Log Analysis: সার্ভার লগ বিশ্লেষণ করে সাইবার আক্রমণের প্রাথমিক সংকেত শনাক্তকরণ!

একটি Log Entry হলো একটি সিস্টেমে ঘটে যাওয়া নির্দিষ্ট ঘটনার Timestamped Record। সাধারণত একটি Log লাইনে থাকে - কখন ঘটেছে (Timestamp), কোথায় ঘটেছে (Source/Hostname), কে করেছে (User/Process), কী করেছে (Action), এবং ফলাফল কী (Status)।

উদাহরণস্বরূপ একটি Apache Access Log:

192.168.1.100 - alice [15/Mar/2026:14:23:45 +0600] 
"GET /admin/login.php HTTP/1.1" 200 1234 
"-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"

এই একটি লাইন থেকে আমরা জানতে পারি IP 192.168.1.100 থেকে alice নামক ব্যবহারকারী 15 মার্চ 2:23 PM-এ /admin/login.php পেজটি GET করেছেন এবং সফলভাবে (200) 1234 bytes পেয়েছেন।

Log গুরুত্বপূর্ণ কারণ এটি Visibility প্রদান করে। সাইবার নিরাপত্তার একটি Golden Rule হলো - "You can't protect what you can't see." আক্রমণকারী যত গোপনই হোক, তাদের কার্যকলাপ কোনো না কোনোভাবে Log-এ ছাপ ফেলবেই। সমস্যা হলো এই বিপুল পরিমাণ Log থেকে Meaningful Signal বের করা।

একটি Enterprise নেটওয়ার্কে অসংখ্য Log Source থাকে। প্রধানগুলো হলো:

Operating System Logs: Windows-এ Security, System, এবং Application Event Logs (Event Viewer)। Linux-এ /var/log/auth.log, /var/log/syslog, /var/log/audit/audit.log।

Web Server Logs: Apache, Nginx, IIS-এর Access Log এবং Error Log। এখান থেকে Web Application-এ কে কী Request পাঠাচ্ছে দেখা যায়।

Network Device Logs: Firewall (Cisco ASA, Palo Alto, FortiGate), Router, Switch, IDS/IPS (Snort, Suricata)। এই লগ Network Traffic, Connection Attempt, এবং Network-level আক্রমণ দেখায়।

Endpoint Logs: Antivirus, EDR (CrowdStrike Falcon, SentinelOne)। এই Log Endpoint-এর Process, File, Registry, এবং Network কার্যকলাপ ক্যাপচার করে।

Application Logs: Database (MySQL, PostgreSQL), Application Server (Tomcat, JBoss), Custom Application। এই Log ব্যবসায়িক যুক্তি সম্পর্কিত ঘটনা ক্যাপচার করে।

Cloud Logs: AWS CloudTrail, Azure Activity Logs, GCP Audit Logs। এগুলো Cloud Infrastructure-এ API Call এবং Configuration Change লগ করে।

প্রতিটি Source-এর Format আলাদা, এবং কার্যকর Log Analysis-এর জন্য সব Source একসাথে আনা প্রয়োজন।

Log গুলো বিভিন্ন Format-এ লেখা হয়। Syslog হলো Linux/Unix জগতের Standard Format। CEF (Common Event Format) ArcSight-এর তৈরি একটি Standard যা Security Device-এ জনপ্রিয়। LEEF (Log Event Extended Format) IBM QRadar ব্যবহার করে। JSON আধুনিক Application-এ সবচেয়ে জনপ্রিয় Structured Format।

Parsing হলো Raw Log লাইনকে Structured Field-এ রূপান্তরের প্রক্রিয়া। উদাহরণস্বরূপ, একটি Apache Log লাইন থেকে IP, User, Timestamp, Method, URL, Status Code, এবং User-Agent আলাদা Field হিসেবে বের করা। SIEM সিস্টেম এই কাজ স্বয়ংক্রিয়ভাবে করে, কিন্তু Custom Application-এর জন্য Regex বা Parser লিখতে হতে পারে।

Logstash, Fluentd, Vector-এর মতো Log Processing টুল এই Parsing কাজে বিশেষজ্ঞ। Grok Pattern (Logstash-এর) এবং Regular Expression জানা একজন Log Analyst-এর জন্য মৌলিক দক্ষতা।

প্রতিটি প্রকার সাইবার আক্রমণ Log-এ আলাদা ধরনের চিহ্ন রেখে যায়। একজন SOC Analyst হিসেবে এই Pattern চেনা অপরিহার্য।

