Auditing

La sezione Auditing è la parte principale della nuova piattaforma, il suo ruolo è di permettere al titolare dell'azienda di fruire delle informazioni raccolte in maniera chiara e sicura, senza che venga data la possibilità di creare danni reali ai dati in analisi ma consentendo di ottenere unicamente le informazioni interessanti da ogni log.

Inserimento Dati

La prima schermata permette l'inserimento del lasso temporale di interesse, e di un indirizzo IP, senza molta fatica si potrebbe implementare anche una data ed una durata, la funzione playtime è già presente e funzionante, ma si è scelto di far specicare le date esplicitamente per far sì che l'utilizzatore del sistema abbia la reale percezione dei giorni che andrà ad analizzare. Il lasso temporale permette di specicare Date ed ore di interesse, o unicamente le date, l'ora non sempre è interessante, almeno in fase di estrazione dei dati, piuttosto è comoda per eettuare l'analisi dei dati e ricerche più precise. L'IP si può specicare anche solo parzialmente, in modo da permettere agli utenti di indicare anche solo la parte iniziale dell'IP, ottenendo il risultato di caricare sul Database tutti gli IP della subnet indicata, o degli indirizzi simili, infatti se viene inserita solo la prima porzione di un IP, il sistema caricherà sul DB tutti i dati riguardanti macchine con IP che iniziano come indicato, se invece si desidera indicare un IP singolo è suciente terminiare la stringa con un '.' (questo per evitare che, indicando l'IP x.x.x.2 vengano selezionati, ad esempio, anche gli ip x.x.x.21, x.x.x.206 ecc..).

Fase di Querying

Selezionati i log di interesse, questi vengono caricati sul Database, dopo aver passato il Test sull'integrità. Il test sull'integrità eettua un parsing tra i digest contenuti nei vari les *.md5 giornalieri ed un calcolo eettuato al volo su tutti i les di interesse, il risultato che si ottiene se tutto è andato bene è unicamente una stringa che conferma la veridicità dei logs, altrimenti compare un elenco dei le che sono stati identicati come corrotti. Sarà cura del titolare dell'azienda far sostituire questi logs da un amministratore sotto la propria supervisione, i logs originali vanno prelevati dal CD prodotto mensilmente.

Una volta caricati i dati sul Database, e vericata la loro integrità, si può procedere con l'analisi e la ricerca delle informazioni utili; viene proposta la possi-bilità di analizzarli per estrarne informazioni interessanti, vericare la correttezza delle username ed eliminare entry inutilizzabili che il logging talvolta inserisce, utili come dato da mantenere nel sistema per capire eventuali danni, ma non per vericare l'operato degli amministratori. Questi controlli ed estrazione diinfor-mazioni avvengono grazie ad una serie di Regular Expression e CASE inseriti nei comandi SQL.

Qui viene proposta la soluzione per 'Power User', ovvero scrivere la propria query manualmente, in modo da ottenere esattamenete i risultati desiderati, op-pure la soluzione automatizzata, quindi inserire dei dati e costruire automatica-mente la query. La costruzione automatica delle query avviene attraverso delle funzioni in Javascript, ho scelto di cotruire pagine che lavorino sia lato server che lato client per alleggerire il lavoro svolto dal Server. Per eettuare ricerche è possibile:

1. restringere il lasso temporale,

2. scegliere i campi che si desiderano visuliazzare,

3. gli eventuali campi sui quali eettuare il raggruppamento,

4. selezionare il campo i base al quale ordinare i risultati (sempre che faccia parte della selezione dei campi visulizzati),

5. indicare un elenco di parole da ricercare,

6. indicare un elenco di IP di host da analizzare (che siano nell'elenco denito durante il caricamento),

8.5 LETTORE LOG 7. indicare se eettuare il conteggio dei risultati in caso di grouping o di nessun

campo selezionato,

8. limitare la visualizzazione dei risultati.

In particolare il campo relativo alle parole da ricercare ha implementate delle funzionalità avanzate, sono inseribili caratteri speciali per eettuare ricerche più particolareggiate, seguono le tre regole implementate :

• Parole senza caratteri speciali : vengono ricercate tutte, quindi ogni parola inserita senza l'aggiunta di modicatori sarà presente nei risultati estratti, • Parole preceduta dal carattere '!' : Rientrerà nell'elenco di parole da non visualizzare nei risultati, nessuna delle entry contenenti anche solo una delle parole inserite con il ! inizialmente verrà selezionata,

• Parole preceduta dal carattere '?' : rappresentano un elenco di parole che vengono cercate in maniera opzionale, almeno una delle parole di questo elenco dovrà essere contenuta in ogni entry risultante.

Al termine dell'inserimento verrà chiesto all'utente se la query creata è corretta e se si desidera utilizzarla veramente, andando a perdere quella precedentemente inserita.

Graci

La sezione contenente i graci ottiene i dati che rappresenta dai logs caricati prece-dentemente dal modulo auditing, prima di procedere alla visulizzazione dei graci è necessario assegnare le username analizzando i logs, operazione automatica ma, se confrontata al caricamento dei dati, di durata considerevole.

Questi dati vengono selezionati attraverso varie query, dove vengono raggrup-pati per ora (selezionando solo parte del campo datetime) e suddivisi per i vari utenti da controllare. Da questi dai vengono visualizzati vari graci, uno per ogni elemento dello sta più un graco che include tutti i login avvenuti. Questo sistema graco non permette la selezione dei dati, vengono presi tutti i login dei logs caricati sul Database, questa scelta è stata fatta per evidenziare eventuali login fuori orario, che dovrebbero allertare il possessore delle credenziali, se non altro ad eettuare accurate analisi riguardo ai login anomali.