อะไรคือ Syslog

ความจริงแล้ว syslog เป็นโปรแกรม ๆ หนึ่งใช้จัดเก็บข้อมูลจราจร หรือ log file เหตุการต่าง ๆ ที่เกิดขึ้นในระบบ) หรือจะให้เข้าใจง่าย ๆ คือโปรแกรมในการเก็บประวัติการเข้าใช้งาน เช่นการใช้งานเว็บ ก็จะเก็บหมายเลขไอพี วันเวลาที่เข้าไปใช้งาน เพื่อให้ติดตามและสามารถระบุตัวตนของผู้ใช้งานได้ โดยจุดเด่นของโปรแกรมนี้คือเป็นระบบจัดเก็บ log file มาตรฐานกลางที่ใช้กันทั่วโลกและที่สำคัญเป็น Open source software สามารถดาวน์โหลดมาใช้ฟรีไม่ต้องเสียเงินหลายแสนบาทเพื่อซื้อLog file server มาใช้งาน แต่จะใช้โปรแกรมนี้ต้องมีความรู้หลายอย่างเลยทีเดียว สิ่งที่ควรรู้อย่างแรกเลยคือ เราจะเก็บอะไร ?? ซึ่งมีหลายหน่วยงานเกิดปัญหาสงสัยว่า สิ่งที่เราเก็บอยู่นี้เพียงพอหรือเปล่า ในงานสัมมนา " เรื่อง Solution Syslog ที่ถูกต้องตาม พรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 " โดย กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ในวันที่ 8 กันยายน 2552 ได้แจ้งจากทาง nectec ว่าตอนนี้กำลังได้ออกแบบมาตรฐานกลางในการเก็บ Log file ว่าควรเก็บอะไรบ้าง และได้มีบริษัทที่ผ่านการตรวจสอบแล้วว่ามีคุณสมบัติตรงตามที่ nectec กำหนด (รายละเอียดดูที่เว็บไซต์ nectec) แต่ถ้าจะทำเองก็ต้องรู้โครงข่ายภายในหน่วยงานก่อน เช่นรูป ระบบอินเตอร์เน็ตของเราต้องวิ่งผ่าน Switching ผ่าน Firewall เป็นตัวกั้นกลางแล้ววิ่งผ่านเร้าเตอร์เพื่อออกอินเตอร์เน็ต ส่วนตัว Syslog นี้ก็จะนำมาติดตั้งที่ Firewall server นี้เอง (PFsence + Squid+Syslog) เราสามารถทำ Firewall และมี Web Gateway เพื่อเป็นตัวกรองการเข้าออจากเครือข่ายของเรา และมี ดักจับ Log file เพื่อส่งไปให้ Syslog จัดเก็บอีกที่หนึ่ง ที่สำคัญต้องมีเจ้าหน้าที่ที่มีความรู้ไว้คอยดูแล และมีเครื่อง Server ด้วย

ทำไมต้องเก็บ log file ??
เมื่อวันที่ 18 มิถุนายน พ.ศ.2550 ได้ประกาศใช้ พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ทำให้ทุกหน่วยงานต้องทำการหาเจ้าอุปกรณ์ในการเก็บ log file นี้ขึ้นมา ถามว่า “ถ้าไม่เก็บแล้วจะเป็นอะไรไหม ? ” เนื้อหา พรบ. โดยสรุปได้กำหนดบทลงโทษดังนี้ “ ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ใช้บริการเท่าที่จำเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการ นับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่าเก้าสิบวันนับตั้งแต่การใช้บริการสิ้นสุดลง ผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท" คัดลอกมาจาก พรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ (http://ssnet.doae.go.th/ssnet2/HTML/prompt/2551/080703/20070618_CC_Final.pdf) เมื่อรู้ถึงบทลงโทษที่หนักถึงเวลาแล้วที่ต้องทบทวนมาตรการต่าง ๆ ในองค์กร เพราะไม่สามารถปฏิเสธได้ว่าไม่รู้ เพราะนี้คือกฎหมาย โดยเฉพาะผู้มีหน้าที่รับผิดชอบโดยตรง และผู้บริหารหน่วยงานนั้น ๆ

ขั้นตอนการตรวจสอบ Log file ??

การตรวจสอบ Log file ก็ใช่ว่าจะทำกันง่าย ๆ ต้องมีเจ้าหน้าที่ที่แต่งตั้งโดยกระทรวง ICT เข้ามาที่หน่วยงานเราพร้อมกับ
1) หมายศาลในการขอเรียกดูข้อมูลการจราจรทางคอมพิวเตอร์ของหน่วยงานเรา
2) หลักฐานที่บ่งชี้ว่าการกระทำความผิดมาจาก ip address ของเรา
3) เจ้าหน้าที่ตำรวจในพื้นที่
4) อุปกรณ์ที่ใช้ในการ copy ข้อมูล log file ออกจาก hard disk ของเครื่อง centralized log server ซึ่งเป็นหน้าที่ของหน่วยงานเราพาเจ้าหน้าที่ที่ขอตรวจสอบไปยังเครื่อง Centralized log server เพื่อทำการ copy ข้อมูล log file ไปวิเคราะห์หาผู้กระทำคามผิดหน่วยงานไหนบ้าง

ในหน่วยงานไหนบ้างที่ต้องเก็บ log file ?? จากที่กล่าวว่ามาสรุป คือหน่วยงานไหนที่มีอินเตอร์เน็ตใช้ต้องมีระบบป้องกัน หรือยืนยันตัวตนของผู้ใช้งาน ณ ช่วงเวลาใดเวลาหนึ่ง ดังนั้น หน่วยงานราชการ ห้างร้าน บริษัท มหาลัย หรือร้านอินเตอร์เน็ตคาเฟ่ ต่าง ๆ ต้องมีการเก็บข้อมูลการยืนยันตัวตนได้ อาจยังไม่ต้องถึงกับเก็บ Log file ก็ได้ให้ใช้วิธีง่าย ๆ ดังนี้
1) คอมพิวเตอร์ที่ใช้งานต้องตั้ง username , password เพื่อใช้ Log in และ Log out ออกทุกครั้งเมื่อไม่ได้ใช้งาน โดยไม่สามารถปฏิเสธความรับผิดชอบได้ในกรณีเราให้ username , password กับคนอื่นมาใช้เครื่อง
2) ถ้าในกรณีเครื่องคอมพิวเตอร์ต้องใช้ร่วมกันนั้น สามารถสร้าง username, password แยกกันได้และสามารถใช้ข้อมูลร่วมกันได้

ถึงเวลาแล้วหรือยังที่ท่านต้องหาวิธีป้องกันตัวเอง และองค์กร เพื่อไม่ให้มีความผิดตาม พรบ. นี้ อย่าคิดว่าไม่ใช่เรื่องสำคัญเพราะนี้คือกฏหมาย

จะบอกว่าไม่รู้ไม่ผิด ไม่ได้ครับ...