日志审计系统设计

背景

萨班斯(SOX)法案。在美国上市公司必须遵循的“萨班斯(SOX)法案” 中要求对企业内部网络信息系统进行评估,其中涉及对业务系统操作、数据库访问等业务行为的审计。

日志审计模型

系统架构参考

四层模型

日志审计类别

1) HTTP 会话审计

从流量中还原 HTTP 会话数据,并根据会话特征进一步深度解析 HTTP BBS访问、HTTP 网页标题、HTTP 威胁情报、HTTP DGA 域名(DGA 域名库、机器学习)、搜索关键词及其他 HTTP 会话等,数据中至少包含请求方法、返回值、主机名、网页地址、用户代理、语言、服务器类型等数据。

以上Ngnix日志结构化示例

从结构化的视角看日志,可以从内在属性和外在属性着手。

内在属性是从时间戳、字段、字段命名等日志内容本身所具备的信息内容的角度,对日志进行分析。

外在属性是从来源、归属分类、资产信息等维度来分析。来源是指日志来自哪台主机、哪个 IP;归属分类是从日志的所属系统及日志用途等方面看日志;日志的资产信息是指日志的负责人、负责人的联系方式等相关信息,可以通过平台将日志与负责人进行关联,以便事故发生后可以直接通知到相关负责人

2) DNS 会话审计

从流量中还原 DNS 会话数据,并根据会话特征进一步深度解析 DNS 威胁情报、DNS DGA 域名、DNS 解码错误、DNS 解析错误、DNS 解析超时,数据中至少包含请求域名(FQDN)、DNS 服务器地址、DNS 服务器端口、请求返回解析地址等信息。

3)FTP 会话审计

从流量中还原 FTP 会话数据,数据中至少包含登录用户、传输文件名以及操作命令等信息。

3)Telnet 会话审计

从流量中还原 Telnet 会话数据,数据中至少包含登录用户以及操作命令的实际内容等信息。数据库会话审计从流量中还原主流数据库会话数据,如 Mysql、SQLServer、Oracle 等主流数据库,数据中至少应包含登录用户名、操作命令(抓取 SQL 语句)等信息。

4)邮件会话审计

从流量中还原邮件会话数据,包括 POP3,SMTP、IMAP 协议,数据中至少包含收件人、发件人、主题、附件名称等信息。

5)TLS 会话审计

从流量中还原 TLS 会话数据,主要针对 SSL/TLS 握手部分(非加密),数据中至少包含服务器及客户端证书、服务器名称等信息。

6)工控会话

从流量中还原应用协议为 IEC104、MMS、MODBUS、OPC、OPCUA、EthernetI IP 和 CIP 的工控会话,数据中包含工控会话的 MODBUS 的功能码、功能描述,支持解析 IEC、EthernetI IP 和 CIP 的命令等信息。

7)其他会话审计

其他会话均通过可以通过组合条件查询网络会话支撑审计,网络会话列表包含了全流量的会话还原留存,会话详情将根据 SSH、SMBv1/v2、DCERPC 自动适配字段展现。

日志分析系统

日志分析的关键环节主要集中在日志源识别、数据接入、数据结构化清洗、数据分析等环节。根据企业实际生产环境,日志数据分别有操作系统日志、网络设备日志、中间件日志、数据库日志、业务系统日志等类型。数据接入有 Agent、Syslog、SNMP 等方式。数据结构化涉及各种类型日志的清洗方式、字典扩展、正则解析、字段识别等内容,内容比较多,有一个标准化流程的话实施起来会相对容易。数据分析包括搜索、可视化,此外还要考虑监控、定时任务、报表等功能。在落地交付时,可以从业务维度,根据系统模块进行数据接入,先调研部分业务系统要实现的分析效果,然后针对这些需求做相应的告警、分析。后续用户还可接入更多的业务系统。也可以从功能维度做日志分析,即先调研所有系统要实现的分析目的,然后再做告警、分析。根据自身企业的需求选择对应的交付方式。

今天先到这儿,希望对技术领导力, 企业管理,系统架构设计与评估,团队管理, 项目管理, 产品管理,团队建设 有参考作用 , 您可能感兴趣的文章:
领导人怎样带领好团队
构建创业公司突击小团队
国际化环境下系统架构演化
微服务架构设计
视频直播平台的系统架构演化
微服务与Docker介绍
Docker与CI持续集成/CD
互联网电商购物车架构演变案例
互联网业务场景下消息队列架构
互联网高效研发团队管理演进之一
消息系统架构设计演进
互联网电商搜索架构演化之一
企业信息化与软件工程的迷思
企业项目化管理介绍
软件项目成功之要素
人际沟通风格介绍一
精益IT组织与分享式领导
学习型组织与企业
企业创新文化与等级观念
组织目标与个人目标
初创公司人才招聘与管理
人才公司环境与企业文化
企业文化、团队文化与知识共享
高效能的团队建设
项目管理沟通计划
构建高效的研发与自动化运维
某大型电商云平台实践
互联网数据库架构设计思路
IT基础架构规划方案一(网络系统规划)
餐饮行业解决方案之客户分析流程
餐饮行业解决方案之采购战略制定与实施流程
餐饮行业解决方案之业务设计流程
供应链需求调研CheckList
企业应用之性能实时度量系统演变