Brute-force Attack: একই IP থেকে অল্প সময়ে অনেক Failed Login। Linux-এ auth.log-এ "Failed password" এন্ট্রি বহুবার আসবে। Windows-এ Event ID 4625 (failed logon) বারবার ঘটবে।

grep "Failed password" /var/log/auth.log | \
  awk '{print $11}' | sort | uniq -c | sort -rn | head

SQL Injection: Web Server Log-এ অস্বাভাবিক URL Parameter - যেমন ' OR 1=1--, UNION SELECT, '; DROP TABLE। URL Encoding-এর কারণে এগুলো এনকোডেড আকারে দেখা যেতে পারে।

Web Shell Activity: একটি Web Server-এ অপ্রত্যাশিত .php বা .jsp ফাইলে POST Request, বিশেষ করে যদি Request Body বড় হয় এবং Response-এ Command Output দেখা যায়।

Privilege Escalation: সাধারণ ব্যবহারকারী হঠাৎ sudo বা su কমান্ড চালাচ্ছেন, বা Windows-এ Event ID 4672 (special privileges assigned) অস্বাভাবিক ব্যবহারকারীর জন্য আসছে।

Lateral Movement: একটি Internal IP থেকে অন্য Internal IP-তে অস্বাভাবিক SMB, RDP, বা SSH Connection। Windows Event ID 4624 with Logon Type 3 (Network) এবং 10 (RemoteInteractive) এ ক্ষেত্রে গুরুত্বপূর্ণ।

Data Exfiltration: একটি Internal Host থেকে External IP-তে বড় পরিমাণ Outbound Traffic। DNS Tunneling-এর ক্ষেত্রে অস্বাভাবিক দীর্ঘ DNS Query।

Persistence: Linux-এ /etc/cron.d/ বা ~/.bashrc পরিবর্তন। Windows-এ Registry Run Key পরিবর্তন বা Scheduled Task তৈরি (Event ID 4698)।

Log Analysis-এ Time-এর গুরুত্ব অপরিসীম। প্রতিটি সিস্টেমের Clock NTP-র মাধ্যমে Synchronized থাকা অপরিহার্য, নাহলে Cross-system Correlation অসম্ভব। সব Log-এ Timezone স্পষ্টভাবে উল্লেখ থাকতে হবে - UTC ব্যবহার করা Best Practice।

Correlation হলো একাধিক Log Source থেকে সম্পর্কিত ঘটনা একসাথে আনা। উদাহরণস্বরূপ, Firewall Log দেখাচ্ছে একটি External IP থেকে Port 22-এ Connection, একই সময়ে Linux Server-এর auth.log দেখাচ্ছে Successful SSH Login, এবং তার ১০ সেকেন্ড পর Web Server-এ Admin Account থেকে অস্বাভাবিক কার্যকলাপ। এই তিনটি ঘটনা আলাদাভাবে দেখলে স্বাভাবিক মনে হতে পারে, কিন্তু একসাথে দেখলে এটি একটি Compromise-এর স্পষ্ট চিহ্ন।

SIEM সিস্টেমের প্রধান কাজ হলো এই Correlation স্বয়ংক্রিয় করা। Splunk, Elastic SIEM, Microsoft Sentinel, IBM QRadar, এবং Wazuh হলো জনপ্রিয় SIEM সমাধান।

ছোট পরিবেশে Command-line টুল দিয়েই Log Analysis সম্ভব। grep, awk, sed, sort, uniq, এবং cut হলো Linux Log Analysis-এর Bread-and-butter। জটিল কাজের জন্য Python Pandas বা jq (JSON Query) ব্যবহার করা যায়।

Enterprise পরিবেশে SIEM অপরিহার্য। Splunk শক্তিশালী কিন্তু ব্যয়বহুল। Elastic Stack (ELK) ওপেন সোর্স এবং অত্যন্ত জনপ্রিয় - Elasticsearch (Storage), Logstash (Processing), এবং Kibana (Visualization)। Wazuh একটি ওপেন সোর্স SIEM যা Free Alternative হিসেবে কাজ করে। Microsoft Sentinel Azure-ভিত্তিক Cloud-native SIEM।

আধুনিক Approach-এ Data Lake ভিত্তিক Architecture জনপ্রিয় হচ্ছে - যেখানে Log Snowflake বা S3-তে সংরক্ষিত হয় এবং SQL-ভিত্তিক Query করা হয়। Panther এবং Anvilogic এই ধরনের Cloud-native SIEM প্রদান করে।

Sigma হলো Log Analysis-এর জন্য একটি Generic Signature Format, যা বিভিন্ন SIEM-এ Translate করা যায়। SigmaHQ Repository-তে হাজার হাজার Pre-built Rule আছে যা MITRE ATT&CK Technique-এর সাথে ম্যাপ করা।

একটি সাধারণ Sigma Rule এর উদাহরণ:

title: Suspicious PowerShell Encoded Command
logsource:
  product: windows
  service: powershell
detection:
  selection:
    EventID: 4104
    ScriptBlockText|contains:
      - '-EncodedCommand'
      - '-enc '
  condition: selection
level: high

এই Rule একটি Encoded PowerShell Command চালানোর চেষ্টা শনাক্ত করে।

Detection Engineering একটি বিকশিত শৃঙ্খলা। প্রতিটি ভাল Detection-এর জন্য থাকা উচিত - Clear Threat Model, Low False Positive Rate, এবং MITRE ATT&CK Mapping। MaGMa Use Case Framework এবং Palantir Alerting and Detection Strategy (ADS) Framework এই কাজে সাহায্য করে।

একটি বাস্তব Scenario বিবেচনা করুন - SOC দলে একটি Alert আসে "Suspicious URL Pattern Detected." Analyst Splunk-এ গিয়ে Apache Access Log দেখেন:

185.220.101.45 - - [15/Mar/2026:03:14:22 +0000] 
"GET /admin/?cmd=cat%20/etc/passwd HTTP/1.1" 200 2341

এটি স্পষ্টভাবে Command Injection-এর চেষ্টা এবং সফল। Analyst সেই IP থেকে অন্যান্য Request খোঁজেন এবং দেখেন আগের ১৫ মিনিটে অসংখ্য Probing Request পাঠানো হয়েছে।

তারপর Endpoint Log চেক করে দেখেন Web Server Process থেকে অস্বাভাবিক Child Process Spawn হয়েছে। Firewall Log-এ দেখা যায় সেই Server থেকে একটি External IP-তে Outbound Connection - সম্ভবত C2। ১০ মিনিটের মধ্যে Analyst সম্পূর্ণ Attack Timeline পুনর্গঠন করেন এবং Incident Response শুরু করেন।

Compliance এবং Forensics-এর জন্য Log Retention অত্যন্ত গুরুত্বপূর্ণ। বিভিন্ন Regulation আলাদা Retention দাবি করে - PCI DSS এক বছর, HIPAA ছয় বছর, SOX সাত বছর। সাধারণ Industry Best Practice হলো অন্তত ১ বছর Hot Storage এবং ৭ বছর Cold Storage।

Log Storage ব্যয়বহুল হতে পারে, বিশেষত বড় পরিবেশে যেখানে প্রতিদিন কয়েক TB Log তৈরি হয়। তাই Tiered Storage Strategy ব্যবহার করা হয় - সাম্প্রতিক Log দ্রুত Search-এর জন্য SSD-তে, পুরনো Log Compressed Object Storage-এ।

কার্যকর Log Analysis Program গড়ে তুলতে কিছু Foundation প্রয়োজন।

প্রথমে, Logging Strategy নির্ধারণ করতে হবে - কোন System থেকে কী Log সংগ্রহ করতে হবে এবং কেন। সব Log সংগ্রহ করা বাস্তব নয় এবং ব্যয়বহুল।

দ্বিতীয়ত, Time Synchronization নিশ্চিত করতে হবে। সমস্ত Device NTP-র মাধ্যমে UTC-তে Synchronized থাকতে হবে।

তৃতীয়ত, Log Integrity রক্ষা করতে হবে। আক্রমণকারীরা প্রায়শই Log মুছে বা পরিবর্তন করে। Centralized Log Server-এ Forward করা এবং Hash-based Integrity Verification ব্যবহার করতে হবে।

চতুর্থত, Detection Coverage নিশ্চিত করতে হবে। MITRE ATT&CK Navigator ব্যবহার করে আপনার Detection Capability ম্যাপ করতে হবে এবং Gap চিহ্নিত করতে হবে।

পঞ্চমত, Continuous Tuning চালাতে হবে। False Positive কমাতে এবং নতুন Threat-এর সাথে তাল মেলাতে Detection Rule নিয়মিত আপডেট করতে হবে।

ষষ্ঠত, Threat Intelligence Integration করতে হবে। IoC Feed (MISP, AlienVault OTX, Anomali) SIEM-এ Integrate করে Known Bad IP, Domain, Hash-এর সাথে Real-time Match করতে হবে।

সপ্তমত, Analyst Training অপরিহার্য। নতুন Analyst-দের MITRE ATT&CK, Sigma, এবং নির্দিষ্ট SIEM-এর Training দিতে হবে। Tabletop Exercise এবং Purple Team Engagement দিয়ে দক্ষতা বাড়াতে হবে।