ถามเป็นความรู้เพิ่มเติมนะครับ อย่างกรณีเว็บ ICT โดน hack ที่ผ่านมา
แล้วทาง ICT เอง หาคนทำผิดไม่ได้ หรือไม่ได้เก็บ log จะโดนปรับห้าแสน มะครับ
ผมละงงกับมาตรฐานจริง ๆ ถ้ามีคนไปโพสโป๊ ใส่เว็บ ICT เว็บตำรวจ
เจ้าของเว็บ จะโดนข้อหามะครับ …

ทุกวันนี้ระบบเรามันมั่วไปหมด อ้างอะไรมาก็มั่ว โดยไม่มีการถกปัญหา
ไม่มีการอ้างอิง เรื่อง log นี่ใครเป็นหน่วยงานกลาง ที่บอกว่า ต้องเก็บ
อะไร ยังไง อะไรผิด อะไรถูก ส่วนตัว ผมไม่หวังพึ่ง ICT เลย รุ้ ๆ กันอยู่
ขนาดเว็บตัวเอง ยังโดน hack หาคนทำไม่ได้ แล้วจะไปชี้ถูกผิด อะไรได้
ถ้าเมื่อไรพัฒนา ได้มากกว่านี้ ค่อยมาคุม พรบ. จะดีกว่าไหมครับ

[quote author=212cafe.com link=topic=13050.msg127603#msg127603 date=1219253065]
ถามเป็นความรู้เพิ่มเติมนะครับ อย่างกรณีเว็บ ICT โดน hack ที่ผ่านมา
แล้วทาง ICT เอง หาคนทำผิดไม่ได้ หรือไม่ได้เก็บ log จะโดนปรับห้าแสน มะครับ
ผมละงงกับมาตรฐานจริง ๆ ถ้ามีคนไปโพสโป๊ ใส่เว็บ ICT เว็บตำรวจ
เจ้าของเว็บ จะโดนข้อหามะครับ …

ทุกวันนี้ระบบเรามันมั่วไปหมด อ้างอะไรมาก็มั่ว โดยไม่มีการถกปัญหา
ไม่มีการอ้างอิง เรื่อง log นี่ใครเป็นหน่วยงานกลาง ที่บอกว่า ต้องเก็บ
อะไร ยังไง อะไรผิด อะไรถูก ส่วนตัว ผมไม่หวังพึ่ง ICT เลย รุ้ ๆ กันอยู่
ขนาดเว็บตัวเอง ยังโดน hack หาคนทำไม่ได้ แล้วจะไปชี้ถูกผิด อะไรได้
ถ้าเมื่อไรพัฒนา ได้มากกว่านี้ ค่อยมาคุม พรบ. จะดีกว่าไหมครับ

ทหารอาชีพ แต่โดนการเมืองแทรกแซง มันก็ไม่ไหวนะครับ พรบ. มันไม่มีมาตรฐาน
ตกลงจะให้เก็บอะไรบ้าง ยังไง ก็ยังไม่ชัดเจน ก็บอกมาเลยว่าระบบไหน ต้องเก็บอะไร
ถ้าจะให้ดี ก็ทำ central log ให้เลยสิครับ เวลาจะ เชค อะไร จะได้ไม่ต้องมายกเครื่อง
จริง ๆ ให้พวก ISP เก็บ log น่าจะตรงจุดกว่า ใคร IP อะไร เข้าอะไร เค้าเก็บไม่ยาก
พวกนี้ส่วนใหญ่ ก็มี proxy เค้าอยู่แล้ว คิดอะไรกันไม่รู้ งงจริง ๆ

ทั้งๆที่เค้าวสั่งให้เราไป

เรื่องเล่าขำๆ

ผมขอย้อนกลับมาที่โปรแกรม syslogd (เป็น demon ของระบบ)

Unix/Linux ไม่ได้สร้าง log จากโปรแกรมใครโปรแกรมมันครับ แต่ถูกจัดการและบริหารจากโปรแกรม syslogd ทั้งนั้น
โดยที่ application ทำาการร้องขอสร้าง log file และส่งรูปแบบไปสร้าง log

และ syslog จะเป็นตัวสร้างไฟล์ให้ และกัน rotage log ว่ากี่วัน
หากเราเข้าไปแก้ไขตรงนั้นได้ เราก็ยอมให้ทุก log เก็บจาก 30 วันเป็น 90 วัน

