การฝึกอบรมหลักสูตร การวิเคราะห์ข้อมูลกิจกรรม (log) ของแม่ข่ายเว็บ เพื่อตรวจสอบและปรับปรุงระดับความมั่นคงปลอดภัยขององค์กร หัวข้อ เครื่องมือและเทคนิคการวิเคระห์ในกลุ่มซอฟต์แวร์วิเคราะห์ข้อมูลกิจกรรมแม่ข่ายเว็บ

1. แม่ข่ายเว็บ
เพื่อตรวจสอบและปรับปรุงระดับความมั่นคงปลอดภัยของ
องค์กร
เครื่องมือและเทคนิคการวิเคระห์ในกลุ่ม
ซอฟต์แวร์วิเคราะห์ข ้อมูลกิจกรรมแม่ข่าย
เว็บ
ดร.ศรายุทธ ฉายสุริยะ SARAYUT.CHA@CDTI.AC.TH
วันพุธที่ 24 พฤษภาคม 2566 เวลา 9.00 - 16.00 น.
ณ ห ้อง 4308 ชั้น 3 อาคาร 604 สถาบันเทคโนโลยีจิตรลดา

2. Topics
รายการเครื่องมือวิเคราะห์แบบต่างๆ
รูปแบบของรายงานผลการวิเคราะห์ทั่วไปจากเครื่องมือต่างๆ
การวิเคระห์โดยใช ้Web Log Expert
workshop- ทดลองวิเคราะห์ข ้อมูลตัวอย่างร่วมกัน
รูปแบบการโจมตี #1 การเข ้าถึงโดยไม่ได ้รับอนุญาต
รูปแบบการโจมตี #2 การโจมตี API
รูปแบบที่แสดงความเสี่ยง #1 การแลกเปลี่ยนรหัสผ่านแบบ
plain text

3. เครื่องมือวิเคราะห์ข ้อมูลกิจกรรมแม่ข่ายเว็บ
OPEN SOURCE/FREE
WebAlizer
WebLog Expert
AWStats
COMMERCIAL TOOLS
HttpLogBrowser
Splunk
HOSTED/SAAS
Google Analytics
Webtrends
Bring Webmaster Tools
ดูรายการเครื่องมือวิเคราะห์ข ้อมูลกิจกรรมเว็บเพิ่มเติมได ้ที่
https://en.wikipedia.org/wiki/List_of_web_analytics_software

4. Webalizer
The Webalizer is a fast, free web server log file analysis program. It produces highly detailed, easily configurable usage reports in
HTML format,for viewing with a standard web browser.
http://www.webalizer.org/sample/index.html
https://ip-do-servidor/webalizer
https://webalizer.net/

5. AWStats
A free powerful and featureful tool that generates advanced
web, streaming, ftp or mail server statistics,
graphically.(https://www.awstats.org/)

6. WebTrends
A Digital analytics, optimization and software related to digital marketing and e-commerce.
https://www.google.com/imgres?imgurl=https%3A%2F%2Fgdm-catalog-fmapi-prod.imgix.net%2FProductScreenshot%2F07cbfb21-7863-42dc-b737-
ecb828494b7b.jpeg&tbnid=ltGdfANik0SaiM&vet=12ahUKEwiFiuX794f_AhVZ1XMBHRcyAwQQMygCegUIARCpAQ..i&imgrefurl=https%3A%2F%2Fwww.softwareadvice.com%2Fweb-
analytics%2Fwebtrends-profile%2F&docid=AeXcjB4LlpNU8M&w=1065&h=555&q=webtrends%20report&ved=2ahUKEwiFiuX794f_AhVZ1XMBHRcyAwQQMygCegUIARCpAQ

7. Google analytics
A web analytics service offered by Google that tracks and reports website traffic and also the mobile
app traffic & events, currently as a platform inside the Google Marketing Platform brand.
https://agencyanalytics.com/feature/google-analytics-dashboard

8. HTTPLogBrowser
A tool capable of analyzing logs from multiple sources including text log files thus
allowing debugging complex situations concerning many applications.
https://www.finalanalytics.com/products/httplogbrowser

9. การวิเคราะห์ข ้อมูลกิจกรรมโดยใช ้WebLog
Experts
WebLogExpertisa fastandpowerfulaccesslog analyzer.Itwillgiveyouinformationaboutyoursite'svisitors:activitystatistics,accessedfiles,paths
throughthesite,informationaboutreferringpages,searchengines,browsers,operatingsystems,andmore.

