LogManager è il nostro apparecchio che permette a un’azienda o a uno studio professionale di essere in regola con il provvedimento del garante del novembre 2008 relativo alla nomina dell’amministratore di sistema e della tenuta di un log certificato e non modificabile degli accessi.

Log Manager usa lo standard Syslog per registrare tutti gli eventi dai computer e server presenti sulla rete locale. Sui sistemi Windows è necessario installare un servizio (150Kb) che registra tutti i log su Log manager. Questa installazione si rende necessaria poiché il sistema di log di Windows non è standard a differenza, ad esempio, di Mac OS X o altri sistemi linux dove non è necessaria alcuna installazione, ma solo la configurazione del servizio Syslog già presente.

Il servizio da installare è assolutamente non intrusivo ed occupa pochissimo a livello di tempi di processo o potenza del processore.

La Dashboard di LogManager è il centro di controllo di tutto il sistema. Da qui si possono vedere tutti i dispositivi di cui il Log manager sta tracciando i log. L’amministratore di sistema ha la visualizzazione completa di tutti i log che vengono automaticamente suddivisi in errori, info, notices e warning. In questo modo sarà anche possibile fare una diagnostica di rete o del sistema e controllare che tutti i dispositivi funzionino correttamente. Ovviamente é anche possibile fare delle ricerche specifiche per dispositivo o per tipologia di evento per ricercare qualche informazione pertinente a un problema che si sta cercando di isolare.

I log rimangono online per un tempo che va da 6 a 24 mesi. Essi vengono archiviati secondo una scadenza che può essere giornaliera, settimanale o mensile. L’archivio verrà registrato con allegata la certificazione generata dal Log manager stesso (certificato digitale) e quella di Verisign (data certa) in modo che, se ci dovesse essere un controllo, i log soddisfino tutti i requisiti richiesti dal Garante.

Tutti i log sono registrati in un archivio eseguibile con i certificati allegati. L’archivio contiene i log in formato sql (dati e struttura) e xml e viene aggiunto anche un file .txt che specifica lo scostamento tra l’orario del Log Manager e quello di un server NTP specificato in fase di configurazione.

In questa finestra, a cui si accede tramite un semplice browser dopo avere inserito nome utente e password,

La Dashboard di Log Manager

La Dashboard di Log Manager

si può vedere la Dashboard. Per ogni postazione sono riportati tutti gli avvisi suddivisi per tipologia. Cliccando ad esempio sull’icona della X che definisce gli errori a destra di una delle postazioni, appare questa finestra che permette di visualizzare il log relativo

il log degli errori di una postazione

il log degli errori di una postazione

L’amministratore, tramite il tab Query, può fare qualsiasi tipo di ricerca sul log, come si può vedere qui sotto

La possibilità delle ricerche sui log

La possibilità delle ricerche sui log

e queste ricerche possono essere anche ristrette a una tipologia di log, a una macchina specifica o a un’applicazione specifica; è inoltre possibile settare un determinato intervallo di tempo entro il quale effettuare le ricerche. Le ricerche possono anche, tramite il tab Reports, essere salvate in modo che siano richiamabili tramite un semplice click senza dovere impostare nuovamente tutti i termini.

Ecco invece, nella figura sottstante, una vista dei log archiviati che sono in formato .exe perché la norma richiede specificatamente che i log non siano modificabili e la data e l’ora siano certificate digitalmente. Dall’archivio .exe si possono estrarre e consultare i singoli log ma quelli originali non possono in alcun modo essere modificati e la certificazione del tempo è controfirmata e asseverata da Verisign.

I log archiviati e certificati da Verisign

I log archiviati e certificati da Verisign

Ricordiamo che, da quanto stabilisce la legge

Gli access log devono avere le caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste; ciò vuol dire che le registrazioni devono avere i riferimenti temporali certi e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo (non inferiore a sei mesi).