ใครรู้ไหมว่าเรา config ตรงจุดนี้ตรงไหน หรือ source ไหน
เพราะในใจผมคิดว่าแก้แบบนี้มันจบหมดทุกรูปแบบเลย

มันไม่จบง่าย ๆ แบบนี้หรอกครับ พวก log พวกนี้อ่า เอาเข้าจริง
มันก็ไม่เกี่ยวไรกับคดีเลย คดีจริง ๆ เกิดจาก httpd port 80
ไอ้พวกเว็บ ด่ากัน โพสโป๊ ไรพวกนี้ ก็จะมาดูที่ log httpd
แต่พวกนี้มันปลอมกันได้ มันก็ทำไรไม่ได้อีก ผมเลยไม่เข้าใจว่า
ตกลง จะเอาอะไร ยังไงกันแน่ แล้วให้ทาง ผุ้คุม พรบ. ตอบหน่อย
ว่าถ้าเจอเคสที่ปลอม ทุกอย่างไป จะทำยังไง

ทิ้งเรื่อง Rotate Log ไว้ให้ไปศึกษาล่ะกัน (ปวดหัวล่ะ)

http://www.ducea.com/2006/06/06/rotating-linux-log-files-part-1-syslog/

จบด้วยตัวนี้แหละครับ…

http://www.gentoo.org/proj/en/infrastructure/config-syslog.xml

/etc/logrotate.conf

sample logrotate configuration file

/var/log/apache/*.httpd {

log ผม วันนี้ 12G ทำไงดีครับ

[quote author=siambox.com link=topic=13050.msg127618#msg127618 date=1219256163]
log ผม วันนี้ 12G ทำไงดีครับ

ขออนุญาตคุณหนึ่งแสดงความคิดเห็นหน่อยนะครับ

ถ้าจะเก็บกันจริงๆ ตาม พรบ. ละก็ วิธีที่ำทำกันอยู่นี้ ล้วนผิด พรบ. ทั้งนั้นครับ เพราะ พรบ. กำหนดชัดเจนว่าต้องเป็น Central log เท่านั้น ส่วนวิธีที่พวกเราเก็บกันอยู่นี้ เขาไม่ถือว่าเก็บตาม พรบ.ครับ

เก็บเท่าที่พึงจะเก็บได้ครับ ระบบมันเก็บ log อะไรได้แค่ไหนก็เอาแค่นั้น คงไม่บ้าตาม พรบ.นี้แล้วครับ คนร่างมันบ้า เขียนออกมาให้ดูโก้หรู แต่นำไปปฏิบัติจริงไม่ได้ เวลามีปัญหาก็มายกเครื่องไปดองเอาไว้ เพราะไม่มีใครมีปัญญามานั่งเช็ค log จนสามารจับตัวคนร้ายได้ ขนาดเว็บ ICT กับ เว็บรัฐสภา ถูก Hack ยังไม่มีปัญญาจับใครได้เลย

คนเราเกิดมามีชีวิตเดียว ร้ายที่สุดก็โดนจับติดคุก ส่วนเรื่องค่าปรับ คงไม่มีปัญญาให้ปรับหรอกครับ ยอมติดคุกใช้หนี้แทน เพราะคดีนี้ อย่างเลวร้ายที่สุดก็คงไม่ถึงขั้นถูกประหารชีวิต ทำดีในคุกได้รับพระราชทานอภัยโทษ ไม่กี่ปีก็ออกมาได้แล้ว ขนาดพวกฆาตรกร ปล้น ฆ่า ชิงทรัพย์ ข่มขืน มันยังติดคุกกันจริงๆ แค่ 5-10 ปี ก็ออกมาเดินลอยนวลได้แล้ว

คิดแบบนี้ได้ก็สบายใจ อะไรจะก็ก็ปล่อยให้มันเกิด มัวแต่มานั่งบ้าตาม พรบ. ที่ไม่มี รูปแบบ และ หลักการ ให้ปฏิบัติ ต่างคนต่างคิด ต่างคนต่างทำกันเอง แบบนี้ ประเทศชาติมันถึงไม่เจริญ

[quote author=siamwebhost link=topic=13050.msg127632#msg127632 date=1219262339]
ขออนุญาตคุณหนึ่งแสดงความคิดเห็นหน่อยนะครับ

