Guida

Cosa sono i file log e perché con il log management si garantisce la sicurezza informatica

Home TechTarget Search Security
Indirizzo copiato

I file di log registrano informazioni importantissime in merito alle attività implicite ed esplicite di un qualsiasi sistema informatico hardware e software. Questo tipo di record riporta tutte le informazioni sul normale funzionamento di una macchina o di un programma, aiutando a intercettare anomalie e problemi, supportando la sicurezza

Aggiornato il 14 mar 2025
Cosa sono i file log e perché sono importanti per la sicurezza informatica
  • I file di log sono una risorsa preziosa per chiunque gestisca un sistema informatico.
  • Possono essere utilizzati per migliorare la sicurezza, le prestazioni e la conformità.
  • Leggi come analizzare i file di log per sfruttare appieno i loro vantaggi.

Che cosa sono i log e i file log e perché sono così importanti? Poniamo di avere necessità di conoscere la storia delle operazioni che sono state svolte su un dispositivo come un computer, per verificare anomalie o eventuali attacchi informatici malevoli. in poche parole, abbiamo bisogno di leggere le informazioni che riguardano tutte le operazioni che sono state svolte giorno per giorno e ora per ora: e il modo migliore per farlo, consiste nel leggere le pagine del suo diario di bordo, rappresentate dai file di log.

Un log, che troviamo sotto forma di file, rappresenta la registrazione sequenziale e cronologica delle operazioni effettuate da un sistema informatico (server, storage, client, applicazioni o qualsiasi altro dispositivo informatizzato o programma).

Queste operazioni possono essere effettuate da un utente, oppure avvenire in modo totalmente automatizzato. Le procedure di logging sono tipicamente quelle attività attraverso cui un sistema operativo o un’applicazione registrano gli eventi e li memorizzano. Queste registrazioni sono chiamate, per l’appunto, file di log.

Cosa sono i file di log e a cosa servono

I file di log sono file che contengono messaggi relativi al sistema, compreso il kernel (il cuore del sistema operativo), i servizi e le applicazioni in funzione.

I record conservano tutte le informazioni sul normale funzionamento della macchina e, soprattutto, le registrazioni di errori e problemi.

La riga di un file di log inizia sempre con l’indicazione del momento in cui viene effettuata la registrazione, il nome del computer su cui gira il programma che ha generato il log, spesso anche il nome del programma stesso. A seconda del sistema di logging, cambia la tipologia di informazioni.

Un file di log, dunque, è sequenziale e sempre aperto alla scrittura. Una volta chiuso, viene conservato con una periodicità regolare, diventando così disponibile a supporto delle attività di monitoraggio (logging) e di amministrazione funzionale.

Leggendo i file di log, insomma, si ottengono informazioni e dati importanti.

Security-Information-and-Event-Management

Esistono vari tipi di file di log: il file di log predefinito per il sistema, il file di log relativo ai messaggi associati alla sicurezza e riservatezza dei dati, ecc.

I file di log, dunque, possono rivelarsi molto utili a supporto della diagnostica, accelerando la risoluzione dei problemi legati all’uso dei sistemi. Un caso per tutti? Quando si va a cercare un log non autorizzato.

Dove si trovano i file log

Dove trovo i file di log? La gran parte dei file di log si trova nella directory /var/log/. Applicazioni come, per esempio, httpd e samba hanno una directory all’interno di /var/log/ riservata ai loro file di log.

Microsoft rende noto, in particolare, che per visualizzare i file di log è necessario configurare “Esplora file” per la visualizzazione degli elementi nascosti oppure è possibile utilizzare un tool per raccogliere automaticamente tale file.

Nel mondo Mac, si può usare il comando log in Terminale o l’app Console per visualizzare i log.

L’importanza dei log per la sicurezza informatica

La gestione dei file log permette di monitorare una serie di attività tra cui gli accessi al sistema effettuati in un dato lasso temporale (evidenziando anche quelli avvenuti fuori dall’orario di lavoro, quelli non andati a buon fine o quelli tramite VPN), le transazioni fallite, eventuali anomalie (sia software che hardware) e possibili minacce malware.

I log, in sintesi, sono un asset importanti per far fronte efficacemente alle necessità di data protection e continuità di servizio. Non solo: a livello internazionale, tutte le normative sulla sicurezza informatica prevedono la creazione di precise policy di logging. Risulta pertanto di facile intuizione comprendere il motivo per cui i log rappresentino un asset fondamentale per far fronte efficacemente alle necessità di sicurezza e compliance aziendale.

Il mercato del Log Management

Non a caso le previsioni degli analisti dicono che il mercato del Log Management dovrebbe crescere da 2,3 miliardi di dollari del 2021 a 4,1 miliardi di dollari entro il 2026, a un tasso di crescita annuale composto (CAGR) dell’11,9% dal 2021 al 2026 (Fonte: MarketsandMarkets 2017).

