Ketika terjadi sebuah insiden keamanan, maka admin jaringan biasanya akan mempelajari file log pada sistem. File log merupakan file yang dibuat oleh sistem berisi informasi semua aktifitas sistem. Dari file log ini sangat banyak informasi yang bisa kita peroleh. Misalnya IP penyerang, bagaimana dia menyerang, tools apa yang digunakan dll.  Untuk itu mengamankan file log sangat penting

Bila penyerang berhasil masuk ke sistem, maka dia bisa saja menghilangkan jejak dengan menghapus atau merubah file log. Terdapat berbagai macam rootkit yang melakukan wipe file log. Teknik pertama yang dapat digunakan untuk mengamankan file log adalah dengan menggunakan remote log server. Remote log server merupakan server khusus yang digunakan untuk menyimpan duplikat dari log komputer kita. Sehingga bila komputer kita diretas dan lognya dihapus, kita dapat mempelajari file duplikat pada remote log server ini. Kita dapat membangun server log ini dari sistem Linux. Tentunya server ini harus dikonfigurasi dulu agar aman. Ada beberapa teknik seperti armoring Linux yang bisa digunakan. Langkahnya misalnya semua layanan dimatikan, hanya menerima akses dari konsol. Selain itu blok port 514 UDP. Atau kita juga dapat melakukan modifikasi pada file syslog. Ada juga teknik secure logging yang dapat digunakan.

Semoga bermanfaat!

bahan bacaan

http://old.honeynet.org/papers/enemy2/index.html

https://eprint.iacr.org/2008/185.pdf

http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf