O que é um log de eventos?

Log de eventos: definição

Em termos computacionais, um evento é qualquer ação ou ocorrência significativas que sejam reconhecidas por um sistema de software. Essa ocorrência pode ter origem em sistemas operacionais, redes, servidores, firewalls, software antivírus, consultas de banco de dados, infraestrutura de hardware etc. Geralmente, o evento é registrado em um arquivo especial chamado log de evento.

Um log de evento é uma lista organizada cronologicamente dos eventos registrados. Observação: "log de eventos" também é um importante componente do Microsoft Windows, mas este artigo aborda o termo genérico usado em todos os sistemas operacionais, incluindo o Windows.

Logs de eventos contêm informações cruciais, dentre elas:

• A data e a hora da ocorrência
• A descrição real do evento
• A gravidade do evento
• A aplicação ou o processo envolvido
• Qualquer código específico para identificar o evento
• Outras informações relevantes, como endereços IP ou nomes de usuário

Essas informações são cruciais para equipes de ITOps, DevOps e SecOps compreenderem o que aconteceu em um sistema; por exemplo, se ele travou, sofreu atividade maliciosa ou se houve falha de infraestrutura.

Neste artigo, examinaremos o que é registrado em um log de evento, por que os logs de eventos são essenciais e quando são usados.

O que um log de eventos contém?

Em sistemas computacionais, um log de eventos captura informações sobre eventos de hardware e de software. Esses logs podem fazer parte do sistema operacional ou serem específicos de uma aplicação.

Sistemas operacionais

Por exemplo, as entradas do Log de eventos do Windows são geradas em qualquer computador que execute o sistema operacional Windows. Geralmente, esses eventos são classificados como uma destas três categorias:

1. Eventos relacionados ao sistema capturam eventos do próprio sistema operacional
2. Eventos de aplicação registrados por aplicações executadas na máquina Windows
3. Eventos de segurança que capturam eventos de login e logout

De forma semelhante ao Linux, o processo do Syslog (ou rsyslog ou registra eventos relacionados tanto ao sistema operacional quanto à aplicação. Nas distros Red Hat Linux, geralmente log de evento é o arquivo /var/log/messages.

Aplicações, servidores e rede

Um evento de banco de dados registra informações como:

• Solicitações de evento
• Mensagens internas geradas pelo mecanismo de banco de dados
• Consultas iniciadas pelo usuário
• Solicitações de API
• … e assim por diante.

O log de erros do SQL Server (geralmente chamado ERRORLOG) é um exemplo de log de evento de banco de dados.

Servidores web como Apache ou Nginx registram seus eventos em  access.log e  error.log . O log de acesso registra conexões do servidor web, e o log de erro contém mensagens de erro geradas pelo próprio software.

No domínio da rede, um log de eventos do roteador registra eventos de tráfego de rede e mudanças na configuração do roteador. Enquanto isso, um log de eventos de firewall registra eventos como tráfego bloqueado em portas específicas.

Serviços de nuvem

No contexto dos serviços de nuvem, os logs de eventos como AWS CloudTrail, CloudWatch Log ou AWS Config registram eventos enviados por diferentes serviços. Exemplos: eventos de banco de dados de instâncias RDS ou a saída de uma função sem servidor do Lambda.

Campos comuns do log de eventos

Um log de eventos é um arquivo estruturado que contém registros dos dados do evento. Geralmente, um log de eventos terá um conjunto de campos em comum para cada evento. Esses campos podem ser:

• A classificação e o nível de gravidade do evento. Exemplos: 'informações gerais", "aviso" ou "erro crítico".
• O carimbo de data/hora do evento
• A origem do evento, por exemplo, hardware, software, sistema operacional, módulo da aplicação, biblioteca ou endereço IP remoto
• Campo opcional: o destino do evento, que pode ser uma aplicação, um endereço IP ou algum outro local
• Campo opcional: número do evento, que identifica o evento de forma exclusiva; por exemplo, o código de erro interno do servidor da Web
• O nome do usuário que gerou as ações
• A descrição do evento

A finalidade desses campos é fornecer todas as informações relevantes relacionadas ao evento, para fins de análise.

Como os logs de evento são preenchidos?

Todos os sistemas operacionais — e a maior parte das aplicações — geram os próprios logs de eventos. Na maioria dos casos, os logs continuarão sendo gravados no mesmo arquivo, e um novo arquivo será iniciado quando o limite de tamanho do arquivo for atingido. O registro em log pode ser prolixo ou conciso. A forma como o log de eventos de cada aplicação é preenchido depende de como a aplicação está configurada para enviar seus eventos para o log.

Geralmente, os administradores de sistema definem a configuração do registro em log de eventos para cada aplicação que estão gerenciando. Os parâmetros de configuração podem incluir nome do arquivo de log, campos relacionados ao evento para captura, período de retenção dos eventos, nível mínimo de gravidade a ser registrado, fuso horário etc.

Os desenvolvedores de software também utilizam logs para capturar informações de evento das aplicações personalizadas que estão desenvolvendo. De fato, qualquer aplicação personalizada pode enviar seus eventos para o log de eventos de sistema operacional, desde que a aplicação acesse o log e chame a API relacionada para publicar os dados. Por exemplo, na linguagem T-SQL para Microsoft SQL Server, eventos de aplicação personalizada de banco de dados podem ser enviados para o log de eventos de aplicação do Windows.

Por que os logs de evento são importantes?

Os logs de evento são essenciais para a análise de causa-raiz de problemas e incidentes, estejam relacionados a falhas do hardware, erros do sistema operacional, ataques de segurança, falhas da aplicação ou degradação do desempenho. A forma mais eficaz de engenheiros e equipes operacionais rastrearem a causa-raiz de um problema é analisando nos arquivos de log os eventos que precederam o incidente em questão.

A solução de problemas também pode envolver a correlação e a análise de vários logs de eventos.

Ao agregar e correlacionar dados de logs de eventos de diferentes componentes, o responsável pela solução de problemas pode construir um panorama completo desse sistema. Um gerenciamento de log moderno utiliza ingestão de vários logs de eventos para a revelação de tendências, anomalias e padrões. Essa abordagem tornou-se necessária em sistemas distribuídos complexos, nos quais nem sempre é possível detectar um problema analisando um único log.

Esse tipo de compilação e análise avançadas é um componente essencial da observabilidade do sistema, que é a capacidade de mensurar o estado interno atual de um sistema com base nos dados que ele gera — incluindo logs de eventos.

Descubra a plataforma nativa de IA líder global para SIEM e gerenciamento de log de última geração

Eleve sua cibersegurança com o CrowdStrike Falcon^®, a principal plataforma nativa de IA para SIEM e gerenciamento de log. Experimente registro de log de segurança em uma escala de petabytes, optando por nativo em nuvem ou implementação auto-hospedada. Registre seus dados com uma arquitetura avançada e livre de índices, sem gargalos e que permite investigação de ameaças com mais de 1 PB de ingestão de dados por dia. Assegure capacidades de pesquisa em tempo real para superar os adversários, atingindo latência de menos de um segundo para consultas complexas. Aproveite uma visibilidade completa, consolidando os dados para quebrar silos e possibilitar que as equipes de segurança, TI e DevOps investiguem ameaças, monitorem o desempenho e garantam a conformidade perfeitamente em 3 bilhões de eventos e em menos de um segundo.