Windows Server: Event Log Solution เก็บ Log ง่าย ๆ ไม่ต้องจ่ายสักบาท
สวัสดีครับ ห่างหายไปนานเลยเรื่องบทความ พอดีไปเรียนมาครับ ติดงานเยอะด้วย ตอนนี้พอจะว่าง จะรีบ ๆ ปั่นบทความมาแจกกันอ่านให้เยอะ ๆ นะครับ เป็นกำลังใจให้ด้วยละกันครับผม
สืบเนื่องมาจากกระแสการเก็บ Logs ตาม พรบ กำลังมาแรง
บทความข้างล่างต่อไปนี้เป็นบทความที่ช่วยให้เราสามารถเก็บ Server LOG ไฟล์ได้ตาม พรบ โดยให้ windows มัน Auto ทำให้ ผมทดสอบพร้อมกับใช้งานจริงมาแล้ว Work ! ! ! ครับผม
หมายเหตุ * * 1. โปรดพิจารณาในการเอาไปใช้ นะครับ บทความนี้เกิดจากประสบการณ์ของผมคนเดียว
2. การทำตามด้านล่างนี้มีความเสี่ยงด้านการแก้ไขระบบ ควรทำการ Backup ทุกอย่างของคุณไว้ก่อนเสมอก่อนที่จะทำตาม
3. การตั้งค่าแบบนี้เป็นการเก็บ Logs ตาม พรบ เฉพาะด้าน Logs ของ Server ไม่เกี่ยวกับ Traffic Logs แต่อย่างได
หลักการในการทำงานของ Solution ผมคือ
1 สั่ง audit ให้ระบบ server ทำการเก็บ log ให้พอเพียงกับที่ขอบเขตที่ พรบ ต้องการ
2 ทำการย้ายพื้นที่ในการเก็บ Log ของ windows ไม่ให้ไปกองไว้ที่เดียวกับ system drive (เนื่องจากเราต้องเก็บไว้อย่างน้อง 90 วันบางทีอาจจะทำให้ system drive เต็ม) ควรหา disk ที่ว่าง ๆ เอาไว้เพื่อการนี้โดยเฉพาะ
3. ปรับแต่งค่าใน Windows เพื่อให้มันทำการ auto backup ไว้เป็น archive ให้เรา
4 (Option) ตั้งค่าการ Backup ด้วย Windows Backup อีกรอบเก็บไว้ยัง Media อื่น ๆ
มาเริ่มกันเลยดีกว่าครับ (หากอ่านข้อความด้านล่างไม่เข้าใจ แนะนำให้ ๆ ๆ ย้อนกลับไปจุดเริ่มต้นทบทวนหลักการอีกรอบครับ)
1.ตั้ง Audit Policy ให้กับ Server เพื่อให้เก็บเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นพอที่จะไปเป็นหลักฐานทางด้าน IT ได้
หาก Server เป็น Domain Controller ให้เปิด Domain controller Security
หากเป็น Server ธรรมดา ให้พิมพ์ command ที่ Run >> secpol.msc จะเจอหน้าตาเหมือนกันดังรูป
หน้าจอ Audit Policy สั่ง Audit Policy ให้เหมือนกับรุปที่อยู่ด้านล่าง
สั่งให้ computer ทำการเก็บ Logs files ไว้ที่ Harddisk ที่มีความจุเยอะ ๆ (ในที่นี้ใช้เป็น D:\)
วิธีทำ
- พิมพ์ command ที่ Run >> regedit,
- ที่ Registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog
คลิ๊กที่ subkey ต่าง ๆ ที่อยุ่ใน Event viewer เช่น Application.
