什么是日志审计

1、什么是日志审计

对每天所记录的信息进行审计和检查
应该是涉及到重要的信息记录,所以对其真实性的完整性进行考量

2、日志审计介绍

https://zhidao.baidu.com/question/519807266620033285.html?qbl=relate_question_4&word=%C8%D5%D6%BE%C9%F3%BC%C6%D7%F6%CA%B2%C3%B4

当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击,也有来自于企业和组织内部的违规和泄漏。

为了不断应对新的安全挑战,企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM,等等。这些安全系统都仅仅防堵来自某个方面的安全威胁,形成了一个个安全防御孤岛,无法产生协同效应。更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患

另一方面,企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求,也对当前日志审计提出了严峻的挑战。下表简要列举了部分相关法律法规对于日志审计的要求:

尤其是国家信息系统等级保护制度的出台,明确要求二级以上的信息系统必须对网络、主机和应用进行安全审计。

综上所述,企业和组织迫切需要一个全面的、面向企业和组织IT资源(信息系统保护环境)的、集中的安全审计平台及其系统,这个系统能够收集来自企业和组织IT资源中各种设备和应用的安全日志,并进行存储、监控、审计、分析、报警、响应和报告。

日志审计系统的基本组成:

对于一个日志审计系统,从功能组成上至少应该包括信息采集、信息分析、信息存储、信息展示四个基本功能:

1)   日志采集功能:系统能够通过某种技术手段获取需要审计的日志信息。对于该功能,关键在于采集信息的手段种类、采集信息的范围、采集信息的粒度(细致程度)。

2)   日志分析功能:是指对于采集上来的信息进行分析、审计。这是日志审计系统的核心,审计效果好坏直接由此体现出来。在实现信息分析的技术上,简单的技术可以是基于数据库的信息查询和比较;复杂的技术则包括实时关联分析引擎技术,采用基于规则的审计、基于统计的审计、基于时序的审计,以及基于人工智能的审计算法,等等。

3)   日志存储功能:对于采集到原始信息,以及审计后的信息都要进行保存,备查,并可以作为取证的依据。在该功能的实现上,关键点包括海量信息存储技术、以及审计信息安全保护技术。

4)   信息展示功能:包括审计结果展示界面、统计分析报表功能、告警响应功能、设备联动功能,等等。这部分功能是审计效果的最直接体现,审计结果的可视化能力和告警响应的方式、手段都是该功能的关键。

日志审计系统的选型指南:

那么,我们如何选择一款合适的日志审计系统呢?评价一款日志审计系统需要关注哪些方面呢?笔者认为至少应该从以下几个方面来考虑:

1、  由于一款综合性的日志审计系统必须能够收集网络中异构设备的日志,因此日志收集的手段应要丰富,建议至少应支持通过Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA等协议采集日志,支持从Log文件或者数据库中获取日志。

2、  日志收集的性能也是要考虑的。一般来说,如果网络中的日志量非常大,对日志系统的性能要求也就比较高,如果因为性能的问题造成日志大量丢失的话,就完全起不到审计的作用的了。目前,国际上评价一款日志审计产品的最重要指标叫做“事件数每秒”,英文是Event per Second,即EPS,表明系统每秒种能够收集的日志条数,通常以每条日志0.5K~1K字节数为基准。一般而言,EPS数值越高,表明系统性能越好。

3、  应提供精确的查询手段,不同类型日志信息的格式差异非常大,日志审计系统对日志进行收集后,应进行一定的处理,例如对日志的格式进行统一,这样不同厂家的日志可以放在一起做统计分析和审计,必须注意的是,统一格式不能把原始日志破坏,否则日志的法律效力就大大折扣了。

4、  要让收集的日志发挥更强的安全审计的作用,有一定技术水平的管理员会希望获得对日志进行关联分析的工具,能主动挖掘隐藏在大量日志中的安全问题。因此,有这方面需求的用户可以重点考查产品的实时关联分析能力。

5、  应提供大容量的存储管理方法,用户的日志数据量是非常庞大的,如果没有好的管理手段,不仅审计查询困难,占用过多的存储空间对用户的投资也是浪费。

6、  日志系统存储的冗余非常重要,如果集中收集的日志数据因硬件或系统损坏而丢失,损失就大了,如果选购的是软件的日志审计系统,用户在配备服务器的时候一定要保证存储的冗余,如使用RAID5,或专用的存储设备,如果选购的是硬件的日志审计系统,就必须考查硬件的冗余,防止出现问题。

7、  应提供多样化的实时告警手段,发现安全问题应及时告警,还要提供自定义报表的功能,能让用户做出符合自身需求的报表。

以上是笔者针对日志审计系统的选型提出的几个建议,但在实际中,还有一些其他的问题需要考虑,像厂商的支持服务能力、产品案例的应用等等,这里就不一一列举了。

总之,信息安全基础设施的日趋复杂,使得我们已经从简单的日志管理时代迈入了系统性的日志综合审计时代,日志对于网络与信息安全的价值和作用必将越发重要。

如若满意,请点击右侧【采纳答案】,如若还有问题,请点击【追问】希望我的回答对您有所帮助,望采纳!

