Log คืออะไร ? สำคัญแค่ไหน? หรือเป็นแค่ท่อนไม้?

 เฮ้ยเพื่อน! “Log คือ อะไร ทำไมต้องเก็บ” พรบ.คอมพิวเตอร์ ใหม่ที่เกี่ยวกับบริษัทออกมาแล้วนะ “บริษัทของมึงได้เก็บ Log ยังวะ?”

 เป็นคำถามที่ผมมักจะได้ยินอยู่เสมอๆเมื่อผมไปถามเพื่อนๆที่เปิดบริษัทด้วยความหวังดี ซึ่งแน่นอนว่าผมบอกให้เพื่อนผมนั้นไปค้นหาในอากู๋ และ ก็จะย้อนบ่นๆกลับมาถามผม “ไม่เห็นเจอเลยวะ มีแต่รูปท่อนไม้ และ สมการ logarithm อะไรก็ไม่รู้”

 จริงอย่างที่เพื่อนมันพูดแหละครับ มีข้อมูลในการศึกษาน้อยมากๆในด้านความปลอดภัยไซเบอร์ และผมเองก็ทำงานทางด้านนี้อยู่แล้ว เลยอยากจะมาแชร์ความรู้เรื่อง Log ที่ไม่ได้แปลว่า ท่อนไม้ อย่างที่หลายๆคนเข้าใจกันครับ ฮ่าๆ 

Pile of Large Wood Logs in the Forest. Timber Industry.
ร่วมติดตามข่าวสารข้อมูลกับทางเรา

Log คืออะไร ทำไมต้องเก็บ?

  เพื่อนๆรู้จัก”กล่องดำ” บนเครื่องบินทุกๆลำไหมครับ เขามีไว้ทำไมเอ่ย? ….ใช่แล้วละครับ มีไว้เพื่อบันทึกเหตุการณ์ต่างๆที่เกิดขึ้น เมื่อประสบเหตุหรือปัญหาต่างๆที่ไม่คาดคิดหรือไม่สามารถระบุสาเหตุได้ ไอ้เจ้ากล่องดำนี้เองจะเป็นตัวเฉลยเหตุการณ์ที่เกิดขึ้นในขณะที่เครื่องบินเดินทางอยู่จากจุดเริ่มต้นจนถึงปลายทางว่ามีเหตุการณ์อะไรเกิดขึ้นบ้างครับ ซึ่งก็เปรียบเสมือนกับ กล้องวงจรปิด กล้อง CCTV ตาม 7-11 หรือ ตามห้างสรรพสินค้าต่างๆนั่นแหละครับ การที่มีกล้องวงจรปิดก็เพื่อเก็บบันทึกหลักฐานหากพบเหตุการณ์อันไม่ปกติที่จะทำการสืบค้นหา วันเวลา หรือช่วงเวลา ที่เกิดเหตุเพื่อใช้เป็นหลักฐานในการหาผู้ที่กระทำความผิดมาลงโทษครับ หรือแม้กระทั่งการช่วยวิเคราะห์เหตุการณ์ต่างๆเพื่อป้องกันไม่ให้เกิดเหตุอันไม่ปกติแบบนั้นขึ้นอีกครับ

Private property protection security camera mounted on house exterior wall

Log สำคัญแค่ไหน?

  เพื่อนๆก็พอจะเดากันได้แล้วใช่ไหมครับ ว่า Log คือ อะไร …..ถูกต้องนะครับ Log หรือในภาษากฏหมายเรียกว่า “ข้อมูลจราจรทางคอมพิวเตอร์” เมื่อเกิดเหตุที่ไม่ปกติเกิดขึ้นกับระบบความไซเบอร์ของบริษัทเรา Log นี่แหละที่จะหาสาเหตุและไขข้อข้องใจให้กับเรา Log สามารถสืบค้นเพื่อหาที่มาที่ไปเหตุการณ์จากอดีตจนถึงปัจจุบันที่เป็นสาเหตุของปัญหา ร่องรอยของการกระทำความผิด และสามารถรู้ตัวคนร้ายที่แท้จริงในที่สุด เหมือนดั่งโคนันเลยทีเดียว โดย Log สามารถระบุและสาเหตุเหตุการณ์การกระทำผิดได้ไม่ว่าจะเป็นการกระทำผิดของมนุษย์เช่น การหลอกลวง การขโมยข้อมูลคอมพิวเตอร์ การโพสต์ การแสดงความคิดเห็น รวมไปถึงการหมิ่นประมาทในโลกไซเบอร์ อีกทั้งยังสามารถระบุเหตุการณ์การกระทำผิดที่เกิดจากโปรแกรมที่ไม่พึงประสงค์ เช่น การติดไวรัสคอมพิวเตอร์ที่ขยายไปทั้งเครือข่าย หรือทั้งประเทศได้เลย ที่นี้ก็เห็นแล้วใช่ไหมครับว่า Log คือ อะไร มีความสำคัญอย่างไร ไม่ได้เป็นแค่ท่อนไม้ที่ลอยกลางทะเลเฉยๆนะครับ

Computer hacker and cyber crime

หน้าตาของ Log เป็นอย่างไร?