- ด้านขวามือหาคำว่า File
- แก้ไข Path จัดเก็บให้เรียบร้อย (เป็น path ที่เรียกเต็ม ๆ เช่น d:\eventlogs\ appevent.evt)
- ทำซ้ำให้ครบทุก Event Viewer ที่ต้องการแก้ไข path หลัก ๆ ก็มีดังรุปที่อยู่ด้านล่าง
- สั่งรีสตาร์ทเครื่องเพื่อให้มีผล
4. หลังจากที่ ทำการ รีสตาร์ทเครื่องแล้วให้ไปเพิ่ม option เพื่อให้มันทำการ auto backup ให้เราครับ ทำโดยการแก้ไข registry ที่เดิมครับโดยจากเดิมเปลี่ยนที่ option “File” คราวนี้เรามาเปลี่ยน Option “AutoBackupLogFiles” จากค่า 0 ให้เป็น 1 ครับ
5.หลังจากนั้นให้รีสตาร์ทเครื่องอีกทีครับ
6.จากนั้นให้เรามาปรับแก้ไขค่า Default Size ของ Event Viewer ในแต่ละอันให้เหมาะสมจากรูป หาก Security Logs มันเต็มที่ 131 MB ระบบจะทำการ Auto Backup ออกมาเป็น ไฟล์ที่ขึ้นต้นด้วยคำว่า Archive-xxxxxxx เองโดยอัตโนมัติ
*** อย่าลืมตั้งค่า ติ๊กไว้ตรงช่อง Do not Over write (Clear Log Manual นะครับ) ตามรูปครับตามรูป
เพียงเท่านี้เราก็ไม่ต้องกังวลแล้วครับว่า Logs จะเต็มหรือถูกลบทิ้งไปเนื่องจากมันทำการ Archive ให้โดยอัตโนมัติที่เหลือก็คื่อทำการ zip ไว้หรือว่าทำการจัดเก็บลงเทปเพื่อความปลอดภัยอีกรอบ
ลองทำดูครับง่าย ๆ เพียงพอต่อความต้องการขององค์กรขนาดเล็ก-กลาง ครับไม่ต้องไปซื้อ Solution ให้เสียเวลา ทำเองแบบนี้พอเพียง เพียงพอแล้วขอรับ
มีข้อสงสัยเพิ่มเติม ติติงกันได้นะครับผม ขอบคุณครับ กำลังทะยอยเขียนอีก version นึงครับ รอสักครู่
7. เพิ่มเติมครับเพิ่มเติม หลังจากการตีความ พรบ ว่า Logs ไฟล์นั้น Administrator ห้ามแก้ไข ดังนั้นเราต้องไปเซ็ตค่าเพิ่มอีกนิดครับโดยการเข้าไปเซต Security Permission ของ Logs ที่เราแก้ไขค่าไป โดยทำการ Modify ให้ Administrator มีสิทธิ์แค่ Read ครับ แค่นี้ก็ยืนยันกับเจ้าหน้าที่ได้แล้วว่าเราไม่มีสิทธิ์ไปแก้ไขอะไร
สวัสดีครับ ห่างหายไปนานเลยเรื่องบทความ พอดีไปเรียนมาครับ ติดงานเยอะด้วย ตอนนี้พอจะว่าง จะรีบ ๆ ปั่นบทความมาแจกกันอ่านให้เยอะ ๆ นะครับ เป็นกำลังใจให้ด้วยละกันครับผม
สืบเนื่องมาจากกระแสการเก็บ Logs ตาม พรบ กำลังมาแรง
บทความข้างล่างต่อไปนี้เป็นบทความที่ช่วยให้เราสามารถเก็บ Server LOG ไฟล์ได้ตาม พรบ โดยให้ windows มัน Auto ทำให้ ผมทดสอบพร้อมกับใช้งานจริงมาแล้ว Work ! ! ! ครับผม
หมายเหตุ * * 1. โปรดพิจารณาในการเอาไปใช้ นะครับ บทความนี้เกิดจากประสบการณ์ของผมคนเดียว
2. การทำตามด้านล่างนี้มีความเสี่ยงด้านการแก้ไขระบบ ควรทำการ Backup ทุกอย่างของคุณไว้ก่อนเสมอก่อนที่จะทำตาม
3. การตั้งค่าแบบนี้เป็นการเก็บ Logs ตาม พรบ เฉพาะด้าน Logs ของ Server ไม่เกี่ยวกับ Traffic Logs แต่อย่างได
หลักการในการทำงานของ Solution ผมคือ
1 สั่ง audit ให้ระบบ server ทำการเก็บ log ให้พอเพียงกับที่ขอบเขตที่ พรบ ต้องการ
2 ทำการย้ายพื้นที่ในการเก็บ Log ของ windows ไม่ให้ไปกองไว้ที่เดียวกับ system drive (เนื่องจากเราต้องเก็บไว้อย่างน้อง 90 วันบางทีอาจจะทำให้ system drive เต็ม) ควรหา disk ที่ว่าง ๆ เอาไว้เพื่อการนี้โดยเฉพาะ
