Softnix Logger (SLG)

Product Overview

Softnix Logger (SLG) คือระบบจัดการ Logs File แบบรวมศูนย์หรือ Centralized Logs Management ที่นิยมเรียกกันว่า Logger Server รองรับการจัดเก็บ Logs ของระบบคอมพิวเตอร์ Server หรืออุปกรณ์เครือข่ายคอมพิวเตอร์ เช่น Firewall , Router , Switch, Windows Server, Linux Server, Unix Server และอื่นๆ มากมาย

ทำไมต้องจัดเก็บ Logs File ? ปัจจุบัน พรบ. ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ 2560 ได้เล็งเห็นถึงโทษจากภัยคุกคามในเครือข่ายคอมพิวเตอร์ ไม่ว่าจะเป็นการขโมยข้อมูล การโจมตี ทำลาย ทำให้เกิดความเสียหายต่างๆ Logs File คือสิ่งเดี่ยวที่จะพิสูจน์การบุกรุก การโจมตี การขโมย ต่างๆได้ และจะเป็นสิ่งที่ผู้รักษากฏหมายจะใช้ในการสืบสวนและสอบสวนหาผู้กระทำความผิดมาลงโทษ ดังนั้นหน้าที่ของผู้ให้บริการเครือข่ายคอมพิวเตอร์จะต้องเก็บรักษา Logs File นั้นให้เป็นอย่างดี และหากไม่จัดเก็บไว้ จะต้องมีโทษทางกฏหมาย

คุณสมบัติเด่น Softnix Logger

สอดคล้องตามหลักเกณ์ในการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ ตาม พรบ. ฯ
Softnix Logger เป็นระบบจัดเก็บ Log File ที่ผ่านการรับรองมาตรฐานจาก NECTEC มศอ.๔๐๐๓.๑ – ๒๕๖๐ (NECTEC STANDARD NTS 4003.1-2560) จึงมั่นใจได้ว่า Log ที่จัดเก็บด้วยระบบ Softnix Logger มีความเชื่อมั่น ถูกต้อง และยืนยันได้ในชั้นศาล โดยปัจจุบัน หน่วยงานภาครัฐขนาดใหญ่ ภาคเอกชน ให้การยอมรับ ใช้ระบบการจัดเก็บ Log ของเราอย่างมากมาย

การจัดเก็บ Log (Log Collection)
Softnix Logger รองรับการจัดเก็บ Log ในรูปแบบ Syslog , FTP, SFTP และรองรับ Syslog Agent ระบบทำหน้าที่บริหารจัดการ Log แบบรวมศูนย์ (Centralized Log Management) และสำหรับระบบเครือข่ายขนาดใหญ่ Softnix Logger Forwarder สามารถรับ Log แบ่ง Load หรือวางที่สำนักงานสาขาและส่งผ่าน Log เข้าสู่ Centralized Log Server ที่สำนักงานใหญ่ แบบตั้งเวลาได้ เพื่อประหยัด Bandwidth

การเก็บรักษา (Log Store)
Softnix Logger จัดเก็บ Raw Data โดยมีการบีบอัด (Data Compression) ด้วยอัตราส่วน 20:1 และมีระบบรักษาความถูกต้องของข้อมูล โดยมีวิธีการเข้ารหัสและการยืนยันความคงสภาพของข้อมูล (Data Integrity) โดยวิธีการ MD5,SHA-1 และ SHA-256

การสืบค้นและรายงาน (Search and Report)
โดย Softnix Logger มีระบบ Data Indexing ที่มีประสิทธิภาพ สามารถ Index ข้อมูลมากกว่า 2,000 Message ต่อวินาที และสามารถสืบค้นได้อย่างรวดเร็ว โดยใช้เงือนไขต่างๆเช่น ค้นหาตาม ชื่อ Host , Time , Message โดยใช้เงือนไขแบบ AND , OR, NOT อีกทั้งระบบยังมีส่วนของ Log Analyzer ที่สามารถวิเคราะห์สร้างรายงานเชิงปริมาณของ Log File เพื่อใช้ในการวิเคราะห์และพัฒนาระบบเครือข่าย โดยมีรูปแบบรายงานมากกว่า 800 ชนิด แยกตามชนิดของอุปกรณ์หรือระบบ

