Log Shipping: সাইবার আক্রমণ থেকে লগ ফাইল সুরক্ষিত রাখতে রিমোট সার্ভারে সংরক্ষণ!

স্থানীয় Log-এর সীমাবদ্ধতা অনেক। প্রথমত, Log Tampering: আক্রমণকারী root বা Administrator অ্যাক্সেস পেলে স্থানীয় Log মুছে বা পরিবর্তন করতে পারে। দ্বিতীয়ত, Disk Failure: Hardware সমস্যায় Log হারিয়ে যেতে পারে। তৃতীয়ত, Correlation: একাধিক সিস্টেমের Log আলাদা থাকলে Cross-system Correlation কঠিন। চতুর্থত, Scalability: হাজার হাজার Server-এ আলাদাভাবে Log Search করা অসম্ভব। পঞ্চমত, Compliance: PCI DSS, HIPAA, SOX-এর মতো Regulation Centralized Logging দাবি করে।

Centralized Log Server থাকার ফলে আক্রমণকারী যদি একটি Server Compromise-ও করে, তবু Log-এর একটি Copy অন্য জায়গায় থাকে যা আক্রমণকারীর নাগালের বাইরে। এটি Incident Response-এর জন্য অমূল্য।

একটি Production Log Shipping Architecture-এর সাধারণত তিনটি স্তর থাকে - Source (যেখানে Log তৈরি হয়), Collector/Aggregator (যা Log Process করে), এবং Storage/Analytics (যেখানে Log সংরক্ষিত হয় এবং বিশ্লেষণ করা হয়)।

Source হলো প্রতিটি Server, Network Device, Application - যা Log তৈরি করে। প্রতিটি Source-এ একটি Log Shipping Agent থাকে যা Local Log কে Collector-এ পাঠায়।

Collector/Aggregator হলো একটি Middle Tier যা একাধিক Source থেকে Log গ্রহণ করে, Parsing, Filtering, এবং Enrichment করে। এটি Buffer হিসেবেও কাজ করে - Storage Tier Down থাকলে Log হারায় না।

Storage Tier-এ Log দীর্ঘ মেয়াদে সংরক্ষিত হয় এবং Query/Visualization-এর জন্য available থাকে। Elasticsearch, Splunk Indexer, AWS S3 + Athena, বা ClickHouse এই কাজে ব্যবহৃত হয়।

Syslog হলো Log Shipping-এর সবচেয়ে পুরনো এবং বহুল ব্যবহৃত Protocol। RFC 3164 (BSD Syslog) এবং RFC 5424 (Modern Syslog) দুটি প্রধান Standard। Syslog UDP (Port 514) বা TCP-এর মাধ্যমে কাজ করে।

একটি সাধারণ Syslog Message:

<134>1 2026-03-15T14:23:45.123Z webserver01 sshd 1234 - - 
Failed password for root from 192.168.1.100 port 54321 ssh2

এখানে <134> হলো Priority (Facility এবং Severity), তারপর Version, Timestamp, Hostname, App-Name, এবং Message।

UDP-based Syslog দ্রুত কিন্তু অনিরাপদ - কোনো Delivery Guarantee নেই, Encryption নেই, এবং Spoofing সম্ভব। তাই Production-এ TCP-based Syslog (Port 514) বা TLS-encrypted Syslog (RFC 5425, Port 6514) ব্যবহার করা উচিত।

rsyslog এবং syslog-ng হলো Linux-এর দুটি প্রধান Syslog Daemon। দুটোই Standard Syslog থেকে অনেক বেশি Feature প্রদান করে - Filtering, Forwarding, Disk Buffering, এবং বিভিন্ন Output Destination।

একটি Basic rsyslog Forward Configuration:

# /etc/rsyslog.d/50-forward.conf
*.* @@logserver.example.com:6514
$DefaultNetstreamDriver gtls
$DefaultNetstreamDriverCAFile /etc/ssl/certs/ca.pem
$ActionSendStreamDriverMode 1
$ActionSendStreamDriverAuthMode x509/name

এই কনফিগারেশন সব Log TLS দিয়ে এনক্রিপ্ট করে logserver-এ পাঠাবে।

প্রচলিত Syslog-এর বাইরে আধুনিক Log Shipping টুল অনেক বেশি Feature প্রদান করে।

Filebeat Elastic Stack-এর অংশ, যা Log File মনিটর করে এবং Elasticsearch বা Logstash-এ পাঠায়। এটি Lightweight (Go-তে লেখা), Reliable (At-least-once delivery), এবং অসংখ্য Built-in Module প্রদান করে।

filebeat.inputs:
  - type: log
    paths:
      - /var/log/auth.log
      - /var/log/syslog
output.elasticsearch:
  hosts: ["https://elastic.example.com:9200"]
  ssl.verification_mode: full
  api_key: "${API_KEY}"

