مقدمة عن الـ Logs وأهميتها – الجزء الأول

سابقاً بعض الشركات والمصانع الكبيرة تجد هناك شخص يقف على باب الدخول وبيده ورقة وقلم، ويقوم بتسجيل دخول الموظفين الى الشركة أو المصنع وبأي وقت، وحين يغادر الموظف العمل يقوم بتسجيل ساعة الخروج. كل هذا لأجل إعلام اصحاب العمل بإنضباط الموظف في أوقات العمل، ومتى دخل الى الشركة ومتى غادرها. وبالإضافة الى ذلك تساعد هذه الورقة بشكل كبير في حالة حصول مشكلة معينة في وقت من الأوقات، سواء أثناء الدوام أو خارج وقت الدوام. يعني لو أخذنا مثال بسيط: حصول سرقة في الشركة بساعة 9:00 مساءاً. كون هذا الرجل الذي على الباب قام بتسجيل دخول كل شخص الى الشركة وبأية وقت. فذلك سوف يتيح للمعنيين من خلال مراجعة هذه الورقة من معرفة على الأقل من كان في المبنى في ذلك الوقت. صحيح لربما هذه الورقة لم تقم بحل المعادلة “من هو السارق؟”، لكنها سوف تساعد بشكل كبير على حصر المشكلة والذي هي أحد أساسيات إيجاد الحلول. كلما استطعنا تصغير المشكلة، سهل علينا حلها!

ملاحظة: طريقة التسجيل هذه قديمة للغاية، وأغلب الشركات اليوم أصبحت تستخدم أجهزة ألكترونية مرتبطة بالمداخل تقوم بتسجيل دخول الموظفين وخروجهم إما بواسطة بطاقات أو البصمة الى غيرها من التقنيات الحديثة.

الآن، أعلم ما يخطر في خاطرك: ما علاقة هذا بعنوان الموضوع؟
الجواب بسيط للغاية: الورقة التي سجل عليها الرجل الذي على الباب هو السجل أو ما يطلق عليه بأسم Log … هل تفكرت الآن الى أي درجة هذه الورقة البسيطة للغاية مفيدة؟ نحن تكلمنا عن مشكلة واحدة فقط، وهي حصول سرقة. هناك مشاكل أخرى عديدة يمكن أن تحصل داخل الشركات والمصانع. تلك الورقة البسيطة التي يكتب عليها ذلك الرجل نستطيع أن نستفيد منها بشكل كبير للغاية. تخييل نستطيع معرفة معدل وصول الموظفين اليومي، وبأي ساعة يعتاد الموظف الفلاني على الوصول والخروج. يعني الورقة البسيطة هذه يتعدى أهميتها فقط إكتشاف السرقة!

ما ذكرته بشكل بسيط للغاية هو بالضبط ما تستطيع الحصول عليه من خلال السجلات Logs التي بداخل الحواسيب، الخوادم، المعدات الخاصة بالشبكة، الأنظمة والبرمجيات. هناك بداخل جهازك الحاسوب سجلات Logs وهناك بداخل هاتفك الخلوي السجلات Logs وهناك بداخل نظام التشغيل الذي تستخدمه السجلات Logs وهناك مع العديد من البرمجيات التي تستعملها السجلات Logs! إذن لو تلاحظ معي بإن كل ما تستخدمه بشكل يومي له سجلات Logs، وحجم الفائدة التي تستطيع أن تحصل عليها منهم (Logs)، كبير جداً جداً.

هل تذكر الموظف الذي تم تسجيل إسمه عند دخوله الى الشركة؟ هذا ما يفعله حاسوبك عندما تقوم بتسجيل الدخول اليه (Login)، وأكيد سيعمل المثل عند خروجك منه (Logout). أيضاً الموظف الذي يقوم بالتسجيل، هو يقوم بتجهيز ورقة بشكل يومي عليها التاريخ لكي يستطيع أن يمييز إن هذه الورقة ليوم السبت أو الأحد وهكذا، هذا شيء مشابه لما يقوم به جهازك حين تقوم بتشغيله بذلك اليوم. حين يبدأ الجهاز بالعمل سوف يتم تسجيل إنه تم تشغيله في الساعة الفلانية وباليوم الفلاني. هل تلاحظ أي فائدة لهذه السجلات؟ لن أقف هنا، ساكمل مع أمثلة أخرى…

في العمل لديكم طابعة مشتركة من خلال الشبكة بين جميع الموظفين. بيوم من الأيام في العمل وجدت حبر الطابعة قد نفذ! لربما تتسائل، “طيب أنا قبل كم يوم أشتريت حبر جديد للطابعة”. إذا كانت الطابعة مليئة بالحبر وهي لا تطبع الآن بسبب نفاذ الحبر التي بداخلها، طيب مالذي حصل؟ هل تعلم بإن تلك السجلات البسيطة سوف تخبرك؟ نعم! ستجد تلك السجلات قد سجلت بإن المستخدم الفلاني في اليوم الفلاني في الساعة الفلانية قام بعملية طباعة. هل تعتقد هذا فقط؟ لا! سوف تخبرك كذلك بكم عدد الأوراق التي طبعها! يا سلام هل هناك شيء آخر أجمل من ذلك؟ تخييل لو عُدنا الى الزمن الذي لم تتواجد فيه هذه التكنلوجيا الرائعة، كنا سنضطر الى توظيف موظف خاص لمراقبة الطابعة (مثلاً)!!! هل ترى معي حجم الفائدة الآن؟ دعنا نرى مثال آخر، رغم إن الأمثلة عديدة للغاية ولن تنتهي لكن لنرى مثال آخر…