10. WebLog Expert:Admin

11. WebLog Expert:Admin(2)

12. WebLog Expert:Admin-Filter & Report

13. กรณีศึกษา ข ้อมูลตัวอย่างจาก 2
หน่วยงาน
หน่วยงานรัฐ #1 หน่วยงาน
สาธารณูปโภค
Application Server ภายใน(สาหรับเจ ้าหน้าที่
เท่านั้น)
(JavaApp) + ORACLE
มีแม่ข่าย Application 6 เครื่อง
ทางานผ่าน Load balancer (F5)
การใช ้ทรัพยากรของแม่ข่าย (cpu,RAM,disk) ต่า
กว่า 50%
ปัญหา
ช ้า ผู ้ใช ้ต ้องกด save หลายครั้ง โดยเฉพาะวันหลัง
หยุดยาว เช่น วันจันทร์
พบกรณีข ้อมูลใบเสร็จซ้า ใบเสร็จหาย
มีกรณีต ้อง restart ระบบใหม่บ ้าง แต่ไม่เคยมีระบบ
ล่มเกินครึ่งชั่วโมง
หน่วยงานรัฐ # 2 หน่วยบริการสาธารณสุข
Application Server ภายใน(สาหรับเจ ้าหน้าที่
เท่านั้น)
IIS + SQLServer
มีแม่ข่าย Application 2 เครื่อง
ทางานผ่าน Load balancer (F5)
การใช ้ทรัพยากรของแม่ข่าย (cpu,RAM,disk) ต่า
กว่า 40%
ปัญหา
ช ้า connection timeout
ข ้อมูลหาย ต ้อง key เข ้าไปใหม่บ่อยๆ
มีเหตุการณ์ ระบบล่ม ต ้องใช ้manual ทั้งระบบ
ต่อเนื่องกัน 2 วัน

14. App Server 2
192.168.242.162
2 set of [2x8cores, 256 GB]
Manage 2,4,6
DBMS (Oracle)
Clustered 2 sets of
[2x12 cores, RAM 384GB]
Active-Standby
Switch
Load balancer (F5)
หน่วยงานรัฐ #1 หน่วยงานสาธารณูปโภค
HQ office
Other applications
App Server 1
192.168.242.161
2 sets of [2x8cores, 256 GB]
Manage1,3,5
Router(s)
200+ branches
10 Sites Regions

15. หน่วยงานรัฐ # 2 หน่วยบริการสาธารณสุข
XISDB
(MSSQLServer)
Application
Server1
Application
Server2
Application
&Interface
Server3
Load balancer(s)
HighSpeed
Private
Network
Firewall
สาขา
สาขา
VPN
ผู้ใช ้ภายใน
ประชา
ชน
ภัย
คุกคาม
หน่วยงาน
พันธมิตร
http:80 , ms-sql-s:1433
ผู้ดูแล
ระบบ
API Gateway
MPLS
ภัย
คุกคาม
ประชาช
น Internet
Application
Server4
ระบบทั้งหมดทางานผ่าน
โปรโตคอล http (ไม่
เข ้ารหัส) เกือบทั้งหมด
ms-sql-s:1433
ms-sql-: 1433
Application (LABX)
& Interface Server
http:80
http:80

16. ตัวอย่างข ้อมูลจาก web Log
GovOrg#1(Public Utility)
GovOrg#2(Health)

17. General Statistics
GovOrg#1(Public Utility) GovOrg#2(Health)

18. Daily Hits
GovOrg#1(Public Utility) GovOrg#2(Health)

19. Acitvity by Hour of Day
GovOrg#1(Public Utility) GovOrg#2(Health)

20. Most Popular Pages
GovOrg#1(Public Utility)
GovOrg#2(Health)

21. Visitor: Top Hosts
GovOrg#1(Public Utility) GovOrg#2(Health)

22. Most Active Countries
GovOrg#1(Public Utility)
GovOrg#2(Health)

23. Top Referring Sites
GovOrg#1(Public Utility)
GovOrg#2(Health)

24. Most Used Browsers
GovOrg#1(Public Utility) GovOrg#2(Health)

25. คาถามที่ 2: จากข ้อมูลตัวอย่างวิจารณ์ใน
ประเด็นต่อไปนี้
1. หน่วยงานใดมีความเสี่ยงจากการถูกโจมตีทาง cyber มากกว่ากัน ?
2. หน่วยงานใดน่าจะมีผู้ใช ้ที่ไม่ได ้รับอนุญาต ?
3. หน่วยงานใดบริหารจัดการ Firewall ได ้ดีกว่ากัน ?
4. หน่วยงานใดมีความเสี่ยงเรื่องรหัสผ่านรั่วไหล?
5. หน่วยงานใดมีกระบวนการจัดเก็บ web log ที่คงเส ้นคงวามากกว่ากัน ?
6. หน่วยงานใดมีความพร ้อมในการวิเคราะห์ web log มากกว่ากัน ?

26. Q&A