Fluentd এবং Fluent Bit CNCF প্রকল্প। Fluentd JRuby-তে লেখা, Feature-rich কিন্তু Resource-heavy। Fluent Bit C-তে লেখা, অত্যন্ত Lightweight - Container এবং Edge পরিবেশের জন্য আদর্শ।

Vector Datadog-এর তৈরি, Rust-এ লেখা। অসাধারণ Performance এবং Reliability প্রদান করে। Modern Observability Pipeline-এর জন্য জনপ্রিয় হয়ে উঠছে।

NXLog Windows পরিবেশে বিশেষভাবে জনপ্রিয়, Event Log Forwarding-এ দক্ষ।

Winlogbeat Windows Event Log-কে Elastic Stack-এ পাঠানোর জন্য বিশেষায়িত।

Windows পরিবেশে Microsoft-এর নিজস্ব Log Shipping সমাধান হলো Windows Event Forwarding (WEF)। এটি WS-Management Protocol ব্যবহার করে Event Log একটি Collector Server-এ পাঠায়। সুবিধা হলো এটি Built-in, কোনো Third-party Agent লাগে না।

WEF কনফিগার করতে Group Policy ব্যবহার করা হয়। একটি Source-initiated Subscription তৈরি করা হয় Collector-এ, এবং Client গুলো Group Policy-র মাধ্যমে এই Subscription-এ যোগ দেয়।

# Collector এ Subscription তৈরি
wecutil cs SubscriptionConfig.xml

WEF-এর সাথে Sysmon একসাথে ব্যবহার করলে Windows পরিবেশে অত্যন্ত শক্তিশালী Visibility পাওয়া যায়। SwiftOnSecurity-র Sysmon Config একটি Production-ready Starting Point।

Log Shipping-এ Encryption অত্যন্ত গুরুত্বপূর্ণ কারণ Log-এ Sensitive Information থাকতে পারে - Password (যদিও থাকা উচিত না), Session Token, Internal IP Address, ইত্যাদি। এছাড়া Log যাতে Network-এ Manipulate না হয় তা নিশ্চিত করতে Integrity রক্ষা করতে হবে।

TLS (Transport Layer Security) হলো Standard সমাধান। সব আধুনিক Log Shipper TLS সমর্থন করে। Mutual TLS (mTLS) ব্যবহার করলে শুধু Server নয়, Client-ও Certificate দিয়ে Authenticate হয়, যা Spoofing প্রতিরোধ করে।

Authentication-এর জন্য API Key, Certificate, বা SASL/Kerberos ব্যবহার করা যায়। প্রতিটি Shipper-এর জন্য আলাদা Credential থাকা উচিত যাতে একটি Compromised হলেও বাকিরা নিরাপদ থাকে।

Log Shipping-এ Network Bandwidth এবং Latency গুরুত্বপূর্ণ বিবেচ্য বিষয়। একটি ব্যস্ত Web Server প্রতিদিন কয়েক GB Log তৈরি করতে পারে। বড় Enterprise-এ Aggregate Log Volume দিনে কয়েক TB ছাড়িয়ে যায়।

Compression অপরিহার্য। gzip বা snappy দিয়ে 5x-10x Compression সম্ভব। অধিকাংশ Modern Log Shipper Compression সমর্থন করে।

Network Partition বা Storage Outage-এর সময় Log যেন হারিয়ে না যায়, তার জন্য Local Buffering অপরিহার্য। Filebeat, Fluentd, Vector - সবাই Disk-based Buffer সমর্থন করে। Outage-এর পর Buffer থেকে Log Forward হয়।

Multi-region পরিবেশে Cross-region Log Shipping বিবেচনা করতে হবে। অনেক ক্ষেত্রে Region-wise Aggregator রেখে Central-এ পাঠানো ভালো Strategy।

Log একবার Centralized হওয়ার পর, সেটি কোথায় সংরক্ষণ এবং বিশ্লেষণ হবে তা একটি Architectural Decision। প্রধান বিকল্পগুলো:

Elasticsearch + Kibana: ওপেন সোর্স, জনপ্রিয়, এবং Powerful Search। Trade-off হলো Storage Cost বেশি কারণ প্রতিটি Field Indexed থাকে।

Splunk: Industry-leading SIEM, কিন্তু License Cost অনেক বেশি (Volume-based)। সাধারণত Enterprise পরিবেশে ব্যবহৃত।

Wazuh: ওপেন সোর্স SIEM, OSSEC-এর Successor। ELK Stack-এর উপর তৈরি।

Microsoft Sentinel: Azure-ভিত্তিক Cloud-native SIEM। Microsoft 365 পরিবেশে সহজ Integration।

Datadog/Sumo Logic/New Relic: SaaS-ভিত্তিক Observability Platform যা Log Analytics-ও প্রদান করে।

