Security log
Il security log, in informatica, è un file di servizio utilizzato per tenere traccia delle operazioni sensibili per la sicurezza del sistema informatico.
I dati registrati tipicamente contengono una breve descrizione o un codice identificativo dell'operazione tracciata con la relativa marca temporale nonché ulteriori informazioni che consentono di risalire all'esecutore (fisico o logico).
I tipici dati che vengono registrati in un security log sono gli accessi in autenticazione (compresi i tentativi falliti o rifiutati), gli accessi eseguiti su determinate aree di sistema considerate critiche, l'esecuzione di determinati programmi o processi, l'installazione o la rimozione di software o librerie di sistema, le modifiche ai file di configurazione o considerati critici per la sicurezza, come ad esempio le impostazioni di un firewall, e così via.
L'impiego di un security log può essere molto dispendioso in termini di risorse di sistema da dedicare (processi di tracciamento, spazio fisico dedicato su disco rigido) nonché in termini di analisi delle possibili operazioni pericolose, tanto che non tutti i sistemi informatici ne ricorrono all'impiego, pur avendo tutte le capacità necessarie.[1]
Note
[modifica | modifica wikitesto]- ^ (EN) "Most UNIX installations do not run any form of security logging software, mainly because the security logging facilities are expensive in terms of disk storage, processing time, and the cost associated with analyzing the audit trail, either manually or by special software.", Stefan Axelsson, An Approach to UNIX Security Logging