GH GambleHub

लॉगिंग और लॉगिंग

1) हमें लॉग और प्रोटोकॉल की आवश्यकता क्यों है

लॉग संगठन के "ब्लैक बॉक्स" हैं: वे ऑडिट और जांच के लिए सबूत प्रदान करते हैं, परिचालन और विनियामक जोखिम को कम करते हैं, आपको घटनाओं के पाठ्यक्रम को बहाल करने और नीतियों के निष्पादन की पुष्टि करने की अनुमति देते हैं।

उद्देश्य:
  • अनुरेखण क्रियाएँ (कौन/क्या/कब/कहाँ/क्यों/क्या)।
  • हादसे का पता लगाना और नियंत्रण (जासूसी और निवारक नियंत्रण)।
  • नियामकों/लेखा परीक्षकों (अपरिवर्तनीयता) के लिए साक्ष्य आधार
  • एसएलए/एसएलओ प्रदर्शन और अनुपालन एनालिटिक्स।

2) लॉग की वर्गीकरण (न्यूनतम कवरेज)

एक्सेस एंड आइडेंटिटीज (IAM/IGA): प्रमाणीकरण, भूमिका उलट, SoD, JIT एक्सेसेस।

इन्फ्रास्ट्रक्चर/क्लाउड/आईएसी: एपीआई कॉल, कॉन्फ़िगरेशन ड्रिफ्ट, केएमएस/एचएसएम इवेंट।

अनुप्रयोग/व्यवसाय - लेनदेन, पीआई/वित्तीय, क्वेरी लाइफ साइकिल (डीएसएआर)

सुरक्षा: आईडीएस/आईपीएस, ईडीआर, डीएलपी/ईडीआरएम, डब्ल्यूएएफ, कमजोरियां/पैच, एंटीवायरस।

नेटवर्क: फ़ायरवॉल, वीपीएन/जीरो ट्रस्ट, प्रॉक्सी, डीएनएस।

CI/CD/DevSecOps: बिल्ड, डेप्ला, SAST/DAST/SCA, गुप्त स्कैन।

डेटा/एनालिटिक्स: वंश, स्टोरफ्रंट एक्सेस, मास्किंग/गुमनामी।

संचालन: आईटीएसएम/टिकट, घटनाएं, परिवर्तन-प्रबंधन, डीआर/बीसीपी परीक्षण।

Vendors/3rd-party: वेबहूक, एसएसओ फेडरेशन, एसएलए इवेंट्स।

3) नियामक आवश्यकताएं (दिशानिर्देश)

GDPR/ISO 27701: कम से कम/मास्किंग PI, शेड्यूल पर प्रतिधारण, लीगल होल्ड, DSAR ट्रेसिंग।

SOC 2/ISO 27001: ऑडिट ट्रेल्स, लॉग एक्सेस कंट्रोल, कंट्रोल निष्पादन के सबूत।

PCI DSS: मीडिया/कार्ड डेटा, लॉग इंटीग्रिटी, दैनिक समीक्षा तक लॉग इन करना।

एएमएल/केवाईसी: चेक, स्वीकृति/पीईपी स्क्रीनिंग, एसटीआर/एसएआर प्रोटोकॉल का पता लगाना।

4) लॉगिंग का संदर्भ वास्तुकला

1. निर्माता: एप्लिकेशन, क्लाउड, नेटवर्क, होस्ट एजेंट।

2. बस/कलेक्टर: बैक-प्रेशर, रीट्री, टीएलएस एमटीएलएस, डीडुप्लिकेशन।

3. सामान्यीकरण: एकल प्रारूप (JSON/OTel), संवर्धन (किरायेदार, उपयोगकर्ता, भू, गंभीरता)।

4. वाल्ट्स:
  • गर्म (खोज/SIEM): 7-30 दिन, तेजी से पहुंच।
  • ठंड (वस्तु): महीने/वर्ष, सस्ता भंडारण।
  • पुरालेख-साक्ष्य (WORM/ऑब्जेक्ट लॉक): अपरिवर्तनीयता, हैश रसीदें।
  • 5. अखंडता और हस्ताक्षर: हैश चेन/मर्कले-ट्री/टाइमस्टैम्प।
  • 6. पहुंच और सुरक्षा: RBAC/ABAC, अधिकार क्षेत्र द्वारा विभाजन, मामला-आधारित पहुंच।
  • 7. एनालिटिक्स और अलर्ट: SIEM/SOAR, सहसंबंध आईडी, प्लेबुक।
  • 8. कैटलॉग और स्कीमा: इवेंट प्रकार रजिस्ट्री, वर्शनिंग, स्कीमा परीक्षण।

5) नीतियां-जैसे-कोड (YAML उदाहरण)

प्रतिधारण और कानूनी पकड़

yaml id: LOG-RET-001 title: "Access logs retention"
scope: ["iam. ","app. access"]
retention:
hot_days: 30 cold_days: 365 worm_years: 3 legal_hold: true # when Legal Hold is active, block privacy removal:
pii_mask: ["email","phone","ip"]
review: "annual"

अखंडता और हस्ताक्षर

yaml id: LOG-INT-001 title: "Signature and commercial fixation"
hashing: "SHA-256"
anchor:
cadence: "hourly"
store: "s3://evidence/anchors"
verification:
schedule: "daily"
alert_on_failure: true

6) लॉग गुणवत्ता आवश्यकताएं

संरचना: JSON/OTel केवल, कोई कच्चा पाठ नहीं।

समय तुल्यकालन: NTP/PTP, बहाव नियंत्रण; 'टाइमस्टैम्प', 'प्राप्त _ at' entry।

सहसंबंध आईडी: 'ट्रेस _ आईडी', 'स्पैन _ आईडी', 'अनुरोध _ आईडी', 'उपयोगकर्ता _ आईडी' (उर्फ)।

फील्ड शब्दार्थ: डेटा शब्दकोश और परीक्षण स्कीमा अनुबंध।

स्थानीयकरण/भाषा: क्षेत्र - अंग्रेजी कुंजी, मान - एकीकृत (एनम)।

वॉल्यूम और ड्रॉप नीति: अनियंत्रित ड्रॉप का निषेध; कतारें/कोटा/जोखिम नमूना।

संवेदनशील डेटा: मास्किंग/टोकन; रहस्य/कार्ड रखने का निषेध।

7) गोपनीयता और न्यूनतम करना

पीआईआई स्वच्छता: मूल्यों के बजाय लॉग हैश/टोकन; ईमेल/फोन/आईपी के लिए सख्त मुखौटा।

संदर्भ: बिना कारण के व्यक्तिगत डेटा के साथ भुगतान न करें।

क्षेत्राधिकार: देश द्वारा भंडारण और पहुंच (डेटा निवास), प्रतियों की पता लगाने की क्षमता।

DSAR: मामले द्वारा खोज लेबल और निर्यात; Depersonalization के साथ रिपोर्ट छापने की क्

8) अपरिपक्वता और सबूत

WORM/ऑब्जेक्ट लॉक - अवधि में विलोपन/अधिलेखन को रोकें।

क्रिप्टो हस्ताक्षर: बैचों के हस्ताक्षर; मर्कली की जड़ें दैनिक एंकरिंग के साथ हैं।

हिरासत की श्रृंखला: रिपोर्ट में लॉग, हैश रसीदें, कोटा।

सत्यापन: आवधिक अखंडता जाँच और आउट-ऑफ-सिंक अलर्ट।

9) लॉग एक्सेस कंट्रोल

RBAC/ABAC: पढ़ें/खोजें केवल भूमिकाएँ बनाम निर्यात/साझाकरण।

केस-आधारित पहुंच: संवेदनशील लॉग तक पहुंच - केवल एक जांच/टिकट के हिस्से के रूप में।

रहस्य/कुंजी: KMS/HSM; रोटेशन, विभाजन-ज्ञान, दोहरे नियंत्रण।

एक्सेस ऑडिट: एक अलग पत्रिका "जो पढ़ ती है जो लॉग" + विसंगतियों के लिए अलर्ट करती है।

10) मेट्रिक्स और एसएलओ लॉगिंग

अंतर्ग्रहण लैग: रिसेप्शन देरी का 95 वां प्रतिशत (लक्ष्य ≤ 60 सेकंड)।

ड्रॉप दर: घटनाओं का प्रतिशत खो गया (लक्ष्य 0; अलर्ट> 0। 001%).
स्कीमा अनुपालन: स्कीमा द्वारा मान्य घटनाओं का% (≥ 99। 5%).

कवरेज: केंद्रीकृत लॉगिंग (≥ 98% महत्वपूर्ण) के तहत प्रणालियों का%।

इंटीग्रिटी पास: सफल हैश चेन चेक (100%)।

अभिगम समीक्षा: अधिकारों का मासिक दावा, देरी - 0।

पीआईआई रिसाव दर: लॉग में "स्वच्छ" पीआई का पता लगाया गया (लक्ष्य 0 महत्वपूर्ण)।

11) डैशबोर्ड (न्यूनतम सेट)

Ingestion & Lag: वॉल्यूम/स्पीड, लैग, ड्रॉप, हॉट स्प्रिंग्स।

अखंडता और WORM: एंकरिंग स्थिति, सत्यापन, ऑब्जेक्ट लॉक।

सुरक्षा घटनाएँ: महत्वपूर्ण सहसंबंध, MITRE कार्ड।

लॉग तक पहुंच: कौन और क्या पढ़ा/निर्यात किया गया; विसंगतियाँ।

अनुपालन दृश्य: प्रतिधारण/कानूनी होल्ड स्टेटस, ऑडिट रिपोर्ट, डीएसएआर निर्यात।

स्कीमा हेल्थ: पार्सिंग त्रुटियां/स्कीमा संस्करण, विरासत एजेंटों का प्रतिशत।

12) एसओपी (मानक प्रक्रियाएं)

SOP-1: लॉग स्रोत कनेक्शन

1. स्रोत और आलोचना पंजीकरण → 2 )/OTel → 3 का चयन) TLS/mTLS योजना, टोकन →

2. उत्पादन में मंचन में शुष्क (योजनाओं का सत्यापन, पीआईआई मास्क) 5) कनेक्शन

3. प्रतिधारण/WORM के सत्यापन निर्देशिका/डैशबोर्ड → 7) में जोड़ ना।

SOP-2: हादसा प्रतिक्रिया (सबूत के रूप में लॉग)

→ ट्राइएज → केस-स्कोप → लीगल होल्ड का पता लगाएं →

हैश कैप्चर और एंकरिंग → एनालिटिक्स/टाइमलाइन → रिपोर्ट और CAPA → लेसन रिलीज़।

SOP-3: Reg अनुरोध/लेखा परीक्षा

1. केस खोलें और आवश्यक प्रारूप के लिए अनुरोध ID → 2) निर्यात द्वारा फ़िल्टर करें →

2. कानूनी/अनुपालन सत्यापन → 4) हैश सारांश → 5) भेजना और लॉगिंग।

SOP-4: लॉग एक्सेस रिवीजन

मालिकों का मासिक प्रमाणन; "अनाथ" अधिकारों का ऑटो-दहाड़; SoD रिपोर्ट।

13) प्रारूप और उदाहरण

एक्सेस इवेंट उदाहरण (JSON)

json
{
"ts": "2025-10-31T13:45:12. 345Z",
"env": "prod",
"system": "iam",
"event": "role_grant",
"actor": {"type": "user", "id": "u_9f1...", "tenant": "eu-1"},
"subject": {"type": "user", "id": "u_1ab..."},
"role": "finance_approver",
"reason": "ticket-OPS-1422",
"ip": "0. 0. 0. 0",
"trace_id": "2a4d...",
"pii": {"email": "hash:sha256:..."},
"sign": {"batch_id":"b_20251031_13","merkle_leaf":"..."}
}

पता लगाने का नियम (छद्म रेगो)

rego deny_access_if_sod_conflict {
input. event == "role_grant"
input. role == "finance_approver"
has_role(input. subject. id, "vendor_onboarder")
}

14) भूमिकाएँ और आरएसीआई

भूमिकाजिम्मेदारी
लॉग प्लेटफ़ॉर्म स्वामी (A)विश्वसनीयता, सुरक्षा, प्रतिधारण, बजट
अनुपालन इंजीनियरिंग (आर)नीतियां-जैसे-कोड, योजनाएं, प्रतिधारण/कानूनी पकड़
SecOps/DFIR (R)डिटेक्शन, जांच, SOAR प्लेबुक
डेटा प्लेटफ़ॉर्म (R)DWH/कैटलॉग, निर्यात, साक्ष्य-शोकेस
आईएएम/आईजीए (सी)अभिगम नियंत्रण, अनुप्रमाणीकरण, SoD
कानूनी/डीपीओ (सी)गोपनीयता, reg स्थिति, DSAR/कानूनी पकड़
आंतरिक लेखा परीक्षा (I)प्रक्रियाओं और कलाकृतियों का सत्यापन