ติดตามและแจ้งเตือน (Monitor and Alert)
ระบบสามารถสร้าง Filter เหตุการณ์ตามเงือนไขต่างๆ เพื่อใช้ในการติดตามเหตุการณ์ หรือแจ้งเตือนโดยการ Alert ไปยัง Email อีกทั้งความสามารถที่สำคัญ ระบบสามารถแจ้งเตือนทันที หากพบว่าไม่มี Log ส่งเข้ามายังระบบตามระยะเวลาที่กำหนด เพื่อให้ Admin ที่ดุแลระบบรีบทำการแก้ไขโดยทันที

Product Edition

Software Appliance Edition

Softnix Logger EP Enterprise Edition

CentOS 5 64Bit Customized
External Storage Support SAN,NAS,iSCSI
Unlimited Device Client
License limit by storage volume
VLAN 802.1q Support
Security Hardening
Flexibility for your network and hardware
Sawmill Log Analyzer (Option)

Hardware Appliance Edition

Softnix Logger EP Enterprise Edition

SLG-SA1 for Small Enterprise
SLG-SA2 for Medium Enterprise
SLG-SA3 for Large Enterprise

Resource

Datasheet
Softnix Logger Presentation
Softnix Logger Appliance Brochure

Screenshot

Dashboard
แสดงรายงานภาพรวมของระบบ เช่น System Information , Graphic Event Per Second, Live Log Monitor, Resource Used , Service Status

Log Search
ระบบ Log Indexing ของ Softnix Logger สามารถ Index ข้อมูล Log ขนาดใหญ่มากกว่า 1.5GB เสร็จภายใน 20 นาที (ขึ้นอยู่กับขนาดของ Server) และทำให้สามารถ Search Log โดยใช้เงือนไขต่างๆ เช่น AND OR NOT ได้อย่างมีประสิทธิภาพ และมีความรวดเร็ว ไม่ช้าเช่นการค้นหาจาก Database RDBM

Log Archives
สำหรับ Raw Log ที่ส่งเข้ามาจัดเก็บ ทุกวันจะมีการ Compress บีบอัดประมาณ 20 เท่า พร้อมทั้งทำกระบวนการ Hashing โดยวิธีการ MD5 และ SHA-1 โดยจะเก็บรหัส MD5,SHA-1 เก็บไว้ที่ Server และใส่ไว้ใน Archiving File ด้วย เพื่อใช้ในการตรวจสอบรหัสของไฟล์ในภายหลัง ที่ต้องการเช็คความคงสภาพของไฟล์

Network Time Server
ระบบทำหน้าที่เป็น Time Server Stratum 2 รองรับให้ Server หรือ Network Device ทำการ Sync. Time เพื่อมั่นใจได้ว่า เวลาตรงกันทั้งหมด

Log Analyzer
สามารถสร้าง Report แสดงรายงานเชิงปริมาณ เพื่อให้ทราบถึงปริมาณการใช้งานที่มากที่สุด หรือการเปรียบเทียบเชิงปริมาณ เพื่อใช้เป็นประโยชน์ต่อการวิเคราะห์และพัฒนาระบบงานได้เป็นอย่างดี

Permission
สามารถกำหนดสิทธิ์ให้กับ User Admin เช่น จัดการได้เฉพาะบาง Function หรือเฉพาะ Log File หรือการกำหนดระดับการดูแล โดยกำหนดได้ทั้งสิทธิ์ Data Admin และ System Admin

Support Plan

	Level 3	Level 4	Level 5
Software Maintenance*
Basic Support*
Availability
8×5
24×7
Response Time	4	2	Call
Telephone Support*
Remote Support*
Email Support*
Call-Back Hotline
SMS Support*
On Site* (Time)	3	Call	Call
Assistance for the following services
Installation
Setup Device Log Collector (SLG)	< 5	< 10	> 10
Technical Training
Migration
Custom Feature Request Assessment
Monthly Service Report

* Basic Support: Included Email support 24 working hours response availability Monday-Friday 8:00-17:00
* Softnix Customer Portal : Ticket Support, Ticket Follow up, Knowledgebase, Download, Technical Document

What is Softnix Logger ?