如有想了解更多软件设计与架构, 系统IT,企业信息化, 团队管理 资讯,请关注我的微信订阅号:

作者:Petter Liu
出处:http://www.cnblogs.com/wintersun/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
该文章也同时发布在我的独立博客中-Petter Liu Blog。

原文地址:https://www.cnblogs.com/wintersun/p/12038129.html

时间: 2024-11-24 03:55:14

日志审计系统设计的相关文章

MySQL日志审计 帮你揪出内个干坏事儿的小子

MySQL日志审计 帮你揪出内个干坏事的小子 简介 Part1:写在最前 MySQL本身并不像MariaDB和Percona一样提供审计功能,但如果我们想对数据库进行审计,去看是谁把我的数据库数据给删了,该怎么办呢?我们主要利用init-connect参数,让每个登录的用户都记录到我们的数据库中,并抓取其connection_id(),再根据binlog就能够找出谁干了那些破事儿. MariaDB如何审计,可移步: http://suifu.blog.51cto.com/9167728/1857

日志审计策略配置audit

日志审计策略配置 1.   系统缺省已经开启syslog/rsyslog服务,禁止关闭.系统syslog/rsyslog服务会将所有系统日志自动记录到/var/log/messages文件中,系统日志永久保留. 2.   开启audit审计功能,可以监控指定用户或目录,缺省会监控root的所有登录和操作. l  添加规则到 /etc/audit/audit.rules(RHEL7为/etc/audit/rules.d/audit.rules) 文件中,实现监控所有用户的登录行为,包含用户所有操作

生产环境日志审计解决方案

思路:sudo 配合syslog 服务,进行日志审计 具体方法: 安装sudo命令,rsyslog服务(centos6.4) 注意:默认情况下,centos5.8系统中已安装上sudo和syslog服务 检查是否安装好,具体操作如下: [[email protected] ~]# rpm -qa |egrep "sudo|rsyslog" rsyslog-5.8.10-8.el6.i686 sudo-1.8.6p3-15.el6.i686 如果没有安装,则有yum进行安装: [[ema

linux日志审计项目案例实战(生产环境日志审计项目解决方案)

所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析.处理.展示(包括文本或者录像) 推荐方法:sudo配合syslog服务,进行日志审计(信息较少,效果不错) 1.安装sudo命令.syslog服务(centos6.4或以上为rsyslog服务) [[email protected]_back ~]#rpm -qa "sudo|syslog"   查询系统是否已安装sudo.syslog程序 rsyslog-5.8.10-8.el6.x86_64 sudo-1.8.6

linux日志审计2

http://www.cnblogs.com/ahuo/archive/2012/08/24/2653905.html http://people.redhat.com/sgrubb/audit/ (1)audit sudo apt-get install auditd syslog会记录系统状态(硬件警告.软件的log), 但syslog属于应用层, log归咎与软件, 并不会记录所有动作. 于是audit来记录更多信息. (2) inotify. inotify 是文件系统事件监控机制,是细

Web安全开发指南--异常错误处理与日志审计

1.异常错误处理与日志审计 5.1.日志审计系统安全规则 1 日志系统能够记录特定事件的执行结果(比如 成功或失败). 确保日志系统包含如下重要日志信息: 1.  日志发生的时间: 2.  事件的严重等级: 3.  能够标识该事件为安全事件的标签: 4.  导致事件产生的对象: 5.  导致事件产生的IP地址: 6.  事件的结果(成功或失败): 7.  关于事件的描述. 2 如果使用浏览器查看日志,确保先对日志数据进行净化.(item1.2请参考附录11.8) 3 不要在日志中存储任何敏感数据

python的paramiko源码修改了一下,写了个操作命令的日志审计 bug修改

python的paramiko源码修改了一下,写了个操作命令的日志审计,但是记录的日志中也将backspace删除键记录成^H这个了,于是改了一下代码,用字符串的特性. 字符串具有列表的特性 >>> a="hello world" >>> a[:-1] 'hello worl' 转义符 转义字符 \(在行尾时) 续行符 \\ 反斜杠符号 \' 单引号 \" 双引号 \a 响铃 \b 退格(Backspace) \e 转义 \000 空 \n

centos6 配置sudo命令日志审计

配置sudo命令日志审计 说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户的操作. 项目实战: 服务器日志审计项目提出与实施 权限方案实施后,权限得到了细化控制,接下来进一步实施以地所有用户日志记录方案. 通过sudo和syslog(rsyslog)配合实现对所有用户进行日志审计并将记录集中管理(发送到中心日志服务器). 实施后,让所有运维和开发的所有执行的sudo管理命令都记录可查,杜绝了内部人员的操作安全隐患 生产环境日志审记解决之案: 法1:通

模拟sudo+rsyslog日志审计功能

生产环境日志审计解决方案 所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析.处理.展示(包括文本或者录像) 1) 通过环境变量命令及syslog服务进行全部日志审计(信息太大,不推荐) 2) Sudo配合syslog服务,进行日志审计(信息较少,效果不错) 3) 在bash解释器程序里嵌入一个监控器,让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序 4) 齐治的堡垒机:商业产品 Sudo日志审计:专门对使用sudo命令的系统用户记录其执行的命令相关