Data Lake Pattern: Modern Approach যেখানে Log S3 বা GCS-এ JSON/Parquet হিসেবে সংরক্ষিত হয় এবং Athena, Presto, বা ClickHouse দিয়ে Query করা হয়। Panther এবং Hunters.ai এই Pattern অনুসরণ করে।

Centralized Log Server নিজেই একটি High-value Target। আক্রমণকারী যদি Log Server Compromise করতে পারে, তাহলে তারা প্রমাণ মুছে ফেলতে পারে। তাই Log Integrity রক্ষা অপরিহার্য।

Hash Chaining: প্রতিটি Log Entry-র সাথে আগের Entry-র Hash যুক্ত করে একটি Chain তৈরি করা। যেকোনো Tampering Chain ভেঙে দেবে। systemd-journald-এর Forward Secure Sealing (FSS) এই Pattern অনুসরণ করে।

Write-Once Storage: AWS S3 Object Lock, Azure Immutable Blob Storage - এই ধরনের Storage-এ Object লেখার পর আর পরিবর্তন বা মুছে ফেলা যায় না নির্দিষ্ট সময় পর্যন্ত। Compliance এবং Anti-tamper-এর জন্য আদর্শ।

Cryptographic Signing: Log Entry গুলো HMAC বা Digital Signature দিয়ে স্বাক্ষর করে পাঠানো। Server-এ Verify করা হয়।

Blockchain-based Logging: কিছু High-security পরিবেশে Blockchain ভিত্তিক Immutable Log সংরক্ষণ করা হয়, যদিও এটি এখনো Mainstream নয়।

Cloud পরিবেশে Log Shipping-এর নিজস্ব চ্যালেঞ্জ এবং সুবিধা আছে। AWS-এ CloudWatch Logs, CloudTrail, এবং VPC Flow Logs Native সমাধান। এগুলো S3-তে Export করে Athena দিয়ে Query করা যায়।

Kubernetes পরিবেশে DaemonSet হিসেবে Log Shipper (Fluent Bit, Vector) প্রতিটি Node-এ চালানো হয়। এটি Pod-এর stdout/stderr Capture করে এবং কেন্দ্রীয় Backend-এ পাঠায়। OpenTelemetry Collector আধুনিক Cloud-native পরিবেশের জন্য Unified Observability Pipeline প্রদান করে।

Serverless পরিবেশে (Lambda, Cloud Functions) আলাদা Approach দরকার - সরাসরি CloudWatch-এ Log যায় এবং সেখান থেকে Subscription Filter দিয়ে Kinesis/Firehose-এ Forward করা যায়।

একটি Mid-size কোম্পানির জন্য একটি Sample Architecture বিবেচনা করুন। ৫০০টি Linux Server-এ rsyslog Forwarding TLS দিয়ে দুটি Logstash Aggregator-এ পাঠায়। ১০০টি Windows Server থেকে Winlogbeat সরাসরি Logstash-এ পাঠায়। ৫০টি Network Device CEF Format-এ Syslog পাঠায়।

Logstash Parsing এবং Enrichment করে (GeoIP Lookup, Threat Intel Match) তারপর Elasticsearch Cluster (৫ Node, 100TB Storage) এবং একটি S3 Bucket-এ পাঠায়। Elasticsearch-এ ৩০ দিনের Hot Storage, S3-তে ৭ বছরের Cold Storage।

Kibana এবং Wazuh SIEM ফ্রন্টএন্ড হিসেবে কাজ করে। Detection Rule গুলো Sigma Format-এ লেখা হয় এবং Wazuh-এ অনুবাদ করা হয়। Critical Alert PagerDuty-র মাধ্যমে SOC দলকে পাঠানো হয়।

একটি Robust Log Shipping সিস্টেম তৈরি করতে কিছু Best Practice অনুসরণ করতে হবে।

প্রথমে, Defense in Depth - শুধু Log Shipping যথেষ্ট নয়। Local Log-ও Sensible Time-period-এর জন্য রাখতে হবে, যাতে Network Outage-এ Visibility থাকে।

দ্বিতীয়ত, Encryption Everywhere - In-transit এবং At-rest উভয় Encryption।

তৃতীয়ত, Capacity Planning - Log Volume বাড়তে থাকে, তাই Storage এবং Network Capacity-এর জন্য Headroom রাখতে হবে।

চতুর্থত, Monitoring of Logging - Log Shipping নিজেই Fail করলে কেউ জানবে না যদি Monitor না হয়। Heartbeat Log এবং Volume Anomaly Detection বাধ্যতামূলক।

পঞ্চমত, Compliance Mapping - কোন Log কত দিন রাখতে হবে তা Regulation অনুযায়ী Document এবং Enforce করতে হবে।

ষষ্ঠত, Access Control - Log Server-এ Access অত্যন্ত সীমিত রাখতে হবে। MFA, PAM, এবং Audit Trail অপরিহার্য।

সপ্তমত, Disaster Recovery - Log Backup এবং Cross-region Replication বিবেচনা করতে হবে।