Log ตาม พรบ คอมพิวเตอร์คืออะไร ?
ผู้เขียนขออธิบายเป็นความหมายง่ายๆ ที่เข้าใจง่าย Log ตาม พรบ คอมพิวเตอร์มีหน้าที่คล้ายกับกล้องวงจรปิดที่คอยเก็บภาพของคนที่เดินไปเดินมา เมื่อเกิดเหตุฉุกเฉินก็จะนำภาพในกล้องนั้นมาเป็นหลักฐานหรือใช้ในการสอบสวนหาคนผิดหรือหาเบาะแส ซึ่งบางครั้งภาพจากกล้องอาจจะนำมาซึ่งการจับคนร้ายได้สำเร็จแต่บางครั้งภาพจากกล้องก็ไม่สามารถนำมาใช้ประโยชน์ได้เลย เพราะคนร้ายอาจจะพรางตัวหรือเดินหลบกล้องเป็นต้น
Mail Server จะเก็บ Log ตาม พรบ อย่างไร ?
Log ในระบบ Mail Server จะมีหน้าที่จัดเก็บ ประวัติการเข้าออกของทุกคนใน Server และต้องมีการจัดเก็บไม่น้อยกว่า 90 วัน หรือประมาณ 3 เดือนโดยประมาณ โดยผู้เขียนขอแยกรายละเอียดที่ต้องเก็บข้อมูล Log เป็น 2 หัวข้อหลักๆดังนี้
ประวัติการรับส่ง Email
- หมายเลข WAN IP ของ User ที่ทำการส่งหรือรับ Email
- Email ผู้ส่ง และ Email ของผู้รับ
- สถานะการรับส่ง เช่น สำเร็จ ไม่สำเร็จ โดนตีกลับ เป็นต้น
- หัวข้อของ Email นั้นๆ (Email Subject)
- วันที่และเวลาในการส่ง Email นั้นๆ
ประวัติการเข้าถึง Email (Access Log)
- ประเภทการเข้าถึง เช่น IMAP (เช่น จากมือถือ),POP (จากโปรแกรม Email Client เช่น Outlook Thunderbird), Webmail
- วันเวลาในการเข้าถึง
- หมายเลข WAN IP ในการเข้าถึง
- Email ที่เข้าถึง
Log นั้นมีประโยชน์มากกว่าการหาตัวคนร้าย
การเก็บ Log ใน Mail Server นั้นทำให้ใช้งานได้ง่าย ผู้ดูแลระบบ (Admin) สามารถเข้าถึงได้รวดเร็วและเป็นความลับหรือมีความปลอดภัยสูง เช่น Admin สามารถตรวจสอบการเข้าถึงข้อมูล Email ได้อย่างรวดเร็ว ย่อมทำให้ Admin สามารถตรวจสอบความผิดปกติได้อย่างทันท่วงที เช่น การเข้าถึงที่ไม่ได้รับอนุญาติ หรือ การเข้าถึงจาก IP ที่ผิดปกติ รวมถึงการรับส่ง Email ที่ผิดปกติไปยังบุคคลที่ไม่ได้รับอนุญาติเป็นต้น ซึ่งอาจจะทำให้ข้อมูลภายในนั้นรั่วไหล
แต่อย่างไรก็ตามจุดประสงค์ของการเก็บ Log นั้นมุ่งเน้นไปยังเพื่อประโยชน์การสอบสวนเข้าเจ้าหน้าที่หรือทีมผู้เชี่ยวชาญ เช่น ในกรณีที่มี Account ใด Account หนึ่งถูก Hack การถามหา Log นั้นจะเป็นสิ่งแรกที่ทีมผู้เชี่ยวชาญหรือเจ้าหน้าที่รัฐเรียกใช้เพื่อการสอบสวน ดังนั้นระบบ Email Server ที่สามารถเรียกดู Log ได้อย่างรวดเร็ว และดูได้ง่ายเป็นระบบ เป็นสิ่งสำคัญอย่างยิ่ง
ปัญหาของการจัดเก็บ Log อย่างไม่เป็นระบบ
Mail Server โดยทั่วไปมักใช้ระบบการจัดเก็บ Log ที่ติดมาพร้อมกับ Server ซึ่งจะเก็บในลักษณะ Hard Log ซึ่งทำให้การเรียกใช้นั้นถูกแปลผลได้ค่อนข้างยาก โดยมีตัวอย่าง Log ดังนี
2022-01-02 16:05:07 1n3wnb-0004Tn-D5 <= a@abc.com H=out8.example.com [123.456.789.10] P=esmtps X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no K S=9583 id=20220102090404.14D02F584D@abc.com T=”subject” from <a@abc.com> for ok@ok.com
2022-01-02 16:05:07 1n3wnb-0004Tn-D5 => ok <ok@ok.com> F=<a@abc.com> R=virtual_user T=virtual_localdelivery S=9714
2022-01-02 16:05:07 1n3wnb-0004Tn-D5 Completed
ซึ่งนี่คือตัวอย่างของ Log เพียงการรับส่งฉบับเดียว ซึ่งหากท่านคิดว่าหากต้องการใช้ Log ในการสืบสวนนั้นต้องใช้ระยะเวลานานแค่ไหนในการแกะ Log ดังนั้นผู้ให้บริการต้องมีระบบให้ตรวจสอบ Log ที่ตรวจสอบได้ง่าย และ Export ด้วยตนเองได้ตลอดเวลา
บทความที่เกี่ยวข้อง
Data Center ของ Mail Server นั้นมีผลต่อความเร็วในการใช้งาน Mail Server แค่ไหน
หากใช้งาน Email Server อยู่จะย้ายผู้ให้บริการได้อย่างไร ?
พื้นที่ (Disk Space) ในการใช้งาน Email Server จำเป็นมากแค่ไหน ?
ทำไมการใช้งานอีเมล์องค์กรถึงใช้ใน Outlook
ปัญหาที่แท้จริงที่ทำให้ Mail Server ส่ง Email ไม่ถึงปลายทาง