Lokitiedon merkitys käyttöjärjestelmän asennuksessa SCCM-ympäristössä
Tolonen, Jarkko (2017)
Tolonen, Jarkko
Kajaanin ammattikorkeakoulu
2017
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201705158187
https://urn.fi/URN:NBN:fi:amk-201705158187
Tiivistelmä
Lokien avulla kerätään tietoa systeemin prosesseista. Lokitietoa kerätään sekä laitteistosta kuin myös ohjelmistoista. Loki sisältää usein aikaleiman, käyttäjätiedon, systeemin käyttötarkoituksen, virheilmoituksia ja varoituksia. Lokeja hyödynnetään järjestelmän käytön analysoimiseen jälkikäteen tai lähes reaaliajassa. Lokitietoa voidaan käyttää hyväksi, kun tutkitaan ulkopuolisen käyttäjän tunkeutumista järjestelmään. Lokeja voidaan käyttää myös järjestelmän käyttäjän tukena, jos epäillään väärinkäytöksiä organisaation sisällä. Lokien tulisi sisältää merkityksellistä tietoa, eikä niiden tulisi haitata työntekoa.
Miksi lokeja kerätään? Usein lokitieto on ainoa paikka, johon tunkeutuja jättää jälkiä. Järjestelmän ylläpitäjän tulee tiedostaa, ettei lokeja synny aina automaattisesti. Lokitieto tulisi tallentaa niille tarkoitettuun palvelimeen salatun linjan avulla. Lokien lähettämiseen koneelta toiselle tulisi käyttää mahdollisimman vähän verkkolaitteita. Joissain tapauksissa tunkeutuja voi aiheuttaa lokitiedoston merkittävän koon kasvun, joten lokeja varten tulee olla varattuna tarpeeksi tilaa.
Organisaatiossa lokeja varten tulisi olla eri ylläpitäjä kuin varsinaisella systeemillä. Lokitieto voi sisältää henkilökohtaista tietoa käyttäjistä, mikä tulee ottaa huomioon lokien käsittelyssä. Kaikilla lokitiedoilla tulee olla sama aikaleima, jotta lokeja voidaan verrata toisiinsa. Usein organisaatio keskittyy epäonnistuneisiin kirjautumisiin, mutta myös onnistuneet kirjautumiset lokeissa tulisi ottaa huomioon. On mahdollista, että tunkeutujalla on tarvittava tieto kirjautua järjestelmään, mikä näkyy normaalina käytöksenä järjestelmässä.
Tämä opinnäytteen tavoite on tutkia SCCM:n avulla toteutetun käyttöjärjestelmäasennuksen synnyttämiä lokitietoja ja niiden hyödynnettävyyttä. SCCM on ohjelmistokokonaisuus, jota organisaatio voi käyttää ohjelmistojen keskitettyyn hallintaan. SCCM kerää automaattisesti lokeja, myös käyttöjärjestelmien asentamisesta, ja tässä työssä pyritään selvittämään kyseisten lokien hyöty lähinnä ongelmatilanteissa. Käyttöjärjestelmä asennetaan Zero Touch asennuksena siten, että käyttöjärjestelmän lisäksi SCCM:n avulla asennetaan samalla halutut ohjelmistot. Zero Touch asennus tarkoittaa, ettei käyttäjä ole interaktiossa asennukseen. Zero Touch asennus on hyödyllinen suurissa organisaatioissa, mutta helpottaa IT-osaston ylläpitotöitä pienemmässäkin mitta-kaavassa.
Miksi lokeja kerätään? Usein lokitieto on ainoa paikka, johon tunkeutuja jättää jälkiä. Järjestelmän ylläpitäjän tulee tiedostaa, ettei lokeja synny aina automaattisesti. Lokitieto tulisi tallentaa niille tarkoitettuun palvelimeen salatun linjan avulla. Lokien lähettämiseen koneelta toiselle tulisi käyttää mahdollisimman vähän verkkolaitteita. Joissain tapauksissa tunkeutuja voi aiheuttaa lokitiedoston merkittävän koon kasvun, joten lokeja varten tulee olla varattuna tarpeeksi tilaa.
Organisaatiossa lokeja varten tulisi olla eri ylläpitäjä kuin varsinaisella systeemillä. Lokitieto voi sisältää henkilökohtaista tietoa käyttäjistä, mikä tulee ottaa huomioon lokien käsittelyssä. Kaikilla lokitiedoilla tulee olla sama aikaleima, jotta lokeja voidaan verrata toisiinsa. Usein organisaatio keskittyy epäonnistuneisiin kirjautumisiin, mutta myös onnistuneet kirjautumiset lokeissa tulisi ottaa huomioon. On mahdollista, että tunkeutujalla on tarvittava tieto kirjautua järjestelmään, mikä näkyy normaalina käytöksenä järjestelmässä.
Tämä opinnäytteen tavoite on tutkia SCCM:n avulla toteutetun käyttöjärjestelmäasennuksen synnyttämiä lokitietoja ja niiden hyödynnettävyyttä. SCCM on ohjelmistokokonaisuus, jota organisaatio voi käyttää ohjelmistojen keskitettyyn hallintaan. SCCM kerää automaattisesti lokeja, myös käyttöjärjestelmien asentamisesta, ja tässä työssä pyritään selvittämään kyseisten lokien hyöty lähinnä ongelmatilanteissa. Käyttöjärjestelmä asennetaan Zero Touch asennuksena siten, että käyttöjärjestelmän lisäksi SCCM:n avulla asennetaan samalla halutut ohjelmistot. Zero Touch asennus tarkoittaa, ettei käyttäjä ole interaktiossa asennukseen. Zero Touch asennus on hyödyllinen suurissa organisaatioissa, mutta helpottaa IT-osaston ylläpitotöitä pienemmässäkin mitta-kaavassa.