Softnix Logger คือระบบจัดการ Log file แบบรวมศูนย์ หรือที่เรียกกันว่า Centralized Log Management . Softnix Logger ทำหน้าที่แบบ SEM – Security Event Management โดยการรวบรวม Log , ระบบสืบค้น, เก็บรักษาอย่างปลอดภัย, มีระบบ Alert เหตุการณ์, ออกรายงาน

Softnix Logger ไม่ใช่ SIM – Security Information Management เนื่องจากระบบ SIM มุ่งเน้นในเรื่องของการวิเคราะห์เหตุการณ์ หาความสัมพันธ์ของเหตุการณ์ และรายงานผลด้านความปลอดภัย รวมทั้งการประเมินความเสี่ยงของภัยคุกคาม โดยข้อมูลของ SIM จะไม่ใช่เฉพาะเพียงข้อมูลของ Log File แต่จะเป็นข้อมูลที่ได้ทั้งหมดเท่าที่จะหาได้ เช่น Network Flow, IDP, Vulnerability Assessment (VA) อื่นๆ เพื่อนำข้อมูลที่ได้มาวิเคราะห์เหตุการณ์ ดังนั้น SIM จึงเหมาะสำหรับองค์กรที่ต้องการระบบบริหารจัดการด้านความปลอดภัยของ IT Network ซึ่งนอกเหนือความต้องการระบบบริหารจัดการ Log File และการเก็บรักษา Log File ที่ปลอดภัย ตามจุดประสงค์ของพรบ.ที่ต้องการให้จัดเก็บ รวมทั้งงบประมาณที่ต้องใช้กับระบบ SIM จะค่อนข้างสูงมาก

ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ

“มีระบบการเก็บรักษาความลับของข้อมูลที่จัดเก็บ และกำหนดชั้นความลับในการเข้าถึงข้อมูลดังกล่าว เพื่อรักษาความน่าเชื่อถือของข้อมูล และไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษา เช่น การเก็บไว้ใน Centralized Log Server หรือการทำ Data Archiving หรือทำ Data Hashing เป็นต้น”

ด้วยเหตุผลข้างต้น Softnix Logger ซึ่งถูกออกแบบให้เหมาะสมกับระบบจัดเก็บ Log File
ตามข้อแนะนำของประกาศกระทรวง ฯ จึงเหมาะสำหรับองค์กรเพื่อใช้เก็บ Log File ตามกฏหมายที่สุด

Features

โครงสร้างการทำงานของ Softnix Logger

Management System
Softnix Logger สามารถบริหารจัดการได้ผ่าน Web Browser ซึ่งสามารถควบคุมได้ผ่านเครือข่าย ง่ายต่อการบริหารจัดการ รองรับการควบคุมได้ทั้งระบบ เช่น การจัดการค่าทาง Network, การสั่ง Restart/Shutdown, และอื่นๆที่จำเป็น

Log Monitoring
เป็นระบบคอยตรวจสอบการทำงานของ Log ที่ถูกส่งมาจาก Device ต่างๆ โดยจะคอยตรวจสอบว่า หากไม่มีการส่ง Log มาเกินช่วงระยะเวลาที่กำหนด จะมีระบบแจ้งเตือน เพื่อป้องกันการที่ Device Log ต่างๆไม่ส่ง Log มา ด้วยสาเหตุที่ไม่คาดคิด

