發掘 Log 的隱藏價值！堵塞被遺忘的保安盲點

提到保安，大家第一時間會想起網絡保安、防毒軟件、DDoS，而再進取一點的可能會想到資料外洩。不過除了以上種種，似乎大家都遺忘了一項最基本且極重要的項目，那就是針對不同的系統日誌進行監管。
提到系統日誌（Log），雖然是一些純文字的資訊，然而懂得理解當中意義，你便會發現這些日誌擁有無可比擬的無形價值。而在本文之中，我們將針對 IT 員工層面的安全審計工作以及系統日誌作為電子證物方面作簡介。

系統日誌的隱藏價值

查看系統日誌對於網絡技術人員來說，幾乎是每天的例行工事，透過查看系統日誌我們可較易發現系統問題，從而能讓我們有充足的時間因應問題而及時作出修補；除此之外，通過紀錄不同的系統日誌，亦可代替傳統監控方法時所花費的人力資源及時間，就讓我向大家分享一個真實例子。

真實例子：遙距存取浪費人力資源？

很多時企業都會將部份的 IT 工作外判予第三方的 IT 公司，而當問題發生時，這些公司基本上都會先透過遙距存取的方式進行支援工作，此方法不但能提升整體效率，而且更節省支出；既然如此，那又為什麼「遙距存取浪費人力資源？」

請看以下實例。第三方 SI 公司遙距存取 A 公司系統時，A 公司往往會因為安全的考慮而需要專人作全天候監視，換句話說假如支援工作需要花上一整天，A 公司亦需派出一名員工陪上一整天的光陰，長遠來說浪費額外的人手。

而通過採用系統日誌進行監視便可解決上述問題，事關這類型方案能實時將不同的流程進行攝取或錄影，所以第三方公司的遙距控制過程亦會被紀錄下來，這樣萬一第三方公司採取了未經批准的存取動作，系統亦可一一紀錄並以此作為電子證據，減少浪費人力資源的同時亦可確保第三方公司能遵循 A 公司定下的法規。

私人助手：降低安全審計工作量

定期進行安全審計幾乎是每家企業的例行工作；而傳統上我們需針對不同的設備按規定的程序而進行審計工作，例如攝取圖片、製作報告等等，而這些工作無疑為 IT 員工帶來一定壓力；針對此問題，坊間亦有方案能協助員工完成上述的麻煩工作，這些方案包括可全自動攝取不同系統畫面以及產生專業審計報告，最終為 IT 員工節省大量時間及工作量，令他們可專注於其他重要項目，提升整體的效率。

電子證物：不可或缺的一部份

系統日誌除可作為除錯又或是監控不同系統動作的參考資料外，其實亦是一項十分重要的電子證物；而事實上，參考外國的案例我們不難發現，系統日誌往往較容易被法庭採納成為合法的電子證物；然而為了增加被接納機會，我們需要將日誌以 Audit Trail 的角度進行分析；當然，假如能配合上傳統媒介例如是紙張類別的證物作為佐證，那你的電子證物便更為有力了。

常見法庭對電子證物的要求

法庭對電子證物的要求十分之多，除上述很概括地簡述的部份要求外，在一般情況下法庭亦需用戶：1. 集中保管日誌，並證明日誌沒有被竄改；2. 證物需具備 IP 來源；3. 證物需具備真正的最後修改時間；4. 紀錄用戶的行為如讀、寫行為等等；而要做到上述要求，企業不得不透過第三方的方案協助。

至於一些本身沒有內建日誌紀錄功能的軟件，現時坊間亦有方案能針對此類情況提供符合法規要求的日誌紀錄功能，這一點日後如果有機會的話，將會再以詳細篇幅介紹處理方法。

如何令電子證物成有力證據？

當然有很多方法能令電子證物成為更有力的呈堂證物，請恕筆者不一一列出；但就筆者所認知，現時部份企業還會依賴採取錄影的方式以監控不同的動作，此舉除可成為主要電子證物的佐證之外，企業亦可在正式的訴訟前向相關人士展示有關錄像以便於進行談判，最終希望能避免採取法律行動。

日誌搜尋與歸檔工作的重要性

上述提及的均與取證相關，然而即使我們能擁有一定能力取得符合法規要求的電子證據，但系統日誌數量龐大，如何優化搜尋精準度亦是每位搜證人員在搜證工作過程之中的其中一項重要目標。

幸好，常見的日誌管理方案在設計時均考慮到搜證工作需要，因此往往已能提供到精準的搜尋功能，例如針對指定時間作搜尋工作；而部份專業方案更容許用戶以「If, Then, Else」的方式設定搜尋條件，從而提供極具靈活性的搜證體驗及提升準確度。

最後值得一提的就是與歸檔相關的動作。所謂的歸檔是指將不同的非結構化數據作綜合整理及加入索引分類等等，這是另一個複雜的題目；但簡單來說就是通過將日誌歸檔從而便於往後更快速的進行搜尋或匯出日誌；這功能在進階的日誌管理或電郵管理工具之中均會提供，大家不妨多加採用此功能，並於日常做好歸檔工作，未雨稠繆，做好充足準備。

鳴謝：Lapcom