reakční dobu při řešení incidentů.

Proto organizace využívají specializované nástroje pro správu logů. K dispozici je celá řada open-source řešení (například syslog-ng nebo Grafana Loki) i profesionálních komerčních platforem (například Logmanager). Ty dokážou proměnit logy v nástroj, který významně pomáhá při řešení provozních a bezpečnostních problémů a zároveň usnadňuje plnění compliance požadavků.

Mezi jejich hlavní přínosy patří zejména:

  • Předpřipravené parsery pro různé zdroje dat formáty, díky nimž lze logy snadno sbírat a normalizovat napříč celou infrastrukturou.
  • Centralizované ukládání logů umožňující jejich korelaci a analýzu, přičemž všechna data jsou indexována pro rychlé fulltextové vyhledávání i forenzní šetření.
  • Vizualizace dat prostřednictvím dashboardů, grafů a tabulek, které usnadňují orientaci v logovacích datech.
  • Upozornění v reálném čase, díky nimž jsou nestandardní nebo kritické události okamžitě detekovány na základě definovaných pravidel.
  • Dlouhodobé a bezpečné uchovávání logů, které chrání data před změnami a neoprávněnou manipulací a umožňuje prokázat soulad s předpisy a regulacemi (např. ZoKB, PCI-DSS, ISO a další).

Díky nástrojům centralizujícím logování, tedy sběr, správu, analýzu, a ukládání logů, jako je Logmanager, získávají administrátoři lepší přehled o IT prostředí, mohou rychleji a lépe reagovat na incidenty, dodržet IT compliance požadavky, a v důsledku zlepšit správu a zabezpečení IT prostředí

Pokud se chcete o Logmanageru dozvědět více, můžete si jej bez závazků vyzkoušet ve formě virtuální appliance na 7 dnů nebo si rezervujte demo ukázku produktu s naším expertem.