EPS Graphic
EPS (Event Per Second) คือระบบกราฟิกรายงานปริมาณ Log ที่ส่งเข้ามาเทียบต่อวินาที เพื่อดูความหนาแน่นของ Log และประเมินประสิทธิภาพของระบบ โดยระบบของ Softnix Logger รองรับ EPS ได้มากกว่า 1500 EPS โดยขึ้นอยู่กับรุ่นและ Hardware ที่ใช้ติดตั้ง

Data Searching
เป็นระบบค้นหา Log ภายในเครื่องที่รวดเร็ว และยืดหยุ่น โดยสามารถค้นหาได้ตามเงือนไขสำคัญต่างๆ เช่น ค้นหาตาม IP/Hostname ค้นหาตามระดับความสำคัญ ค้นหาตามประเภท Log ค้นหาตามวันเดือนปี และค้นหาตาม Keyword ที่สำคัญตัวอย่างการใช้งานประสิทธิภาพของ Log Query ต่อการค้นหา ติดตาม เหตุการณ์

Data Correlate
เป็นการค้นหาแบบปกติ แต่เพิ่มความสามารถของการเชื่อมโยงคำ เชื่อมโยงเหตุการณ์ เช่น ต้องการค้นหาข้อมูลใน Mail Log โดยต้องการดูว่าผู้ส่งคนนี้ ส่งอีเมล์ไปหาใครบ้างในช่วงเวลาใกล้เคียงกัน หรืออีเมล์ฉบับนั้น (MessageID) ถูกส่งไปหาใครบ้างโดยการ To,CC,BCC เป็นต้น ซึ่งมีความจำเป็นอย่างมากในการตรวจสอบ

Data Integrity
เป็นระบบที่สำคัญที่สามารถยืนยันความถูกต้องของ Logs File ทำให้มีความน่าเชื่อถือสูง โดยระบบจะทำการบันทึก Log File พร้อมกับการทำ Data Hashing และมีรหัสยืนยันความคงสภาพ (MD5) ซึ่งหากมีการแก้ไข Log เพื่อลบร่องรอยโดยผู้ไม่หวังดีในภายหลัง ก็จะทำให้ยืนยันได้ว่า Log นั้นไม่มีความน่าเชื่อถือ ไม่สามารถยึดถือได้

Log Filtering
เป็นระบบที่ออกแบบใช้สำหรับทำการ Filter ตามเงือนไขต่างๆ เพื่อจัดกลุ่ม หรือแยกประเภท อีกทั้งระบบยังรองรับการ Alert แบบเฝ้าระวังตามเหตุการณ์ที่กำหนดไว้ ให้แจ้งเตือนไปยังอีเมล์ เช่น Alert หากมีการโจมตี,การพยายาม Login, RAID มีปัญหา และอื่นๆมากมาย

SFTP Log Collector
นอกจากการจัดเก็บ Log ตาม Syslog แล้ว หากอุปกรณ์ network หรือ Server ไม่รองรับ Syslog แต่สามารถจัดส่ง Log เข้ามาเก็บได้ผ่าน FTP/SFTP ก็สามารถทำได้

System Report
เป็นระบบที่รายงานผลการทำงาน เช่น ปริมาณเหตุการณ์ของ Logs ปริมาณ Log ปริมาณ Network Traffic, ทรัพยากรระบบที่ใช้ไป

System Monitoring
เป็นระบบคอยตรวจสอบข้อผิดพลาดของระบบเพื่อแจ้งเตือนข้อผิดพลาดที่สำคัญ ต่างๆ เช่น การทำงานของระบบที่เกินพิกัด (Over Load), พื้นที่ Harddisk เต็ม, การหยุดการทำงานของระบบบางอย่างที่สำคัญ, และการ Login เข้าใช้งาน Softnix Logger

Network Time (NTP Server)
รองรับการทำหน้าที่เป็น Network Time Server ให้กับเครือข่าย โดยสามารถเช็คเวลา (Time Synchronization) กับเวลามาตราฐาน Stratum 1 ได้ เช่น สถาบันมาตรวิทยาแห่งชาติ