3. ปรับแต่งค่าใน Windows เพื่อให้มันทำการ auto backup ไว้เป็น archive ให้เรา
4 (Option) ตั้งค่าการ Backup ด้วย Windows Backup อีกรอบเก็บไว้ยัง Media อื่น ๆ
มาเริ่มกันเลยดีกว่าครับ (หากอ่านข้อความด้านล่างไม่เข้าใจ แนะนำให้ ๆ ๆ ย้อนกลับไปจุดเริ่มต้นทบทวนหลักการอีกรอบครับ)
1.ตั้ง Audit Policy ให้กับ Server เพื่อให้เก็บเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นพอที่จะไปเป็นหลักฐานทางด้าน IT ได้
หาก Server เป็น Domain Controller ให้เปิด Domain controller Security
หากเป็น Server ธรรมดา ให้พิมพ์ command ที่ Run >> secpol.msc จะเจอหน้าตาเหมือนกันดังรูป
หน้าจอ Audit Policy สั่ง Audit Policy ให้เหมือนกับรุปที่อยู่ด้านล่าง
สั่งให้ computer ทำการเก็บ Logs files ไว้ที่ Harddisk ที่มีความจุเยอะ ๆ (ในที่นี้ใช้เป็น D:\)
วิธีทำ
- พิมพ์ command ที่ Run >> regedit,
- ที่ Registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog
คลิ๊กที่ subkey ต่าง ๆ ที่อยุ่ใน Event viewer เช่น Application.
- ด้านขวามือหาคำว่า File
- แก้ไข Path จัดเก็บให้เรียบร้อย (เป็น path ที่เรียกเต็ม ๆ เช่น d:\eventlogs\ appevent.evt)
- ทำซ้ำให้ครบทุก Event Viewer ที่ต้องการแก้ไข path หลัก ๆ ก็มีดังรุปที่อยู่ด้านล่าง
- สั่งรีสตาร์ทเครื่องเพื่อให้มีผล
4. หลังจากที่ ทำการ รีสตาร์ทเครื่องแล้วให้ไปเพิ่ม option เพื่อให้มันทำการ auto backup ให้เราครับ ทำโดยการแก้ไข registry ที่เดิมครับโดยจากเดิมเปลี่ยนที่ option “File” คราวนี้เรามาเปลี่ยน Option “AutoBackupLogFiles” จากค่า 0 ให้เป็น 1 ครับ
5.หลังจากนั้นให้รีสตาร์ทเครื่องอีกทีครับ
6.จากนั้นให้เรามาปรับแก้ไขค่า Default Size ของ Event Viewer ในแต่ละอันให้เหมาะสมจากรูป หาก Security Logs มันเต็มที่ 131 MB ระบบจะทำการ Auto Backup ออกมาเป็น ไฟล์ที่ขึ้นต้นด้วยคำว่า Archive-xxxxxxx เองโดยอัตโนมัติ
*** อย่าลืมตั้งค่า ติ๊กไว้ตรงช่อง Do not Over write (Clear Log Manual นะครับ) ตามรูปครับตามรูป
เพียงเท่านี้เราก็ไม่ต้องกังวลแล้วครับว่า Logs จะเต็มหรือถูกลบทิ้งไปเนื่องจากมันทำการ Archive ให้โดยอัตโนมัติที่เหลือก็คื่อทำการ zip ไว้หรือว่าทำการจัดเก็บลงเทปเพื่อความปลอดภัยอีกรอบ
ลองทำดูครับง่าย ๆ เพียงพอต่อความต้องการขององค์กรขนาดเล็ก-กลาง ครับไม่ต้องไปซื้อ Solution ให้เสียเวลา ทำเองแบบนี้พอเพียง เพียงพอแล้วขอรับ
มีข้อสงสัยเพิ่มเติม ติติงกันได้นะครับผม ขอบคุณครับ กำลังทะยอยเขียนอีก version นึงครับ รอสักครู่
7. เพิ่มเติมครับเพิ่มเติม หลังจากการตีความ พรบ ว่า Logs ไฟล์นั้น Administrator ห้ามแก้ไข ดังนั้นเราต้องไปเซ็ตค่าเพิ่มอีกนิดครับโดยการเข้าไปเซต Security Permission ของ Logs ที่เราแก้ไขค่าไป โดยทำการ Modify ให้ Administrator มีสิทธิ์แค่ Read ครับ แค่นี้ก็ยืนยันกับเจ้าหน้าที่ได้แล้วว่าเราไม่มีสิทธิ์ไปแก้ไขอะไร