 มาถึงจุดนี้เพื่อนๆคงอยากรู้แล้วใช่ไหมครับว่า Log ที่ผมพูดถึงหน้าตามันเป็นอย่างไร จะเป็นรูปภาพ หรือเป็นวีดีโอ เหมือนกล้องวงจรปิดหรือไม่ ไม่ใช่เลยครับ Log นั้นเป็นเพียงแค่ Text หรือ ตัวหนังสือธรรมดาเองครับโดยจะมีรูปแบบ(Format) ของตัวหนังสือแตกต่างกันไปขึ้นอยู่กับอุปกรณ์ชนิดนั้นๆครับ 

 

date=2019-03-13 time=20:33:49 devname=FIREWALL devid=FGT80C39148683022 logid=”00000004556″ type=”traffic” subtype=”forward” level=”notice” vd=”root” srcip=0.0.0.0 srcport=56085 srcintf=”VLAN_101″ dstip=8.8.8.8 dstport=443 dstintf=wan1 sessionid=16994506 proto=6 action=”allow” policyid=3 policytype=”policy” dstcountry=”Hong Kong” srccountry=”Reserved” trandisp=”noop” service=”HTTPS” duration=2 sentbyte=0 rcvdbyte=2663 sentpkt=0 rcvdpkt=7 appcat=”unscanned”

 จากตัวหนังสือ (Text) ด้านบนเป็นตัวอย่าง Log ของอุปกรณ์ Fortigate Firewall โดยเป็น Log ที่แสดงถึงการใช้งานอินเตอร์เน็ตของบุคคลใดบุคคลหนึ่งขององค์กรเป็นจำนวน 1 ครั้ง ในทางคอมพิวเตอร์เรียกว่า 1 กิจกรรม (Event) หรือ 1 บรรทัด (Line) ยกตัวอย่างเล่น เปิด Web Browser แล้วเข้า www.google.co.th ถือเป็น 1 กิจกรรม (Event) ครับ หลายๆคนคงสงสัยว่า “โห ทำกิจกรรมบนอินเตอร์เน็ตแค่ครั้งเดียว Log มันยาวขนาดนี้เลยหรอ?” ตอบตรงๆก็ใช้ครับ ลองคิดดูเล่นๆนะครับ คนๆหนึ่งในองค์กรใช้งานกิจกรรมบนอินเตอร์เน็ตมากกว่า 1 กิจกรรม (Event) แน่ๆและแน่นอนครับในองค์กรก็ต้องมีคนใช้งานมากกว่าหนึ่งคนอยู่แล้ว ดังนั้นจำนวน Log แต่ละองค์กรจะมากหรือน้อยขึ้นอยู่กับจำนวนกิจกรรมที่ทำและจำนวนคนที่ใช้งานนั้นเองครับ

สรุป

 จากบทความด้านบนผมจะสรุปสั้นๆเพื่อทบทวนความเข้าใจของเพื่อนๆดังนี้นะครับ
Log file หรือ ข้อมูลจราจรทางคอมพิวเตอร์ คือ สิ่งที่คอยบันทึกกิจกรรมต่างๆที่เราใช้งานบนระบบคอมพิวเตอร์ เพื่อใช้เป็นหลักฐานประกอบในการดำเนินคดีของคนร้ายที่กระทำผิดในระบบคอมพิวเตอร์ อีกทั้งยังเป็นแหล่งข้อมูลในการสืบหาตัวคนร้ายที่กระทำผิดอีกด้วย Log file มีด้วยกันหลากหลายรูปแบบขึ้นอยู่กับ อุปกรณ์ที่เราจะจัดเก็บครับ โดย 1 กิจกรรม(Event) ที่ผู้ใช้งานใช้จะเท่ากับ 1 บรรทัด (Line) ของ Log ครับ หากเพื่อนๆคิดต่อไปว่า ถ้าเราจะใช้สืบหาข้อมูลจาก Log หรือ นำมาใช้เป็นหลักฐานต้องหาอย่างไร มันเยอะมากๆเลย คงจะต้องไล่อ่าน Log แบบนี้เป็นล้านๆบรรทัด ไม่ตายกันพอดีเลยหรอ ? ในครั้งหน้าผมจะมาให้คำตอบเพื่อนๆนะครับว่า หากเราจะเก็บ Log file ละ เก็บได้อย่างไรให้ใช้งานง่ายที่สุดครับ ขอบคุณครับ

ร่วมติดตามข่าวสารข้อมูลกับทางเรา