Syslog Agent
รองรับการจัดเก็บ Log จาก Server ที่ไม่รองรับ Syslog เช่นWindows Server Active Directory, Linux Samba, IIS, MS Exchange, ISA Server, Lotus Note โดยการติดตั้ง Syslog Agent ลงบน Server เพื่อจัดส่ง Log มายัง Softnix Logger

Products Edition

Softnix Logger – Software Appliance

ปัจจุบันปัจจัยที่มีผลต่อขนาดหรือระบบ Server ที่เหมาะสมกับการบันทึก Logs นั้นนอกเหนือจากปริมาณขนาดของ Harddisk หรือ Storage Device ที่เหมาะสมที่ต้องจัดเก็บให้เพียงพอต่อ 90 วัน (ขั้นต่ำตามกฏหมาย) ปัจจัยอย่างอื่นยังได้แก่ CPU, RAM ประสิทธิภาพของ LAN Card หรือแม้กระทั่งจำนวน LAN Card ที่อาจจะต้องใช้มากกว่า 1 Interface เพื่อรองรับระบบเครือข่ายที่สลับซับซ้อน Softnix Logger Software Appliance เพิ่มความยืดหยุ่นต่อระบบของลูกค้า โดยสามารถนำ Software Appliance ที่มีฟังก์ชั่นต่างๆเช่นเดียวกับ Hardware Appliance ไปติดตั้งยัง Server ที่เหมาะสมกับระบบเครือข่ายของลูกค้า เช่น Blade Server ,ระบบ Server ที่ใช้ SAN Storage หรือ Server ที่มีอยู่แล้ว โดยมีเสปกของเครื่องดังต่อไปนี้

Hardware Requirement*

CPU Intel Xeon quad-core
Memory 4GB หรือมากกว่า
RAID1 Hard disk 250GB ( รองรับไม่เกิน 5 Device logs **) , 500GB ( รองรับไม่เกิน 20 Device logs **),1TB ( 20 Device logs * ขึ้นไป)
10/100/1000 Mbps Network Card

* เป็น Hardware Requirement เมื่อเทียบกับระบบเครือข่ายองค์กรโดยส่วนใหญ่ ที่มีปริมาณ EPS ไม่เกิน 100 EPS (event per second)
** Device Logs คือ Server หรืออุปกรณ์เครือข่ายที่จะต้องส่ง Log มาเก็บยัง Logger Server

Softnix Logger – Software Appliance Specifications

Compattibility	Flexibility for your network and hardware
Operation System	Softnix OS Based on Linux CentOS 6.3 Hardened
Device Log**	Unlimited
Management	Web Browser
Standard	NECTEC STD. NTS4003.1-2552
** Device Logs คือ Server หรืออุปกรณ์เครือข่ายที่จะต้องส่ง Log มาเก็บยัง Logger Server

ข้อดี
– เลือก Server ที่เหมาะกับความต้องการ
– ระบบปฏิบัติการมีความปลอดภัย
– อับเกรดอุปกรณ์ HW อื่นๆได้ง่ายภายหลัง

Maintenance Services/Support

1 ปี (มีส่วนลดสำหรับการต่ออายุ)
คู่มือการใช้งานและการดูแลระบบ
(8×5) HelpDesk Support ด้วย Tel.,Email,Web Site, Remote
ระบบอับเดท Software อัตโนมัติ
บริการ Onsite Service ด้วยคูปอง
ฟรีค่าติดตั้งสำหรับ Device Logs ไม่เกิน 5 เครื่อง

Softnix Logger Enterprise Edition – Hardware Appliance

The Challenge
Most company must also implement logs management for compliance with Computer Related Crime Act B.E.2550. Most IT managers must be security and reliability solutions for logs retention and offers TCO many times lower than any application-base logs management product. This translates to significant savings in administration, management, and licensing cost

Softnix Logger Enterprise Edition
Softnix Logger designed for centralized logs management in the network. Softnix Logger provide syslog server open-standard platform, this appliance dramatically lowers complexity, reduces the administrative load and easily to manage. Plus, Softnix Logger includes log analysis and reporting features demanded in today’s