原文地址:https://www.cnblogs.com/andy9468/p/12305504.html

时间: 2024-10-11 20:58:39

什么是日志审计的相关文章

MySQL日志审计 帮你揪出内个干坏事儿的小子

MySQL日志审计 帮你揪出内个干坏事的小子 简介 Part1:写在最前 MySQL本身并不像MariaDB和Percona一样提供审计功能,但如果我们想对数据库进行审计,去看是谁把我的数据库数据给删了,该怎么办呢?我们主要利用init-connect参数,让每个登录的用户都记录到我们的数据库中,并抓取其connection_id(),再根据binlog就能够找出谁干了那些破事儿. MariaDB如何审计,可移步: http://suifu.blog.51cto.com/9167728/1857

日志审计策略配置audit

日志审计策略配置 1.   系统缺省已经开启syslog/rsyslog服务,禁止关闭.系统syslog/rsyslog服务会将所有系统日志自动记录到/var/log/messages文件中,系统日志永久保留. 2.   开启audit审计功能,可以监控指定用户或目录,缺省会监控root的所有登录和操作. l  添加规则到 /etc/audit/audit.rules(RHEL7为/etc/audit/rules.d/audit.rules) 文件中,实现监控所有用户的登录行为,包含用户所有操作

生产环境日志审计解决方案

思路:sudo 配合syslog 服务,进行日志审计 具体方法: 安装sudo命令,rsyslog服务(centos6.4) 注意:默认情况下,centos5.8系统中已安装上sudo和syslog服务 检查是否安装好,具体操作如下: [[email protected] ~]# rpm -qa |egrep "sudo|rsyslog" rsyslog-5.8.10-8.el6.i686 sudo-1.8.6p3-15.el6.i686 如果没有安装,则有yum进行安装: [[ema

linux日志审计项目案例实战(生产环境日志审计项目解决方案)

所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析.处理.展示(包括文本或者录像) 推荐方法:sudo配合syslog服务,进行日志审计(信息较少,效果不错) 1.安装sudo命令.syslog服务(centos6.4或以上为rsyslog服务) [[email protected]_back ~]#rpm -qa "sudo|syslog"   查询系统是否已安装sudo.syslog程序 rsyslog-5.8.10-8.el6.x86_64 sudo-1.8.6

linux日志审计2

http://www.cnblogs.com/ahuo/archive/2012/08/24/2653905.html http://people.redhat.com/sgrubb/audit/ (1)audit sudo apt-get install auditd syslog会记录系统状态(硬件警告.软件的log), 但syslog属于应用层, log归咎与软件, 并不会记录所有动作. 于是audit来记录更多信息. (2) inotify. inotify 是文件系统事件监控机制,是细

Web安全开发指南--异常错误处理与日志审计

1.异常错误处理与日志审计 5.1.日志审计系统安全规则 1 日志系统能够记录特定事件的执行结果(比如 成功或失败). 确保日志系统包含如下重要日志信息: 1.  日志发生的时间: 2.  事件的严重等级: 3.  能够标识该事件为安全事件的标签: 4.  导致事件产生的对象: 5.  导致事件产生的IP地址: 6.  事件的结果(成功或失败): 7.  关于事件的描述. 2 如果使用浏览器查看日志,确保先对日志数据进行净化.(item1.2请参考附录11.8) 3 不要在日志中存储任何敏感数据

python的paramiko源码修改了一下,写了个操作命令的日志审计 bug修改

python的paramiko源码修改了一下,写了个操作命令的日志审计,但是记录的日志中也将backspace删除键记录成^H这个了,于是改了一下代码,用字符串的特性. 字符串具有列表的特性 >>> a="hello world" >>> a[:-1] 'hello worl' 转义符 转义字符 \(在行尾时) 续行符 \\ 反斜杠符号 \' 单引号 \" 双引号 \a 响铃 \b 退格(Backspace) \e 转义 \000 空 \n

centos6 配置sudo命令日志审计

配置sudo命令日志审计 说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户的操作. 项目实战: 服务器日志审计项目提出与实施 权限方案实施后,权限得到了细化控制,接下来进一步实施以地所有用户日志记录方案. 通过sudo和syslog(rsyslog)配合实现对所有用户进行日志审计并将记录集中管理(发送到中心日志服务器). 实施后,让所有运维和开发的所有执行的sudo管理命令都记录可查,杜绝了内部人员的操作安全隐患 生产环境日志审记解决之案: 法1:通

模拟sudo+rsyslog日志审计功能

生产环境日志审计解决方案 所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析.处理.展示(包括文本或者录像) 1) 通过环境变量命令及syslog服务进行全部日志审计(信息太大,不推荐) 2) Sudo配合syslog服务,进行日志审计(信息较少,效果不错) 3) 在bash解释器程序里嵌入一个监控器,让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序 4) 齐治的堡垒机:商业产品 Sudo日志审计:专门对使用sudo命令的系统用户记录其执行的命令相关

Linux 6.8 sudo 日志审计

公司内Linux服务器启用了SUDO权限管理,但还是有一定的风险,所以为了便于管理和后续维护,开启sudo日志审计的功能,对用户执行的sudo命令的操作行为进行记录,但又不记录其他的命令. 一.rsyslog 全部操作日志审计,信息量大,不方便以后查阅,我们选择只对sudo进行日志审计. 二.使用rpm -qa 查询是否安装服务,若没有就使用yum install XXXX -y 安装服务 [[email protected] ~]# rpm -qa |grep sudo sudo-1.8.6p