لو فرضنا إن المبنى الذي تعمل به له أكثر من مدخل، وكل مدخل عليه رجل يقوم بالتسجيل (كما وضحنا في البداية). في هذه الحالة بغض النظر من أين دخلت الى المبنى، سوف يتم تسجيل دخولك، ليس للمبنى فحسب وإنما تسجيل دخولك من أين جاء. نفس الشيء في الشبكة. تخييل لديكم بالعمل خادم تستخدمه للقيام ببعض الحسابات. هذا الخادم أحياناً تقوم بالدخول أليه من خلال الذهاب أليه بشكل مباشر وتسجل الدخول وثم تقوم بإجراء العمل المطلوب. وبعض الأحيان تكون أنت في المنزل مثلا أو خارج العمل ويتصل بك المدير ويطلب منك القيام بتلك العمليات الحسابية على الخادم، فالذي سوف تفعله هو الدخول الى الخادم ولكن عن بعد Remotely. الفرق بين الحالتين، هي بالأولى أنت دخلت الى الخادم من خلال تواجدك أمام الخادم نفسه، وفي الحالة الثانية أضطررت للدخول أليه من مكان آخر. كما في ذلك الرجل الذي على الباب، سجل دخولك من الباب الفلاني، الحاسوب سوف يعمل نفس الأمر. سوف يسجل بإنك في الحالة الأولى كنت قد سجلت الدخول من خلال التواصل مع الحاسوب بشكل مباشر، بينما في الحالة الثانية سوف يسجل إنك كنت قادم من الجهاز صاحب الـ IP Address الفلاني. هل ترى كيف لهذه السجلات Logs البسيطة للغاية أن تكون مفيدة؟

هل تعتقد بإن هذا كل ما يمكن أن نراه من خلال السجلات Logs هذه؟ هل تعلم كم عددها؟ وأين تقع؟ وكيف يمكن قرائتها؟

هذه الاسئلة وأكثر هي ما سوف أجيب عليه في الجزء الثاني إن شاء الله.

نبذة عن الكاتب

علي ([email protected]). دكتوراة في أنظمة الحاسوب. يعمل كأستاذ جامعي في قسم علم الحاسوب. مختص في التحقيقات الجنائية الالكترونية والإستجابة للحوادث الالكترونية (DFIR)، أمن الشبكات وتحليلها، وكذلك أمن أنظمة التشغيل المختلفة. حاصل على العديد من الشهادات التقنية، وسابقاً كان يعمل كمختص في جدر النّار، أنظمة كشف الاختراق، ادارة الثغرات والترقيعات، حماية الأنظمة، فحصوصات الاختراق، وتطبيق السياسات. مسؤول سابق عن متابعة وتطبيق (PCI DSS).

التعليقات:

أضف تعليقاً | عدد التعليقات: (6)

  1. himos قال:

    السلام عليكم ورحمة الله تعالى وبركاته

    أولا وقبل كل شيء أحييك على طرح هدا الموضوع والتطرق إلا ملف log الدي هو عبارة عن مخرن للمعلومات

    والأهم أن المواضيع التي تتطرق له منعدمة متمنياتي أن يكون الجزء التاني أكتر تعمق في طرق التحليل

    إما بالنسبة للخوادم أو للمستخدم العادي وأهم الأدوات التي تساعد في دللك

  2. Lahcen Loujdy قال:

    السلام عليكم أخي علي أتمنى أن تكون بخير و أشتنى لابداعتك أخي
    حقيقة موضوع هذ اعتباره جد مهم و صدقني ان قلت لك لدي شهر و أنا أبحث عن هذا الدرس لدرجة أنني أخذت كورسين من ICDL و لم يتطرقوا لهذه الجزئية
    المقال هذا كلما انتقلت من مثال الى مثال احسن به أن يدفعني الى عملية التحقيق الرقمي
    منتضرين باقي الأجزاء و ما تغييب علينا أخي علي
    تحياتي

  3. محمد عصام قال:

    موضوع رائع فعلاً وشخصياً يعتبر من اقرب المواضيع لى لانى مهتم بألـ Cyber crime investigations

    والامثله رائعه وجعلت الموضوع سهل للغايه … تحياتى دكتور على

  4. kimo-23 قال:

    assalamo alaykom
    thanks brother go on
    baraka allaho fiki

  5. yazid muhamed قال:

    السلام عليكم
    اوﻻ ساشكركم على الطرح لانه مفيدو جيد ثانيا اريد ايضا ان اشكركم مرة اخرى لقد اجريت بعض البحوث انطلاقا من مقالك هذا و في الاخير برمجت سكريبت يمكنك من مسح log اتمنى ان تفحصه و ان تقيمني لان رايك يهمني رابط الشرح : https://www.youtube.com/watch?v=ZFQEnzevVTs
    رابط السكريبت موجود في الوصف

  6. هبه قال:

    بجد ربنا يبارك ………طريقه عرضك حلوه جدااااااااااااااااااااااا

أكتب تعليق