En la gestión e inteligencia de registros informáticos , el análisis de registros (o análisis de registros de sistemas y redes ) es un arte y una ciencia que busca dar sentido a los registros generados por computadora (también llamados registros de registro o de pista de auditoría ). El proceso de creación de dichos registros se denomina registro de datos .
Las razones típicas por las que las personas realizan análisis de registros son:
Los registros son emitidos por dispositivos de red, sistemas operativos, aplicaciones y todo tipo de dispositivos inteligentes o programables. Un flujo de mensajes en secuencia temporal suele estar formado por un registro. Los registros pueden dirigirse a archivos y almacenarse en un disco o dirigirse como un flujo de red a un recopilador de registros.
Los mensajes de registro generalmente deben interpretarse en relación con el estado interno de su fuente (por ejemplo, la aplicación) y anunciar eventos relevantes para la seguridad o las operaciones (por ejemplo, un inicio de sesión de usuario o un error del sistema).
Los desarrolladores de software suelen crear registros para ayudar a depurar el funcionamiento de una aplicación o comprender cómo interactúan los usuarios con un sistema, como un motor de búsqueda. La sintaxis y la semántica de los datos incluidos en los mensajes de registro suelen ser específicas de la aplicación o del proveedor. La terminología también puede variar; por ejemplo, la autenticación de un usuario en una aplicación puede describirse como un inicio de sesión, una conexión de usuario o un evento de autenticación. Por lo tanto, el análisis de registros debe interpretar los mensajes dentro del contexto de una aplicación, un proveedor, un sistema o una configuración para realizar comparaciones útiles con los mensajes de diferentes fuentes de registros.
Es posible que el formato o el contenido de los mensajes de registro no siempre estén completamente documentados. Una de las tareas del analista de registros es inducir al sistema a emitir la gama completa de mensajes para comprender el dominio completo desde el cual se deben interpretar los mensajes.
Un analista de registros puede mapear terminología variada de diferentes fuentes de registros en una terminología uniforme y normalizada de modo que se puedan derivar informes y estadísticas de un entorno heterogéneo. Por ejemplo, los mensajes de registro de Windows, Unix, firewalls de red y bases de datos se pueden agregar en un informe "normalizado" para el auditor. Diferentes sistemas pueden señalar diferentes prioridades de mensajes con un vocabulario diferente, como "error" y "advertencia" frente a "err", "advertir" y "crítico".
Por lo tanto, las prácticas de análisis de registros existen en el continuo que va desde la recuperación de texto hasta la ingeniería inversa de software.
El reconocimiento de patrones es una función que consiste en seleccionar mensajes entrantes y compararlos con un libro de patrones para filtrarlos o manejarlos de diferentes maneras.
La normalización es la función de convertir partes del mensaje al mismo formato (por ejemplo, formato de fecha común o dirección IP normalizada).
La clasificación y el etiquetado consisten en ordenar los mensajes en diferentes clases o etiquetarlos con diferentes palabras clave para su uso posterior (por ejemplo, filtrado o visualización).
El análisis de correlación es una tecnología que permite recopilar mensajes de diferentes sistemas y encontrar todos los mensajes que pertenecen a un único evento (por ejemplo, mensajes generados por actividades maliciosas en diferentes sistemas: dispositivos de red, cortafuegos, servidores, etc.). Generalmente está conectado con sistemas de alerta.
La ignorancia artificial es un tipo de aprendizaje automático que consiste en descartar entradas de registro que se sabe que no son interesantes. La ignorancia artificial es un método para detectar anomalías en un sistema en funcionamiento. En el análisis de registros, esto significa reconocer e ignorar los mensajes de registro habituales y comunes que resultan del funcionamiento normal del sistema y, por lo tanto, no son demasiado interesantes. Sin embargo, los mensajes nuevos que no han aparecido antes en los registros pueden indicar eventos importantes y, por lo tanto, deben investigarse. [1] [2] Además de las anomalías, el algoritmo identificará eventos comunes que no ocurrieron. Por ejemplo, una actualización del sistema que se ejecuta todas las semanas no se ha ejecutado.
El análisis de registros suele compararse con otras herramientas de análisis, como la gestión del rendimiento de aplicaciones (APM) y la supervisión de errores. Si bien gran parte de sus funciones se superponen claramente, la diferencia radica en el proceso. APM hace hincapié en el rendimiento y se utiliza principalmente en producción. La supervisión de errores está impulsada por los desarrolladores en lugar de por las operaciones, y se integra en el código en bloques de gestión de excepciones .