Centralized Log Server ระบบจัดเก็บข้อมูลจราจรคอมพิวเตอร์แบบรวมศูนย์ นายพงษ์รัตน์ สุนทรา 493040162-5 นายภครัช เสนไกรกุล 493040168-3

อาจารย์ที่ปรึกษาโครงการ อาจารย์ ดร. กิตติ์ เธียรธโนปจัย อาจารย์ ดร. กิตติ์ เธียรธโนปจัย อาจารย์ร่วมประเมินโครงการ อาจารย์ ดร. ชัชชัย คุณบัว ผู้ช่วยศาสตราจารย์ อนัตต์ เจ่าสกุล

หัวข้อที่จะนำเสนอ แนะนำโครงการ ภาพรวมของระบบ การพัฒนาระบบ สิ่งที่จะทำการพัฒนาต่อ คำถาม-คำตอบ

แนะนำโครงการ Centralized Log Server ทำหน้าที่จัดเก็บข้อมูลจราจรคอมพิวเตอร์จากเครื่องแม่ข่าย และอุปกรณ์เครือข่าย เก็บรักษาข้อมูลได้อย่างครบถ้วนถูกต้อง ป้องกันการเข้าถึง และ การแก้ไขได้ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550

ภาพรวมของระบบ

การพัฒนาระบบ การจัดเก็บข้อมูลจราจรคอมพิวเตอร์ การเข้ารหัสข้อมูลจราจรคอมพิวเตอร์ในระหว่างการส่ง การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข การตรวจสอบความถูกต้องของข้อมูลจราจรคอมพิวเตอร์

การจัดเก็บข้อมูลจราจรคอมพิวเตอร์ ซอฟต์แวร์ที่ใช้ในการจัดเก็บข้อมูลจราจรคอมพิวเตอร์ RSYSLOG นำมาประยุกต์ใช้งานได้ง่าย เป็น default syslog daemon ใน Fedora และ Debian Non-commercial SYSLOG-NG สร้างโดย Balabit It Security. มีรูปแบบของ configuration file ที่ง่าย มีทั้งแบบ commercial และ non-commercial

การจัดเก็บข้อมูลจราจรคอมพิวเตอร์(ต่อ) ตัวอย่างข้อมูลจราจรคอมพิวเตอร์ที่ทำการจัดเก็บ

การเข้ารหัสข้อมูลจราจรคอมพิวเตอร์ในระหว่างการส่ง สาเหตุที่ต้องทำการเข้ารหัส ข้อมูลจราจรที่ถูกส่งจะเป็น clear-text สามารถใช้ sniffer ดักจับได้ ซอฟต์แวร์ที่ใช้ Openssl Stunnel

การเข้ารหัสข้อมูลจราจรคอมพิวเตอร์ในระหว่างการส่ง(ต่อ)

การเข้ารหัสข้อมูลจราจรคอมพิวเตอร์ในระหว่างการส่ง(ต่อ) การดักจับข้อมูลจราจรคอมพิวเตอร์ก่อนทำการเข้ารหัส

การเข้ารหัสข้อมูลจราจรคอมพิวเตอร์ในระหว่างการส่ง(ต่อ) การดักจับข้อมูลจราจรคอมพิวเตอร์หลังทำการเข้ารหัส

การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข Nilfs2 The New Implementation of log-structured file system Check Point สามารถ กู้ไฟล์ที่ถูกเขียนทับ หรือ ทำลายทิ้ง กลับมาที่check point ได้

การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข(ต่อ) ทำการ mount nilfs2 ที่ /var/log

การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข(ต่อ) ใช้คำสั่ง lscp เพื่อตรวจดู Check point

การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข(ต่อ) เปิด file var/log/all.log เพื่อที่จะทำการแก้ไข log

การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข(ต่อ) แก้ไข all.log โดยการลบบรรทัดแรกทิ้ง

การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข(ต่อ) ใช้คำสั่ง lscp อีกครั้งจะเห็นได้ว่ามีการสร้าง check point มาถึงลำดับที่ 79 แล้ว

การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข(ต่อ) ใช้คำสั่ง chcp ss 37 เพื่อที่จะทำการ rollback ไปที่ check point ที่ 37

การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข(ต่อ) ทำการ mount data ที่ check point 37 ไปที่ /nilfs-cp

การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข(ต่อ) ทำการตรวจสอบไฟล์ all.log ที่อยู่ใน /nilfs-cp จะเห็นได้ว่ามีข้อมูลที่ลบไปในขั้นตอนก่อนหน้านี้

การตรวจสอบความถูกต้องของข้อมูลจราจรคอมพิวเตอร์ Data Hashing การทำ Data hashing เพื่อตรวจสอบความถูกต้องของข้อมูล เพื่อรักษาความน่าเชื่อถือของข้อมูล SHA1 เป็น Algorithm ในการทำ Data Hashing ให้กับ Log File โดยให้ค่า Hash value เท่ากับ 160 bits

การตรวจสอบความถูกต้องของข้อมูลจราจรคอมพิวเตอร์(ต่อ) $ sha1sum access.log > access.sha1 $ sha1sum –c access.sha1

การตรวจสอบความถูกต้องของข้อมูลจราจรคอมพิวเตอร์(ต่อ) ทดลองแก้ไข Log File โดยการลบค่าใน access.log

การตรวจสอบความถูกต้องของข้อมูลจราจรคอมพิวเตอร์(ต่อ) ตรวจสอบความถูกต้องของ access.log $ sha1sum –c access.sha1 ผลลัพธ์ที่ได้ คือ access.log: FAILED sha1sum: WARNING: 1 of 1 computed checksum did NOT match

สิ่งที่จะทำการพัฒนาต่อ Web-based Security System Backup System Connector Collector Implement to Product

คำถาม-คำตอบ