ปัจจุบันระบบเครือข่ายองค์กร มักตกเป็นเป้าสายตาของบรรดา Hacker หรือผู้ไม่ประสงค์ดี อยู่ตลอดเวลา สิ่งที่ผู้ดูแลระบบกระทำกันเพื่อป้องกัน คือการติดตั้ง Firewall หรือ IDS/IPS เพื่อป้องกันและติดตามการใช้งานต่างๆ ผู้เขียนคิดว่ายังมีผู้ดูแลระบบหลายท่าน มีการตรวจสอบ Logs Files ต่างๆ ไม่ว่าจะเป็น Logs ของ Web Server, Logs ของ Proxy Server หรือ Log ไฟล์ตัวอื่นๆ อย่างสม่ำเสมอ

หากถามว่ามีผู้ดูแลระบบสักกี่คนที่มีเวลาเพียงพอในการเข้าไปทำการตรวจสอบ Log Files อย่างสม่ำเสมอ คำตอบง่ายๆ ก็คือจะเข้าไปตรวจเมื่อมีเวลาอำนวยหรือเมื่อระบบมีปัญหาเท่านั้น อันที่จริงเป็นวิธีที่ไม่ถูกต้องมากนัก ฉบับบนี้ขอเสนอซอฟต์แวร์ Open Source ตัวหนึ่งที่ชื่อว่า SNARE หรือ System iNtrusion Analysis and Reporting Environment เป็นซอฟต์แวร์ในการวิเคราะห์และรายงานปัญหาต่างๆ โดยการสรุปจาก Log Files ที่มีภายในระบบ ทูลตัวนี้จะช่วยงานผู้ดูแลระบบให้ง่ายลงอย่างไม่น่าเชื่อจากที่ของเก่า(ที่ใช้ก่อนหน้านี้) เข้าไปอ่าน Log File ของผู้ดูแลระบบจะเข้าไปอ่านไฟล์ย้อนหลังผ่านทางโปรแกรมที่มีอยู่ก่อนหน้า อาทิระบบ Windows ก็ผ่านทางโปรแกรม Event Viewer ส่วนระบบ Linux ก็เข้าไปตรวจในไดเร็กทอรี /var/log/* ซึ่งมีไฟล์ Log เยอะแยะเต็มไปหมดกว่าจะหาสาเหตุเจอก็ใช้เวลายาวนาน มาเป็นการวิเคราะห์ Log File โดยใช้โปรแกรม Snare ที่มี User Interface ที่ใช้งานง่าย แถมยังสามารถตรวจสอบ Log Files ยอดนิยมได้เกือบทุกประเภท

เว็บไซต์ http://www.intersectalliance.com

ระบบปฏิบัติการที่สามารถติดตั้ง Snare ได้
- MS Windows (NT/2000/XP/2003)
- Linux
- FreeBSD, NetBSD, OpenBSD
- Solaris
- IBM AIX
- SGI IRIX

จะเห็นได้ว่า Snare สามารถติดตั้งบนระบบปฏิบัติการยอดนิยมได้แทบทุกระบบ พร้อมทั้งยังมีแพ็กเกจสำหรับติดตั้งแบบแยกย่อยลงไปอีก ทำให้ผู้ดูแลระบบทั้งองค์กรขนาดเล็กและขนาดใหม่สามารถเลือกนำไปติดตั้งอย่างเหมาะสมกับระบบที่ใช้งานอยู่ อาทิใช้ตรวจสอบติดตามการใช้งานของ Web Server อย่าง Apache, IIS หรือใช้ตรวจสอบระบบ Proxy Server อย่าง Squid หรือ ISA หรือใช้ตรวจสอบล็อกของ Lotus Note เป็นต้น โดยปัจจุบัน Snare มีแพ็กเกจติดตั้งให้เลือกใช้งานหลายระบบ ดังตารางต่อไปนี้

เว็บไซต์ http://www.intersectalliance.com

การติดตั้ง SNARE
ในที่นี้ทดสอบติดตั้งบนระบบ Windows XP Professional โดยใช้ Snare for Windows (SnareSetup-2.5.1.exe) ทำการตรวจสอบ Log File บนระบบ Windows กรณีที่ท่านต้องการตรวจสอบระบบใดก็สามารถเลือกดาวน์โหลดได้ตามต้องการ

