Sì, i tentativi di accesso non riusciti devono essere registrati:
- Vuoi sapere quando le persone cercano di entrare
- Vuoi capire perché i tuoi account vengono bloccati
È anche molto importante - il precedente processo di registrazione di Windows non lo ha mai enfatizzato abbastanza - per registrare anche tentativi di accesso riusciti . Perché se hai una stringa di tentativi di accesso falliti, dovresti davvero sapere se l'ultimo è stato seguito da un login riuscito.
I log sono relativamente piccoli. Se ci fossero stati sufficienti tentativi di accesso che la registrazione avrebbe causato un problema, allora "non conoscere i tentativi" è probabilmente un problema peggiore di "averli scoperti quando abbiamo finito il disco."
Una rapida avvertenza - come sottolinea @Polynomial, la password non dovrebbe essere registrata (mi sembra di ricordare che 25 anni fa alcuni sistemi lo facevano ancora). Tuttavia, è anche necessario essere consapevoli del fatto che alcuni tentativi di accesso legittimi falliranno quando le persone inseriranno la propria password nel campo del nome utente, in modo che le password vengano registrate. Dubitare di me? Esegui il traino dei tuoi log per l'ID evento 4768 di Windows:
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4768
EventType=0
Type=Information
ComputerName=dc.test.int
TaskCategory=Kerberos Authentication Service
OpCode=Info
RecordNumber=1175382241
Keywords=Audit Failure
Message=A Kerberos authentication ticket (TGT) was requested.
Account Information:
Account Name: gowenfawr-has-a-cool-password
Supplied Realm Name: TEST.INT
User ID: NULL SID
Di conseguenza, dovresti limitare l'accesso a questi log alle persone necessarie: non limitarti a riversarli in un SIEM a cui l'intera azienda ha accesso in lettura.
Aggiornamento per indirizzare la modifica della domanda:
Based on the answers so far, one other question that occurred to me is
whether web server logs would be enough for logging such attempts.
Would it be redundant to log them in the database?
Le migliori pratiche sono che i registri devono essere inoltrati a un aggregatore di registri separato in ogni caso, ad esempio, si consideri PCI DSS 10.5.4. In pratica, un tale aggregatore è solitamente un SIEM e funziona come un database piuttosto che come file di registro flat.
Quindi, sì, è "ridondante" per definizione, ma è il tipo di ridondanza che è una funzionalità di sicurezza, non un errore architettonico.
I vantaggi di registrarli in un database includono ricerca, correlazione e sommatoria. Ad esempio, la seguente ricerca di Splunk:
source="/var/log/secure" | regex _raw="authentication failure;" | stats count by user,host
Ci consentirà di ripristinare i fallimenti dell'autenticazione da parte dell'utente e dell'host:
Sinotichelapossibilitàdiinterrogarecampidiscreticome"utente" e "host" dipende dai log di prelievo di SIEM e dalla comprensione di cosa significa cosa. L'accessibilità di questi campi qui è un effetto collaterale di Splunk per l'analisi automatica dei log per me.
Dato che la tua domanda originale riguardava i limiti di spazio, va sottolineato che qualsiasi soluzione di database o SIEM richiederà più spazio su disco rispetto ai log di file di testo flat. Tuttavia, se si utilizza tale soluzione, quasi sempre la si inserisce in un server separato per motivi di sicurezza e di gestione dello spazio. (Esistono anche soluzioni SIEM-in-the-cloud per semplificarti la vita!)