ถ้าจะเก็บกันจริงๆ ตาม พรบ. ละก็ วิธีที่ำทำกันอยู่นี้ ล้วนผิด พรบ. ทั้งนั้นครับ เพราะ พรบ. กำหนดชัดเจนว่าต้องเป็น Central log เท่านั้น ส่วนวิธีที่พวกเราเก็บกันอยู่นี้ เขาไม่ถือว่าเก็บตาม พรบ.ครับ

เก็บเท่าที่พึงจะเก็บได้ครับ ระบบมันเก็บ log อะไรได้แค่ไหนก็เอาแค่นั้น คงไม่บ้าตาม พรบ.นี้แล้วครับ คนร่างมันบ้า เขียนออกมาให้ดูโก้หรู แต่นำไปปฏิบัติจริงไม่ได้ เวลามีปัญหาก็มายกเครื่องไปดองเอาไว้ เพราะไม่มีใครมีปัญญามานั่งเช็ค log จนสามารจับตัวคนร้ายได้ ขนาดเว็บ ICT กับ เว็บรัฐสภา ถูก Hack ยังไม่มีปัญญาจับใครได้เลย

คนเราเกิดมามีชีวิตเดียว ร้ายที่สุดก็โดนจับติดคุก ส่วนเรื่องค่าปรับ คงไม่มีปัญญาให้ปรับหรอกครับ ยอมติดคุกใช้หนี้แทน เพราะคดีนี้ อย่างเลวร้ายที่สุดก็คงไม่ถึงขั้นถูกประหารชีวิต ทำดีในคุกได้รับพระราชทานอภัยโทษ ไม่กี่ปีก็ออกมาได้แล้ว ขนาดพวกฆาตรกร ปล้น ฆ่า ชิงทรัพย์ ข่มขืน มันยังติดคุกกันจริงๆ แค่ 5-10 ปี ก็ออกมาเดินลอยนวลได้แล้ว

คิดแบบนี้ได้ก็สบายใจ อะไรจะก็ก็ปล่อยให้มันเกิด มัวแต่มานั่งบ้าตาม พรบ. ที่ไม่มี รูปแบบ และ หลักการ ให้ปฏิบัติ ต่างคนต่างคิด ต่างคนต่างทำกันเอง แบบนี้ ประเทศชาติมันถึงไม่เจริญ

[quote]ขออนุญาตคุณหนึ่งแสดงความคิดเห็นหน่อยนะครับ

ถ้าจะเก็บกันจริงๆ ตาม พรบ. ละก็ วิธีที่ำทำกันอยู่นี้ ล้วนผิด พรบ. ทั้งนั้นครับ เพราะ พรบ. กำหนดชัดเจนว่าต้องเป็น Central log เท่านั้น ส่วนวิธีที่พวกเราเก็บกันอยู่นี้ เขาไม่ถือว่าเก็บตาม พรบ.ครับ

เก็บเท่าที่พึงจะเก็บได้ครับ ระบบมันเก็บ log อะไรได้แค่ไหนก็เอาแค่นั้น คงไม่บ้าตาม พรบ.นี้แล้วครับ คนร่างมันบ้า เขียนออกมาให้ดูโก้หรู แต่นำไปปฏิบัติจริงไม่ได้ เวลามีปัญหาก็มายกเครื่องไปดองเอาไว้ เพราะไม่มีใครมีปัญญามานั่งเช็ค log จนสามารจับตัวคนร้ายได้ ขนาดเว็บ ICT กับ เว็บรัฐสภา ถูก Hack ยังไม่มีปัญญาจับใครได้เลย

คนเราเกิดมามีชีวิตเดียว ร้ายที่สุดก็โดนจับติดคุก ส่วนเรื่องค่าปรับ คงไม่มีปัญญาให้ปรับหรอกครับ ยอมติดคุกใช้หนี้แทน เพราะคดีนี้ อย่างเลวร้ายที่สุดก็คงไม่ถึงขั้นถูกประหารชีวิต ทำดีในคุกได้รับพระราชทานอภัยโทษ ไม่กี่ปีก็ออกมาได้แล้ว ขนาดพวกฆาตรกร ปล้น ฆ่า ชิงทรัพย์ ข่มขืน มันยังติดคุกกันจริงๆ แค่ 5-10 ปี ก็ออกมาเดินลอยนวลได้แล้ว