15) विक्रेता और आपूर्ति श्रृंखला प्रबंधन

अनुबंधों में: ऑडिट लॉग, प्रारूप, एसएलए भंडारण और पहुंच, WORM/अपरिवर्तनीयता का अधिकार।

उप-प्रोसेसर: स्रोत रजिस्टर और "एंड-टू-एंड" प्रतिधारण।

निर्यात/ऑफबोर्डिंग: विनाश और हैश सारांश रिपोर्ट की पुष्टि।

16) एंटीपैटर्न

आरेख और सहसंबंध के बिना "मुक्त पाठ" में लॉग।

WORM और हैश फिक्सेशन के बिना भंडारण ऑडिट में एक विवाद है।

लॉग में संवेदनशील डेटा "जैसा है"।

समय और सामान्य trace_id का कोई तुल्यकालन नहीं है।

लोड चोटियों पर इवेंट ड्रॉप; बैक-प्रेशर की कमी।

बिना केस कंट्रोल के लॉग तक सार्वभौमिक पहुंच।

"अनन्त" अधिकार लॉग को पढ़ ने के लिए, फिर से प्रमाणन के बिना।

17) चेकलिस्ट

लॉगिंग फ़ंक्शन प्रारंभ कर

  • स्रोत वर्गीकरण और आलोचना की पहचान।
  • प्रतिधारण योजनाएं और नीतियां/कानूनी पकड़ घोषित (जैसा कि कोड)।
  • टीएलएस/एमटीएलएस, टोकन, ऑटो-अपडेट एजेंट।
  • पीआईआई मास्क/टोकन का परीक्षण किया।
  • WORM/ऑब्जेक्ट लॉक और एंकरिंग सक्षम हैं।
  • डैशबोर्ड/अलर्ट/मेट्रिक्स स्थापित हैं।
  • अभिगम संशोधन और SoD कॉन्फ़िगर किए गए हैं।

लेखा परीक्षा/Reg निवेदन से पहले

  • "ऑडिट पैक" एकत्र: स्कीमा, नीतियां, अखंडता रिपोर्ट, नमूने।
  • अवधि के लिए अखंडता और एक्सेस लॉग की जाँच करता है।
  • DSAR/लीगल होल्ड स्टेटस की पुष्टि की।
  • अपलोड और भेजने की पुष्टि का हैश सारांश उत्पन्न किया गया है।

18) परिपक्वता मॉडल (M0-M4)

M0 मैनुअल: बिखरे हुए लॉग, कोई योजना और प्रतिधारण नहीं।

M1 केंद्रीकृत संग्रह: बुनियादी खोज, आंशिक वर्गीकरण।

M2 प्रबंधित: स्कीमा और नीतियां-जैसे-कोड, डैशबोर्ड, प्रतिधारण/WORM।

एम 3 इंटीग्रेटेड: ओटेल ट्रेसिंग, एसओएआर, एंकरिंग/मर्कली, केस-आधारित एक्सेस।

M4 आश्वासन दिया: "बटन द्वारा ऑडिट-रेडी", भविष्यवाणी करने वाले हिरासत, स्वचालित अखंडता नियंत्रण और कानूनी रूप से महत्वपूर्ण प्राप्तियां।

19) संबंधित विकी लेख

सतत अनुपालन निगरानी (सीसीएम)

केपीआई और अनुपालन मैट्रिक्स

कानूनी पकड़ और डेटा फ्रीज

नीतियां और प्रक्रियाएं जीवनचक्र

अनुपालन समाधानों का संचार

अनुपालन नीति परिवर्तन प्रबंधन

परिश्रम और आउटसोर्सिंग जोखिम के कारण

कुल

एक मजबूत लॉगिंग फ़ंक्शन एक "संदेश गोदाम" नहीं है, बल्कि एक प्रबंधित प्रणाली है: संरचित घटनाएं, सख्त योजनाएं और अनुमति, अपरिवर्तनीयता और हस्ताक्षर, डिफ़ॉल्ट गोपनीयता, तंग पहुंच नियंत्रण और प्रण। इस तरह की प्रणाली जांच को तेजी से, ऑडिट को अनुमानित और जोखिम प्रबंधनीय बनाती है।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

Telegram
@Gamble_GC
इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।