เลือกรูปแบบการจัดเก็บ Log ที่เหมาะสมกับองค์กรคุณ

ธรรมะของพระพุทธเจ้ามีมากมายหลายระดับ  ตั้งแต่ระดับพื้นฐานสำหรับคฤหัสน์  เช่นเรื่องทิศ ๖  ทิศเบื้องหลัง  สามีพึงปฏิบัติต่อภรรยาด้วยการหาเครื่องแต่งตัวให้ภรรยาเป็นของขวัญตามโอกาส  บุตรพึงปฏิบัติต่อบิดามารดา  โดยเลี้ยงดูท่านตอบแทนเมื่อท่านเลี้ยงเรามาเป็นต้น  และธรรมะที่ลึกซึ้งไปจนถึงการเรียนรู้และเข้าใจอุปาทาน ๔  อันมี  กามุปาทาน  อัตตวาทุปาทาน  ทิฏฐุปาทาน  ลีลัพพตุปาทาน  (อ้างอิงจากหนังสือคู่มือมนุษย์/โดยท่านพุทธทาส)  ซึ่งหากพิจาณาอย่างแยบยลแล้วอาจบอกได้ว่า  แม้คนที่รักครอบครัว  ก็อาจยึดมั่นในกามุปาทานอยู่  และอาจเป็นได้เพียงคนดีในทางโลกเท่านั้น  หรือหากเห็นแก่ครอบครัวตนเองเกินไป  ก็อาจไม่ใช่คนดีของสังคมก็เป็นได้ ..... แก่นแท้ของพระพุทธศาสนานั้นคือการเข้าใจให้ถึงเป้าหมายซึ่งพระนิพพาน  คำว่าอนิจจัง  และอนัตตา  จึงต้องเข้าใจสองคำนี้อย่าลึกซึ้ง  อนิจจัง  คือความไม่เที่ยง  และอนัตตา  คือความไร้ตัวตน  ความไม่ยึดติดกับตัวตน  หรือสรุปรวบยอดเป็นคำว่า  สุญญตา

ในกระบวนการ  การจัดเก็บ Log  เพื่อพิสูจน์หาหลักฐานการกระทำผิดทางคอมพิวเตอร์ (Computer Forensics)  นั้น  ในความเป็นจริงแล้ว  การพึ่งพาอุปกรณ์เพียงตัวเดียว  อาจไม่ใช่คำตอบที่ดีนัก  เนื่องจากหากเทียบเคียงกับกระบวนการทางนิติเวชวิทยาแล้ว  การผ่าศพเพื่อพิสูจน์หลักฐานอย่างเดียวนั้น  หลักฐานอาจไม่เพียงพอ  จำเป็นต้องมีพยานแวดล้อมอื่นๆ  ประกอบด้วย  เพื่อความสมบูรณ์ของเหตุการณ์ทั้งหมด  เช่นเดียวกัน  การจัดเก็บ Log ตาม พรบ.  นั้น  Log Server อาจเป็นสิ่งสำคัญของการตรวจสอบที่มาที่ไปของเหตุการณ์  แต่องค์ประกอบอื่นๆ  ก็สำคัญไม่น้อยไปกว่ากัน  เช่น  Log จาก Access Point, Switch, กล้องวงจรปิด หรือเอกสารในการระบุตัวตนผู้ใช้ภายในระบบ เช่น ฐานข้อมูล Mac Address และ IP Address ภายในองค์กร  สิ่งต่างๆ เหล่านี้  ล้วนเป็นสิ่งสำคัญ  ซึ่งจะนำมาประกอบเป็นหลักฐานให้สมบูรณ์มากยิ่งขึ้นอีกด้วย

ผู้เขียนขอยกตัวอย่างประสบการณ์ในการจัดทำ Log ในรูปแบบต่างๆ  เพื่อให้ผู้อ่านได้เข้าใจ  และประยุกต์ใช้ภายในองค์กร  เพื่อความเหมาะสม  ในหลายๆ สภาวะแวดล้อมตาม  เริ่มกันที่ Diagram ตามภาพที่ 1 กันก่อน

Diagram รูปแบบที่ 1 (ลูกข่ายมองเห็น Router)

(ภาพที่ 1)