1. ก่อนอื่นให้ไปดาวน์โหลดตัวติดตั้งได้ที่ http://www.intersectalliance.com หรือที่ http://sourceforge.net/projects/snare/

2. ทำการดับเบิ้ลคลิกที่ไฟล์ SnareSetup-2.5.1.exe

ไฟล์สำหรับติดตั้ง Snare

3. ระบบแสดงข้อความต้อนรับสู่การติดตั้ง เสร็จแล้วคลิกปุ่ม Next>

ข้อความต้อนรับสู่การติดตั้ง

4. ระบุห้องเก็บตัวติดตั้ง เสร็จแล้วคลิกปุ่ม Next>

5. เลือกรูปแบบการติดตั้งเป็น Normal Installation เสร็จแล้วคลิกปุ่ม Next>

เลือกรูปแบบการติดตั้ง

6. ระบบทำการตั้งชื่อ Shortcut ที่ใช้แสดงบน Start Menu ให้คลิกปุ่ม Next>

7. คลิกปุ่ม Install เพื่อเริ่มติดตั้ง

ขณะทำการติดตั้ง

8. Snare จะทำการ Start Service อัตโนมัติ พร้อมแสดงายละเอียดโปรแกรม Snare คร่าวๆ ให้คลิกที่ปุ่ม Yes เพื่อเริ่มเรียกใช้งาน

ข้อความการใช้งานคร่าวๆ

9. คลิกปุ่ม Finish เพื่อสิ้นสุดการติดตั้ง

การใช้งานโปรแกรม Snare
หลังการติดตั้งโปรแกรม Snare จะทำการเปิด Service อัตโนมัติสามารถเข้าตรวจได้โดยคลิกขวาที่ My Computer > Manage > Services & Applications > Services

แสดงรายการ Service ของโปรแกรม Snare

1. สามารถเรียกใช้งานโดยคลิกที่ Start > Programs > InterSect Alliance > Snare for Windows

การเรียกใช้งาน Snare for Windows

2. ทำการปรับแต่ง Snare โดยการคลิดที่เมนู Setup > Audit Configuration

การปรับแต่งค่า การติดตาม

3. กำหนดรายละเอียด
Override host name detection with : ระบุชื่อโฮสต์เนม
Enter the snare server ip or dns addr : ระบุ IP Address
เลือกออปชั่นที่ต้องการว่าต้องการตรวจสอบ Log ชนิดใด

4. กรณีที่ต้องการปรับแต่งค่าเพิ่มเติมให้คลิกที่ปุ่ม Add an Objective

การปรับแต่งค่าการติดตาม เพิ่มเติม

5. คลิกปุ่ม OK

6. คลิกเมนู Activity > Apply and Restart Audit เพื่อเริ่มติดตาม

7. ระบบจะรายงาน Log Files ตามที่ได้เลือกติดตามไว้ก่อนหน้า

แสดง Log Files ต่างๆ

8. กรณีต้องการดูรายละเอียดเพิ่มเติมสามารถคลิกได้ที่ Log File หรือ Event ที่ต้องการ

แสดงรายละเอียด แบบละเอียด

Note.
สามารถทำการตรวจสอบ Log ข้ามเครื่องได้โดยการคลิกที่เมนู Setup > Remote control configuration

สรุป
Snare เป็น Auditing and EventLog Management ที่น่าใช้งานมากตัวหนึ่ง นับเป็นทูลที่ช่วยให้ผู้ดูแลระบบสามารถวิเคราะห์เหตุการณ์ต่างๆ ได้อย่างทันทีทันใด อีกทั้ง Snare เป็นซอฟต์แวร์ประเภท Open Source ที่มีลิขสิทธิ์แบบ GPL ผู้ดูแลระบบสามารถนำมา Implement หรือพัฒนาต่อยอดให้เหมาะสมในการใช้งานในองค์กรได้

========
บทความและข้อมูลในเว็บนี้สงวนลิขสิทธิ์โดย อ.อาณัติ รัตนถิรกุล
การเผยแพร่บทความ,เนื้อหาในเว็บไซต์นี้จะต้องได้รับอนุญาติก่อน
Copyright(c) 2003-2009 by Arnut.com All right Reserved.