# Log Management

## 1. What is Log Management?

Đúng như tên gọi, Quản lý log cung cấp quyền truy cập vào tất cả logs trong một môi trường (web logs, OS logs, firewall, proxy, EDR, etc.) và cho phép bạn quản lý chúng ở một nơi.&#x20;

Điều này làm tăng hiệu quả và tiết kiệm thời gian.&#x20;

Nếu bạn không thể truy cập log từ một nơi thì yêu cầu tương tự (ví dụ: mục tiêu là xác định tất cả người dùng trên letdefend.io) sẽ phải được gửi đến các thiết bị khác nhau. Điều này sẽ làm tăng tỷ lệ sai sót và lượng thời gian bạn cần phải bỏ ra.&#x20;

Nếu truy cập trang "Log Management" trong LetsDefend, bạn sẽ thấy nhiều nguồn nhật ký khác nhau như Proxy, Exchange và Firewall được liệt kê là "Type". Điều này có nghĩa là tất cả các nguồn log này đã được thu thập ở một nơi và có thể xem đầu ra nhật ký từ các nguồn như Proxy, FW, v.v. chỉ bằng một truy vấn.

<figure><img src="/files/0Rb5kdQ5wE51clAI3Mg7" alt=""><figcaption></figcaption></figure>

## 2. Purpose of Log Management

Các nhà phân tích SOC thường dựa vào Log Management để xác định xem có bất kỳ liên lạc nào với một địa chỉ cụ thể hay không và để xem chi tiết về liên lạc đó.&#x20;

Giả sử bạn gặp một phần mềm độc hại và sau khi chạy nó, bạn phát hiện ra rằng nó đang giao tiếp và thực thi các lệnh từ địa chỉ "letsdefend.io".&#x20;

Trong trường hợp này, the command\&control center là "letsdefend.io", bạn có thể tìm kiếm "letsdefend.io" trong log management của công ty bạn để xem liệu có thiết bị nào đã cố gắng liên lạc với the command\&control center hay không.&#x20;

Điều này khiến chúng ta rơi vào tình huống thứ hai: Bạn thấy cảnh báo SIEM cho biết rằng thiết bị LetsDefendHost trên mạng của bạn đang rò rỉ dữ liệu tới địa chỉ IP 122\[.]194\[.]229\[.]59. Bạn đã tiến hành điều tra, cách ly thiết bị khỏi mạng, thực hiện các quy trình cần thiết và bây giờ bạn đã nắm quyền kiểm soát. Nhưng vẫn còn điều bạn chưa giải quyết: có thiết bị nào khác gửi dữ liệu đến địa chỉ IP đáng ngờ (122\[.]194\[.]229\[.]59) không? Cảnh báo có thể chỉ bao gồm LetsDefendHost, nhưng bạn vẫn nên tìm kiếm địa chỉ đáng ngờ trong log management để xem liệu có bất kỳ điều gì mà hệ thống có thể chưa phát hiện được hay không và thử tìm bất kỳ kết nối nào.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/soc-fundamentals/log-management.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.