En la gestión e inteligencia de registros informáticos , el análisis de registros (o análisis de registros del sistema y de la red ) es un arte y una ciencia que busca dar sentido a los registros generados por computadora (también llamados registros o registros de auditoría ). El proceso de creación de dichos registros se denomina registro de datos .
Las razones típicas por las que las personas realizan análisis de registros son:
- Cumplimiento de las políticas de seguridad.
- Cumplimiento de auditoría o regulación
- Solución de problemas del sistema
- Forenses (durante las investigaciones o en respuesta a una citación )
- Respuesta a incidentes de seguridad
- Comprender el comportamiento de los usuarios en línea
Los registros son emitidos por dispositivos de red, sistemas operativos, aplicaciones y todo tipo de dispositivos inteligentes o programables. Un flujo de mensajes en secuencia de tiempo a menudo comprende un registro. Los registros pueden dirigirse a archivos y almacenarse en disco, o dirigirse como un flujo de red a un recopilador de registros.
Los mensajes de registro generalmente deben interpretarse con respecto al estado interno de su fuente (por ejemplo, aplicación) y anunciar eventos relevantes para la seguridad o para las operaciones (por ejemplo, un inicio de sesión de usuario o un error del sistema).
Los desarrolladores de software suelen crear registros para ayudar a depurar el funcionamiento de una aplicación o comprender cómo los usuarios interactúan con un sistema, como un motor de búsqueda. La sintaxis y la semántica de los datos dentro de los mensajes de registro suelen ser específicas de la aplicación o del proveedor. La terminología también puede variar; por ejemplo, la autenticación de un usuario en una aplicación puede describirse como un inicio de sesión, un inicio de sesión, una conexión de usuario o un evento de autenticación. Por lo tanto, el análisis de registros debe interpretar los mensajes dentro del contexto de una aplicación, proveedor, sistema o configuración para poder realizar comparaciones útiles con los mensajes de diferentes fuentes de registros.
Es posible que el formato o el contenido de los mensajes de registro no siempre estén completamente documentados. Una tarea del analista de registros es inducir al sistema a emitir la gama completa de mensajes para comprender el dominio completo desde el cual deben interpretarse los mensajes.
Un analista de registros puede mapear terminología variada de diferentes fuentes de registros en una terminología uniforme y normalizada para que los informes y las estadísticas se puedan derivar de un entorno heterogéneo. Por ejemplo, los mensajes de registro de Windows, Unix, firewalls de red, bases de datos pueden agregarse en un informe "normalizado" para el auditor. Diferentes sistemas pueden señalar diferentes prioridades de mensajes con un vocabulario diferente, como "error" y "advertencia" frente a "err", "advertir" y "crítico".
Por lo tanto, las prácticas de análisis de registros existen en el continuo desde la recuperación de texto hasta la ingeniería inversa del software.
Funciones y tecnologías
El reconocimiento de patrones es una función de seleccionar los mensajes entrantes y compararlos con el libro de patrones para filtrar o manejar de manera diferente.
La normalización es la función de convertir partes del mensaje al mismo formato (por ejemplo, formato de fecha común o dirección IP normalizada).
La clasificación y el etiquetado consiste en ordenar los mensajes en diferentes clases o etiquetarlos con diferentes palabras clave para su uso posterior (por ejemplo, filtrado o visualización).
El análisis de correlación es una tecnología para recopilar mensajes de diferentes sistemas y encontrar todos los mensajes que pertenecen a un solo evento (por ejemplo, mensajes generados por actividad maliciosa en diferentes sistemas: dispositivos de red, firewalls, servidores, etc.). Suele estar conectado con sistemas de alerta.
La ignorancia artificial es un tipo de aprendizaje automático que consiste en descartar entradas de registro que se sabe que no son interesantes. La ignorancia artificial es un método para detectar anomalías en un sistema en funcionamiento. En el análisis de registros, esto significa reconocer e ignorar los mensajes de registro comunes y regulares que resultan del funcionamiento normal del sistema y, por lo tanto, no son demasiado interesantes. Sin embargo, los mensajes nuevos que no han aparecido antes en los registros pueden indicar eventos importantes y, por lo tanto, deben investigarse. [1] [2] Además de las anomalías, el algoritmo identificará eventos comunes que no ocurrieron. Por ejemplo, una actualización del sistema que se ejecuta todas las semanas no se ha ejecutado.
El análisis de registros a menudo se compara con otras herramientas de análisis, como la gestión del rendimiento de las aplicaciones (APM) y la supervisión de errores. Si bien gran parte de su funcionalidad se superpone claramente, la diferencia se basa en el proceso. APM tiene un énfasis en el rendimiento y se utiliza más en la producción. El monitoreo de errores es impulsado por desarrolladores versus operaciones, y se integra en el código en bloques de manejo de excepciones .
Ver también
Referencias
- ^ "ignorancia artificial: guía práctica" . www.ranum.com .
- ^ "Registro de clasificación de mensajes con syslog-ng [LWN.net]" . lwn.net .