澳洲房仲網站追蹤Log防堵營運資訊被竊

澳洲房仲網站Realestate.com.au利用網站伺服器的Log記錄檔找出異常使用行為，防止房仲資料遭不法使用。

近年來，Log檔分析的應用越來越多元，有的公司甚至可以用來協助營運，澳洲大型房仲網站Realestate.com.au（簡稱Realestate）就是其中一例，Realestate長期蒐集網站伺服器的Log記錄檔，分析後能自動找出使用者的不當使用行為，像是竊取網站房產資料的行為，再搭配IP位址追蹤，作為企業法務人員採取進一步法律行為的依據。

REA集團旗下Realestate.com.au是澳洲最大規模的房屋仲介網站，同時提供買賣屋、長短期租屋的仲介資訊，光是在2009年9月時，單月網站瀏覽人數就達到527萬人次，最大收益來自於廣告。

因為超高瀏覽人次，Realestate網站的IT營運長James Wilson表示，之前有不少人上網偷取他們在線上的房產資料，並且在未經授權的情況之下，私放在自己的網站上提供仲介服務，除了侵害智慧財產權之外，也對Realestate網站的廣告收入產生負面影響。

當時Realestate為了監控應用程式的執行狀態，在1年前導入了Splunk來分析應用系統產生的Log記錄檔。Splunk可以在Realestate的系統遇到錯誤時，自動透過簡訊或電子郵件將問題通知IT部門，以快速發現並即時解決。

因為系統的Log記錄檔和網站伺服器的Log記錄檔都是以時間順序來記錄的文字資訊，所以，James Wilson也開始嘗試用Splunk來分析網站伺服器所產生的Log檔，希望能找出異常的使用行為。James Wilson表示，過去就算知道網站的資料被竊取，但無法知道究竟是誰竊取資料，以及將偷取的資料放置在何處，因此，就算知道被竊取，法務人員也因為沒有有效的證據，而無法提告。

於是，James Wilson利用之前導入的Splunk搜尋軟體，來分析Apache伺服器產生的Log記錄檔。先在Splunk軟體中界定出合法與非法的用量定義，並搭配IP位址作為搜尋時的比對特徵之一，將使用者的用量或是下載資料量記錄下來。

要先定義出系統可用的非法行為特徵
James Wilson表示，最花時間的工作是如何定義合法與非法的瀏覽行為與下載量。比如說，他們發現，在半夜12點以後下載大量數據，以及每天超過6小時的下載時間，就很有可能是非法的使用行為。將這些條件作為系統警示條件，一旦發現了符合條件的使用者，系統就會開始發出警示、自動記錄用量、追蹤IP位址、記錄下載的資料。

James Wilson說，光是要找出這些定義，至少就花了6周時間。

建立示警機制後，再搭配預防機制
建立了示警機制後，Realestate也進一步建立預防機制。比如說，當系統設定好異常使用行為後，一旦出現這些行為時，系統會通知IT部門，負責員工可以立刻察看異常事件的詳細訊息，並延長網站回應資料的等候時間，積極減少異常使用行為的發生。

這些收集下來的Log數據和分析，在法務部門提出訴訟時，也是很重要的證據。透過這些數據甚至能讓法務部門的人清楚指出，被竊取的機密資料用於哪些網站。

James Wilson表示，藉由Log分析找出的這些資訊，讓他們得以循線抓到竊取資料的不當使用者。文⊙辜雅蕾