รูปแบบนี้  เรียกได้ว่าเป็นรูปแบบพื้นฐานที่นิยมใช้กันมากที่สุด  โดยทั่วไปใช้งบประมาณไม่เกิน 10,000 บาท  โดย  Router จะส่ง Log การใช้งานอินเตอร์เน็ตของเครื่องลูกข่ายภายในระบบ  ไปยังเครื่อง Log Server  ซึ่งอาจเป็นเครื่อง  PC ธรรมดา, Proxy หรือ Server ที่มีอยู่แล้วภายในระบบก็ได้  Log ในลักษณะนี้จะจัดเก็บข้อมูลตาม พรบ. ในราชกิจจานุเบกษา ที่เรียกว่า User Access Log  โดย Log ที่ได้มีรูปร่างหน้าตาภาพที่ 2

(ภาพที่ 2)

User Access Log ตามภาพที่ 2 นี้  จะบอกถึงรายละเอียดว่า  Local IP ใด  ไปยัง Public IP ใด  ที่ Service ใด  เมื่อวันเวลาใด  เป็นต้น  ซึ่งจากรายละเอียดดังกล่าว  ก็อาจพอสรุปได้ว่า  คอมพิวเตอร์ภายในบริษัทเครื่องไหน  ไปยัง Web หรือ Server ข้างนอกที่ IP Address อะไร  และใช้ Service อะไร  เช่นใช้ Web (Port 80)  ส่งเมล์ (Port 25)  เมื่อวันไหนเวลาไหนเป็นต้น  ข้อจำกัดของการจัดเก็บ Log ในรูปแบบนี้คือหากคอมพิวเตอร์ 1 เครื่องถูกใช้เพียง 1 คน  ก็อาจไม่มีปัญหาอะไร  เพราะ Admin สามารถทำ  ฐานข้อมูล Mac Address และ IP Address เก็บไว้  และอ้างอิงกับ User Access Log ได้  แต่หากคอมพิวเตอร์ 1 เครื่องถูกใช้โดยบุคคลหลายคน  ก็อาจต้องมีการลงโปรแกรมเสริมที่เครื่องลูกข่ายด้วย  เพื่อให้คอมพิวเตอร์เนั้นส่ง  Windows User Authentication Log ไปยัง Server  ขั้นตอนนี้เคยกล่าวแล้ว  สามารถดูเพิ่มเติมได้ที่นี่  (https://www.corecasys.com/tip-login.htm หัวข้อเทคนิคที่ 00347 / User Name = draytek / Password = draytek1234)  การจัดเก็บ Log ในรูปแบบนี้  อาจพลิกแพลงได้อีกรูปแบบหนึ่ง  โดยส่ง Log ไปจัดเก็บไว้ยัง Server ที่ IDC (Data Center) ก็ได้  ซึ่งเนื้อหาของ Log ก็มิได้เปลี่ยนไป  ดูตัวอย่างได้ตามภาพที่ 3  ซึ่งเมื่อพิจารณาแล้วจะเห็นได้ว่า  เนื้อหาสาระภายใน Log ยังคงเป็น IP ภายใน Access ไปยัง Public IP ภายนอกเช่นเคย

(ภาพที่ 3)

ใน Diagram รูปแบบที่ 1 นี้  คุณอาจกำหนด Authentication จากส่วนกลางเฉพาะ Service ที่สำคัญก็ได้  เช่นกัน  โดยอาจใช้ Log Server ที่มีอยู่แล้วทำเป็น Proxy ก็ได้  โดยให้ Router ปิดเฉพาะ Port 80  และอนุญาตให้ Proxy ใช้งาน Port 80 ได้เครื่องเดียวภายในระบบ  โดยเครื่องลูกข่ายทุกเครื่องจะต้องใส่ IP Proxy ไว้ที่ตัว Browser จึงจะสามารถออกเน็ตได้  ตามตัวอย่างภาพที่ 4

(ภาพที่ 4)

Log จาก Proxy อาจดูได้ง่ายกว่า User Access Log และมีความแม่นยำมากกว่าในกรณีที่ Server ตัวนั้นให้บริการหลายเว็บไซต์  เช่น 202.144.xxx.xxx อาจให้บริการ Web Site มากกว่า 1 Web ในกรณีนี้การอาศัย Log จาก Proxy อาจช่วยระบุเว็บไซต์ปลายทางได้แม่นยำกว่า  ตามภาพที่ 5

(ภาพที่ 5)

