Home » Log Management คู่มือ Syslog Windows Event Log สำหรับองค์กร
Log Management คู่มือ Syslog Windows Event Log สำหรับองค์กร
Log Management คืออะไร? ทำไมองค์กรต้องเก็บ Log
Log Management คือ กระบวนการรวบรวม จัดเก็บ และวิเคราะห์ Log จากอุปกรณ์และระบบทั้งหมดขององค์กร Log คือบันทึกเหตุการณ์ที่เกิดขึ้นในระบบ เช่น ใครเข้าใช้งาน เข้าเมื่อไหร่ ทำอะไร Firewall Block อะไร Server มี Error อะไร ถ้าไม่มี Log Management เมื่อถูก Hack จะไม่รู้ว่าเกิดอะไรขึ้น ใครทำ เมื่อไหร่ และ Compliance เช่น PDPA ISO 27001 กำหนดให้ต้องเก็บ Log
ประเภท Log ที่ต้องเก็บ
| ประเภท |
แหล่ง |
ตัวอย่าง |
| Security Log |
Firewall, IDS/IPS, EDR |
Block IP, Intrusion Detected, Malware Found |
| Authentication Log |
AD, VPN, Application |
Login Success/Fail, Account Lockout |
| System Log |
Server, Switch, Router |
Service Start/Stop, Error, Crash |
| Application Log |
Web Server, Database, ERP |
HTTP Error, Query Slow, App Crash |
| Audit Log |
File Server, Database |
File Access, Permission Change, Data Modify |
Syslog — มาตรฐาน Log สำหรับ Network
- คืออะไร: Protocol มาตรฐานที่อุปกรณ์ Network ใช้ส่ง Log ไปยัง Central Server
- Port: UDP 514 (ไม่เข้ารหัส) หรือ TCP 514/6514 (TLS เข้ารหัส)
- อุปกรณ์: Switch, Router, Firewall, AP, Linux Server ส่ง Syslog ได้
- Severity: 0=Emergency ถึง 7=Debug กรอง Log ตาม Severity ได้
- Facility: ระบุแหล่ง Log เช่น kern, auth, local0-local7
Windows Event Log
- คืออะไร: ระบบ Log ของ Windows Server/Client เก็บเหตุการณ์ทั้งหมด
- ประเภท: Application, Security, System, Setup, Forwarded Events
- Event ID สำคัญ:
| Event ID |
ความหมาย |
ทำไมสำคัญ |
| 4624 |
Login สำเร็จ |
ตรวจสอบว่าใครเข้าระบบ |
| 4625 |
Login ล้มเหลว |
ตรวจจับ Brute Force |
| 4720 |
สร้าง User ใหม่ |
ตรวจจับ User ที่ไม่ได้สร้าง |
| 4732 |
เพิ่ม User เข้า Group |
ตรวจจับ Privilege Escalation |
| 1102 |
ลบ Security Log |
Hacker อาจลบ Log ปิดร่องรอย |
วิธี Collect Log
- Syslog Server: ตั้ง Syslog Server รับ Log จากอุปกรณ์ Network ทั้งหมด
- Windows Event Forwarding: ใช้ WEF ส่ง Windows Event Log ไป Central Server
- Agent: ติดตั้ง Agent (Wazuh, Elastic Agent) บน Server เก็บ Log ส่งไป SIEM
- API: Cloud Service (M365, AWS) ส่ง Log ผ่าน API
เครื่องมือ Log Management
| เครื่องมือ |
ราคา |
จุดเด่น |
เหมาะกับ |
| Wazuh |
ฟรี (Open Source) |
SIEM + Log + EDR ครบ ฟรี |
SMB-Enterprise งบน้อย |
| Graylog |
ฟรี / $$ |
Log Management ง่าย Dashboard ดี |
SMB Log เยอะ |
| ELK Stack |
ฟรี (Open Source) |
Flexible มาก Search ดี |
IT/DevOps ที่ดูแลเอง |
| Splunk |
$$$ |
SIEM + Log ดีที่สุด |
Enterprise |
| Microsoft Sentinel |
$$-$$$ |
Cloud SIEM เชื่อม M365 |
องค์กร M365/Azure |
Log Management Best Practices
- เก็บ Log ทุกอุปกรณ์: Firewall, Switch, Server, AD, VPN ทุกตัว
- Central Log: ส่ง Log ไป Central Server/SIEM ไม่เก็บแค่ในอุปกรณ์
- เก็บ 90+ วัน: เก็บ Log อย่างน้อย 90 วัน (PDPA/ISO แนะนำ 1 ปี)
- เข้ารหัส: ส่ง Log ผ่าน TLS เข้ารหัส ไม่ส่ง Plain Text
- Tamper-proof: ป้องกัน Log ถูกแก้ไข/ลบ ใช้ WORM Storage หรือ Hashing
- Alert: ตั้ง Alert สำหรับ Event สำคัญ เช่น Login Fail เยอะ, Admin Login นอกเวลา
- NTP: ตั้ง NTP ให้ทุกอุปกรณ์ เวลาตรงกัน Log จะ Correlate ได้ถูกต้อง
- Review: Review Log ทุกวัน/สัปดาห์ ไม่ใช่แค่เก็บแล้วไม่ดู
สรุป Log Management — เก็บ Log ก่อนถูก Hack
Log Management เป็นพื้นฐานของ Security และ Compliance เก็บ Log ทุกอุปกรณ์ ส่งไป Central Server ตั้ง Alert Review สม่ำเสมอ ใช้ Wazuh (ฟรี) หรือ Graylog หากต้องการข้อมูลเพิ่มเติม ติดตามได้ที่ SiamLanCard.com