Negli ultimi anni, infatti, il mondo IT è stato protagonista di una vera e propria rivoluzione: tecnologia mobile, BYOD (ossia Bring your own device, usare i propri dispositivi per il lavoro), cloud e Internet of Things hanno aumentato in maniera esponenziale la quantità di dati in circolazione sulle reti e le operazioni IT nelle aziende, di conseguenza, sono diventate via via più complesse.

In questo contesto sempre più caotico, è cresciuto il bisogno di garantire sicurezza informatica, protezione dei dati e continuità di servizio. Il Log Management rappresenta un efficace strumento per far fronte a queste necessità in maniera semplice ed funzionale.

Security-intelligence file log

Attraverso un buon sistema di Log Management, le aziende possono soddisfare le disposizioni normative, contare su uno strumento ottimale di monitoraggio e controllo, sfruttare i benefici della Business Intelligence e garantire alti standard di sicurezza.

Il regolamento GDPR per i File log

Il GDPR ha comportato importanti modifiche al modo di rapportarsi con i log file. Prima essi erano una necessità per amministratori di sistema, ed in certi casi già un obbligo. Con il GDPR sono diventati uno strumento necessario e a cui le aziende non possono rinunciare.

Il Regolamento richiede in pratica che resti traccia delle operazioni effettuate sui dati. Questo affinché, in casi di controllo, sia possibile dimostrare che si sono compiute tutte le azioni di tutela. In questo senso salvare i log file è molto utile.

Nello specifico, per il Garante della Privacy i log file devono essere completi, includendo chi compie azioni ma anche solo chi accede ai dati in consultazione. Devono essere poi inalterabili e verificabili (cioè abilitare il controllo del corretto utilizzo dei dati).

file log

Gli errori commessi dalle aziende a proposito di file log

Nonostante tutti i benefici sopra descritti, la gestione dei log sembra essere ancora troppo spesso sottovalutata dalle aziende. Esse, quando ricorrono a una soluzione di Log Management, rischiano di arrivare già tardi. Le aziende, infatti, sfruttano questo sistema quando ormai il problema o l’attacco hacker si è verificato. Non solo.

Può capitare anche di dover fornire in modo rapido ed efficace precise informazioni ai dirigenti aziendali o perfino alle forze dell’ordine. Si tratta di situazioni in cui un sistema di Log Management offre la possibilità di far fronte alle necessità in modo semplice e rapido.

file log

I vantaggi del Log Management

Le soluzioni di Log Management sono in grado di fornire snapshot sullo stato degli host e dei servizi. Danno evidenza di eventuali comportamenti insoliti che potrebbero rivelarsi indizi di pericolo. Non solo.

Avere a disposizione una copia remota dei file di log permette di analizzare eventuali problemi relativi a un dato sistema. Anche se quest’ultimo non dovesse risultare accessibile. E di evitare la perdita dei dati (sia nel caso di un guasto hardware che software).

Corrette prassi di Log Management, inoltre, possono apportare benefici non soltanto in termini strettamente operativi, ma anche dal punto di vista del marketing. I dati, come è noto, rappresentano un valore prezioso per il business.

Il Log Management può fornire importanti informazioni relative alle abitudini e alle tempistiche di accesso ai relativi portali web, alle pagine più visitate e alle comunicazioni che entrano ed escono dall’azienda.

Come analizzare i file log

Analizzare file log significa fare l’analisi della lista delle richieste di accesso che vengono effettuate al WebServer che ospita il sito. Per ciascuna di tali richieste sono solitamente indicate:

  1. data e ora,
  2. URL,
  3. User agent,
  4. indirizzo IP dello user agent,
  5. status code,
  6. tempo di risposta del server,
  7. pagina dalla quale lo user proviene e ampiezza di quella richiesta.

Tra le prime cose da capire a proposito dello user da cui parte la richiesta vi è individuare se il sito è scansionato da bot dannosi o inutili. Questo per impedire il loro accesso e alleggerire il server.

Analizzare gli URL serve per capire la velocità del sito, se ci sono pagine troppo grandi, lente e così via.

L’analisi delle directory serve a scansionare le directoy ritenute più importanti per la propria organizzazione. Ugualmente è necessario capire, mediante l’osservazione degli status code, se vi sono link rotti e quanto questi siano ancora utilizzati.

In pratica, analizzare i file di log, oltre che per capire quali pagine sono visitate di più e con che frequenza, è utile per controllare se vi sono bug nel codice software online e ricercare falle nella sicurezza. Inoltre, serve per raccogliere dati sugli utenti del sito e migliorare la user experience.