การจัดเก็บ Log รูปแบบนี้  ยังไม่ใช่การจัดเก็บ Log ที่สมบูรณ์สักเท่าไรนัก  เพราะเครื่องลูกข่ายทุกเครื่องยังสามารถมองเห็น Router ได้อยู่  จึงอาจมีโอกาสอยู่บ้างที่คนภายในจะสุ่ม Mac Address ภายในระบบ  ซึ่งอาจใช้โปรแกรม Scan Mac Address หรือไปที่เครื่องลูกข่ายสักเครื่อง  ดู IP และ MAC และอาจแฝงตัวมาในระบบได้  หรือหากพนักงานภายในรู้ Policy Firewall ภายในระบบ  อาจเปลี่ยน MAC Address กับ IP Address ให้อยู่ใน Zone ที่มีสิทธ์ในการเล่นเน็ตด้วยความเร็วสูงก็ได้เช่นกัน  ซึ่งใน Diagram ที่ 2 ถัดไปจะบอกถึงการทำ Authentication ทุกๆ Service  โดยรูปแบบนี้จะเป็นการจัดเก็บ Log แบบสมบูรณ์

มาดูถึงส่วนประกอบถัดไปในการจัดเก็บ Log กันต่อ  นั่นก็คือ Log จาก Access Point  เรามาดู Log จาก Access Point ยี่ห้อต่างๆ กัน  รูปที่ 6  Log จาก Access Point Vigor AP700  ซึ่งจะบอกถึงปริมาณ Bandwidth ที่ใช้งานด้วย  และภาพที่ 7 Access Point Zyxel G-570S  จะบอกถึง Mac Address ที่เชื่อมต่อเข้ามา

(ภาพที่ 6)

(ภาพที่ 7)

เราอาจหาพยานแวดล้อมได้จากอุปกรณ์ข้างเคียงจาก Access Point  และยังหาที่มาที่ไปของสถานที่ได้อีกด้วย  หากใช้ Manage Switch ที่สามารถบอกได้ว่า  Mac Address ไหนเชื่อมโยงมาจาก Port ใด  โดยจากภาพที่ 8 นี้  Admin ควรมีการทำ Label กำกับสาย LAN ทุกเส้นที่เชื่อมโยงเข้า Manage Switch ด้วยว่า  สาย LAN แต่ละเส้นเชื่อมโยงไปยัง Switch ย่อยที่ใด  ภาพที่ 8 ตัวอย่าง Log จาก Manage Switch DrayTek Vigor G2240

(ภาพที่ 8)

จุดอ่อนที่สำคัญภายในระบบนั้น  ส่วนใหญ่จะเป็นที่จุดนี้ด้วย  ซึ่งระบบเครือข่ายของหลายองค์กร  มักจะมองข้ามความสำคัญของ Manage Switch ไป  โดยส่วนใหญ่คิดว่า  Switch สามารถเชื่อมต่อกันไปเรื่อยๆ ได้  โดยไม่มีข้อจำกัด  ซึ่งในความเป็นจริงแล้ว  ระบบเครือข่ายส่วนมากมักพบปัญหา Collision Domain, Loop  และ DHCP ที่ซ้ำซ้อนกันกันในระบบเป็นจำนวน  ซึ่งหากติดตั้ง Manage Switch แล้วจะสามารถช่วยแก้ไขปัญหาต่างๆ ได้ดังนี้

คุณสมบัติของ DrayTek Vigor G2240 ในการแก้ไขปัญหาระบบเครือข่าย

1. DHCP Snooping แก้ไขปัญหา DHCP ซ้ำซ้อนภายในระบบ  โดยสามารถระบุได้ว่า IP Address ใดภายในระบบจะเป็น IP ที่แจก IP ให้กับเครื่องลูกข่าย
2. Loop Detection ซึ่งเมื่อเกิด Loop ขึ้นภายในระบบ DrayTek Switch จะ Block การทำงานของ Port นั้นๆ เพียง Port เดียว  โดย Port อื่นๆ ยังคงทำงานได้ตามปกติ

Diagram รูปแบบที่ 2 (คั่นกลางลูกข่ายด้วย Radius Server)

(ภาพที่ 9)

จากภาพดังกล่าวข้างต้น  จะเห็นได้ว่า  เครื่องลูกข่ายไม่มีสิทธิ์ที่จะแตะไปยัง IP ของ Router ได้เลย  เนื่องจากมี Radius Server คั่นกลางอยู่  ซึ่งหากจัดเก็บ Log โดยการคั่นกลางด้วย Radius Server แล้ว  นั่นหมายความว่า  หากคุณต้องการใช้งานอินเตอร์เน็ต  คุณจะต้องทำ Authentication ก่อนทุกๆ ครั้ง  นั่นก็คือการทำ Authentication การใช้งานอินเตอร์เน็ตทุกๆ Service นั่นเอง ..... ปัญหาของการจัดเก็บ Log แบบนี้  จะมีอยู่ตรงที่  Radius ส่วนมากนั้น  จะออกอินเตอร์เน็ตด้วย IP WAN ของ Radius เอง  ซึ่งทำให้ยากต่อการตรวจจับเครื่องลูกข่าย  แต่ก็มี Radius บางรุ่น  ที่สามารถกำหนดให้เครื่องลูกข่ายออกอินเตอร์เน็ตได้ด้วย IP ของตัวเอง  และยังสามารถจัดเก็บ URL ในการ Access ของ User แต่ละคนได้อีกด้วย  แต่ Software Radius รูปแบบนี้  ยังมีราคาสูงอยู่มาก

การแก้ไขปัญหาที่ปลายเหตุโดยการจัดเก็บ Log อย่างละเอียดทุกขั้นตอนนั้น  อาจเป็นทางเลือกที่ไม่ค่อยคุ้มค่านัก  เพราะการสืบสวนจาก Log อาจต้องใช้เวลาและผู้เชี่ยวชาญจากภายนอกเข้าช่วย  คดีความส่วนมากที่ผ่านมานั้น  โดยมากจะมาจากคนภายใน  หรือ Admin ภายในระบบ  ซึ่งตรงจุดนี้  ทางแก้ไขที่ดีคือการเรียนรู้  และเข้าใจพฤติกรรมของคนภายในองค์กร  ความสำเร็จของการประยุกต์ใช้งานระบบ IT ภายในองค์กรนั้น  มิอาจพึ่งพา Admin เพียงคนเดียวได้  เช่นการ Implement ระบบบัญชีเพื่อใช้ในการบริหาร  ผู้บริหารหรือเจ้าของกิจการ  ควรเข้าใจขอบเขตในวงกว้างของโปรแกรมที่นำมาใช้  ควรรู้ว่าข้อมูลส่วนใด  เกี่ยวข้องกับแผนกใด  และต้องการผลลัพธ์อะไรเพื่อนำมาใช้ในการบริหาร  ควบคุม  และวางแผน  มิใช่ผลักภาระทุกอย่างไปที่ Admin เพียงอย่างเดียว  ซ้ำร้าย  บางคนยังให้ทำงานภายใต้ข้อจำกัดโดยไม่ให้อำนาจในการประสานงาน  และงบประมาณอีกด้วย  ในช่วงสภาวะเศรษฐกิจที่กำลังรอการฟื้นตัวขึ้นมาแบบนี้  หากปัญหาต่างๆ  รุมเร้าเข้ามากับคนในวงการคอมพิวเตอร์  ก็ขอให้ละทิ้งอุปาทาน  ความมีตัวตนต่างๆ  เหลือไว้แต่จิตที่สงบ  ว่างเปล่า  และตัดสินปัญหาต่างๆ  ด้วยจิตที่ไม่ยึดติด  ปัญหาทุกอย่างก็จะคลี่คลายไปในทางที่ดี  ทุกวันนี้  คนเรามุ่งเน้นการแข่งขันในเกือบทุกด้าน ..... คุณอาจอยู่ในสภาพแวดล้อมที่เลวร้ายได้  เพราะความจำเป็น  แต่ก็ขออย่าให้สภาพแวดล้อมนั้นกลืนกินความเป็นมนุษย์ในจิตใจของคุณ

ธุรกิจ          มุ่งเน้น          ด้านวัตถุ
อาจสะดุด          หยุดนิ่ง          อย่ากังขา
อุปกรณ์          ถูกมาก          แห่ซื้อมา
ห้างไอที          คับคั่ง          ชอบซื้อจริง
ขอให้คิด          วางแผน          ก่อนจะซื้อ
เสถียรภาพ          คุณภาพ          ใช้ได้ไหม
จะบริหาร          ดูแล          ได้ยังไง
บริการ          หลังขาย          ดูให้ดี
หากเงินเยอะ          อยากซื้อ          ซื้อไปเถอะ
แต่อย่าโยน          ภาระ          ไว้ข้างหลัง
คนรับกรรม          ลูกน้องคุณ          น่าเศร้าจัง
อนิจจัง          คุณค่า          วัตถุนิยม
ส่วน Admin          ไม่ใช่          ยามระบบ
เมื่อมีภัย          ค่อยคิด          แก้ปัญหา
Pro-Active          ทำก่อน          ภัยจะมา
สุขอุรา          ถ้วนหน้า          หากเข้าใจ

บจก. เดรย์เทค (ประเทศไทย)
www.corecasys.com
โทร. 02-2497910