Feature

Easy to deploys
Web based and CLI Management
Minimum 90 days raw log retention
Data Integrity with MD5,SHA-1
NTP Server Time Referred
Support forward log to external syslog device such as SIM,SIEM
System alert for log not response
Log indexing and fast searching
System monitoring and alert for critical
Permission access to data
Support standard syslog (rfc3164) and non-standard log such as Windows log
Support Snare agent for non-standard log

Softnix Logger Enterprise Appliance

Server Type	SLG-SA1	SLG-SA2	SLG-SA3
User Environment	Small-Medium	Medium Enterprise	Large Enterprise
Processor	Intel Xeon E3-1200,v2	Intel Xeon E3-1200,v2	Intel Xeon E3-1200,v2
Device Support	Unlimited	Unlimited	Unlimited
EPS	10,000	15,000	30,000
Protocol Support	Syslog,CIFS,NFS,sFTP,FTP	Syslog,CIFS,NFS,sFTP,FTP	Syslog,CIFS,NFS,sFTP,FTP
Memory	8GB	16GB	32GB
Networking	2x Gigabit	2x Gigabit	2x Gigabit
Internal Storage Capacity	500 GB (500GB x 2 – Raid1) 7200 rpm	1TB (1TB x2 – Raid 1) 7200 rpm (hot plug)	2TB-4TB 7200 rpm (hot plug)
External Storage	Support	Support	Support
Power Supply	350 Watt	350 Watt	400 Watt Redundant
Standard	FCC,CE, RoHS	FCC,CE, RoHS	FCC,CE, RoHS
Server Size/Chassis	1U rack height	1U rack height	1U rack height
Maintenance Support	1 year maintenance support include installation, onsite 3 time/year, helpdesk by phone, remote, email, customer portal system
Dimensions	Height 1.7″(43mm), Width 17.2″(437mm), Depth 19.8″(503mm). Supported Rack 19″ Standard

* Appliance platform based on Super Micro, any information can see www.supermicro.com

Deployment

Site-2-Site
การติดตั้งแบบ Site-2-Site เหมาะสำหรับองค์กรที่มีสำนักงานสาขาและสำนักงานใหญ่ โดยกำหนดให้ Server ที่สาขาส่ง Log File มาเก็บที่ Softnix Logger ที่วางที่สาขาตนเอง โดย Softnix Logger ที่สาขาตั้งค่าให้ทำงานแบบ Proxy Mode ระบบจะทำการ Forward ข้อมูลไปยัง Softnix Logger ที่สำนักงานใหญ่แบบ Real Time หรือสามารถกำหนดค่าให้ส่ง Log มาตามช่วงเวลาก็ได้ โดยการกำหนดค่าแบบ Schedule Mode

Multi Subnet
สำหรับองค์กรที่มีหลาย Network สามารถเพิ่ม LAN Card เพื่อรับ Log จาก Server ใน Network ต่างๆที่ต้องการ โดย Softnix Logger รองรับการทำงานทุกๆ Network

VLAN Network
สำหรับเครือข่ายที่เป็น VLAN เช่น Data Center หรือองค์กรขนาดใหญ่ Softnix Logger รองรับมาตรฐาน VLAN 802.1q

Enterprise Solution for Large Scale Network
ระบบนี้รองรับ Server จำนวนมาก เช่น Internet Data Center ที่มี Server จำนวนมาก โดย Softnix Logger Forwarder จะทำหน้าที่รับ Log จาก Server ต่างๆชั่วคราว แล้วตั้งเวลาให้ส่งต่อมายัง Softnix Logger Centralized Server เพื่อจัดเก็บแบบรวมศูนย์ โดยสามารถเพิ่มจำนวน Softnix Logger forwarder ได้มากตามต้องการ เพื่อให้เหมาะสมต่อระบบการทำงาน จากระบบ สามารถมี Indexing Server เพื่อทำหน้าที่ Index Log จาก Centralized Server เพื่อใช้ในการสืบค้น