Intelligenza artificiale per l’analisi automatizzata dei log

Parallelamente, l’adozione dell’intelligenza artificiale nell’analisi dei file di log sta rivoluzionando il settore. Progetti come LogPrécis utilizzano modelli di linguaggio avanzati per analizzare automaticamente i log delle sessioni shell Unix, identificando e classificando le tattiche degli attaccanti.

Questa automazione consente di gestire enormi volumi di dati, riducendo il carico di lavoro degli analisti e migliorando l’efficacia nella rilevazione delle minacce. L’intelligenza artificiale applicata al log management rappresenta quindi una delle soluzioni più promettenti per incrementare la sicurezza e ridurre il tempo necessario per individuare e rispondere agli attacchi.

L’integrazione di standard come IDMEFv2 e l’uso dell’AI per il monitoraggio dei log sono passi fondamentali per affrontare le sfide della sicurezza informatica moderna, garantendo una maggiore efficienza operativa e una capacità di risposta più tempestiva agli incidenti.

Gestione dei file log e conformità alla NIS2

La NIS2 impone agli enti regolati di implementare misure di gestione del rischio per la sicurezza delle reti e dei sistemi informativi. Tra queste, la gestione dei log gioca un ruolo chiave per:

  1. Monitoraggio continuo e rilevamento delle minacce
    • La direttiva richiede alle organizzazioni di implementare sistemi di monitoraggio attivi, capaci di identificare in tempo reale attività sospette o potenziali violazioni di sicurezza.
    • I log diventano una fonte primaria di evidenze, permettendo di tracciare l’attività degli utenti, individuare anomalie e rispondere prontamente agli incidenti.
  2. Registrazione e conservazione dei log per audit e compliance
    • La NIS2 stabilisce che le aziende devono documentare e conservare i log per un periodo adeguato, per dimostrare la conformità e facilitare le indagini post-incidente.
    • I log devono essere protetti contro manomissioni e accessibili solo a personale autorizzato.
  3. Segnalazione tempestiva degli incidenti
    • La direttiva impone che le aziende segnalino gli incidenti di sicurezza alle autorità competenti entro 24 ore dalla scoperta.
    • Una gestione avanzata dei log consente di identificare rapidamente l’origine di un attacco e fornire alle autorità un quadro chiaro dell’incidente.

Strumenti tecnologici per allinearsi alla NIS2

Per rispettare la NIS2, le aziende stanno adottando soluzioni avanzate di log management e SIEM (Security Information and Event Management). Integrando SIM (una soluzione che automatizza il processo di raccolta e gestione dei file log – ma non in tempo reale) e il SEM (una soluzione che in tempo reale provede al monitoraggio e alla gestione degli eventi), il principio chiave del SIEM è un monitoraggio evoluto, basato sulla capacità di aggregare dati significativi, provenienti da molteplici fonti, stabilendo in tempo reale analisi e correlazioni finalizzate a individuare comportamenti anomali, segnali critici e a generare allarmi, rispondendo
alle esigenze di incident response, compliance e analisi forensi.

Sistemi di log management e SIEM consentono di:

  • Raccogliere e centralizzare i log da diverse fonti IT.
  • Analizzare automaticamente i dati per identificare minacce e anomalie.
  • Generare report di conformità per facilitare le ispezioni regolatorie.

In sintesi, la gestione efficace dei log è una componente cruciale per rispettare la NIS2, garantendo maggiore trasparenza, sicurezza e capacità di risposta agli incidenti.

Clicca per ingrandire la visualizzazione

Originariamente pubblicato il 6 set 2022
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

foto Laura Zanotti
Laura Zanotti

Ha iniziato a lavorare come technical writer e giornalista negli anni '80, collaborando con tutte le nascenti riviste di informatica e Telco. In oltre 30 anni di attività ha intervistato centinaia di Cio, Ceo e manager, raccontando le innovazioni, i problemi e le strategie vincenti delle imprese nazionali e multinazionali alle prese con la progressiva convergenza tra mondo analogico e digitale. E ancora oggi continua a farlo…

Argomenti

Canali

Speciale Digital Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

  • Guida

    Cos’è l’intelligenza artificiale: applicazioni attuali e future

    16 Ott 2024

    di Patrizia Fabbri

    Condividi

  • REPORT

    Cybersecurity, attacchi al cloud in aumento. Solo il 4% delle aziende riesce a mitigarli in modo rapido

    25 Set 2024

    di Redazione

    Condividi

  • SMEUP POINT OF VIEW

    Cloud First: una strategia vincente per il futuro digitale delle aziende

    31 Lug 2024

    di SmeUp .

    Condividi

  • HPE POINT OF VIEW

    Benvenuti nell’era del workload-first: dalla scalabilità al controllo dei costi

    19 Apr 2024

    di Redazione

    Condividi

Prossimo

Cos’è l’intelligenza artificiale: applicazioni attuali e future

Articolo 1 di 5