คิดแบบนี้ได้ก็สบายใจ อะไรจะก็ก็ปล่อยให้มันเกิด มัวแต่มานั่งบ้าตาม พรบ. ที่ไม่มี รูปแบบ และ หลักการ ให้ปฏิบัติ ต่างคนต่างคิด ต่างคนต่างทำกันเอง แบบนี้ ประเทศชาติมันถึงไม่เจริญ

[quote author=cool_ly_kool link=topic=13050.msg127641#msg127641 date=1219272731]

• นาน นานเสี่ยจะออกมาแสดงความคิดเป็นอย่างเป็นทางการสักที

ปล… ข้อความด้านบน (siamwebhost)

มี log เก็บให้ครบ 90 วันพอแล้วครับ เวลาเขาขอแล้วมีให้จบ เขาไม่มานั่งดูระบบเราหรอกว่า central log หรือเปล่า
เพราะเขาต้องเอาไปชนเทียบกับของ isp ด้วย ถ้าข้อมูลตรงกันก็จบ มีความน่าเชื่อถือนำไปใช้เป็นหลักฐานได้

วิธีการง่ายสุด (สำหรับ da) ก็โพสต์กันไปนานแล้ว ถ้าอ่านดีๆมันก็มีครบถ้วนแล้ว ทั้ง apache ftp email เพียงแต่ว่าไม่ได้เป็นแบบ central log เท่านั้น

ใช่ครับ… เราเก็บกันแค่ให้ครบ 90 วันพอแล้ว แต่เราจะเก็บรูปแบบอย่างไรก็เป็นเรื่องของระบบของเรา
สำหรับ Central Log คงต้องนำไปใช้กับโรงเรียนและมหาวิยาลัยไปครับ นำมาใช้กับ Hosting Business ไม่ได้แน่…เนื่องจากหลากหลายโปรแกรมไม่ได้มีเป็นมารตฐาน

ขืนนำ Central Log มาใช้งานกับ Hosting Business คงไม่ต้องทำอะไรกินกันแล้ว

แต่ที่ผมมานั่งคิด… หากเราปรับเรื่อง syslog กับเพิ่มส่วน rotate conf น่าจะมีทางลดความเหนื่อยยากไปได้มาก
น่าจะมีวิธีแบบที่ผมถามนี่แหละ น่าจะทำได้

พี่หนึ่งครับ

มี script โยน log แบบอัตโนมัติทุกๆวันใหมครับ เช่น

ทุกๆวัน เวลา 23.50 โยนไปที่ /home/admin/log

อ่าครับ

รู้นะว่าคิดอะไรอยู่… ก็กำลังดูว่าจะทำกันตรงไหนบ้าง (ค่่อนข้างจะไม่มีรูปแบบไปหน่อย) หากทำเพียงเครื่องเดียวก็ไม่มีปัญหาอะไร หากทำกันระบบทั้งตู้คงลำบาก…เลยยังไม่คิดถึงตรงนี้

อยากจะบอกว่า ถ้าเอาตามกฎหมายแล้ว Central Log Server เฉย ๆ ก็ไม่เพียงพอครับ
เพราะ Admin สามารถเข้าไปแก้ไขได้อยู่แล้ว

ถ้าจะให้ตรงก็ต้อง Central Log ของ Thrid Party ซึ่งเราไม่สามารถไปยุ่งเกี่ยวได้
แล้วของ Thrid Party มันจะทำได้ดีหมดหรือเปล่าก็ไม่รู้ มีปัญหา Third Party จะรับผิดชอบแทนเราหรือเปล่า?

ทั้งนี้ทั้งนั้น ผมก็ไม่เอาด้วยหรอก
ผมจะจัดเก็บเพื่อให้สามารถตาม trace ได้ว่า เกิดอะไรขึ้นก็พอ
ไว้มีไก่โดนเชือด แล้วขึ้นศาลได้ข้อสรุปแล้วค่อยว่ากันใหม่

ของผมจะหนักไปทาง Windows Server
ก็เก็บ log ของ
IIS - ส่วนของการ access website ทั้งหมด
IIS - ส่วนของการ access FTP
Mail Server - ตามแต่ล่ะ Protocal