日志审计应用及运维分析探索.docxVIP

? ? 日志审计应用及运维分析探索 ? ? ◆陈长辉 钟煜明 （广州番禺职业技术学院教育技术与信息中心 广东 511483） 在当今数据大爆炸的年代，任何信息都会产生日志，留下痕迹。设备的日志和系统的日志，能给予我们很多重要的信息，而关于网络安全的日志显得尤为重要，它能快速溯源黑客攻击痕迹、数据泄露追溯、运维提升效率等。因此，基于网络安全下的日志审计技术有着十分重要的意义。 1 日志的价值 1.1 国家战略政策 日志是行为或状态详细描述的载体，其时效性与信息丰富程度在网络安全事件分析、事件回溯和取证过程中起到重要作用。在法律层，日志也是重要的电子证据，日志记录、监控、审计手段等，可以帮助有效地减少信息破坏、信息泄露的问题，对违法行为起到一定威慑作用。2017年6月1日，《中华人民共和国网络安全法》正式实施，规定采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于180天。 1.2 日志的重要性 任何系统都会产生日志，包括了行为的日志、操作的日志、数据的日志、访问的日志等，日志的价值除了满足网络安全法和信息系统等级保护2.0标准之外，还具有分析调查、溯源取证、大数据收集、事件行为联动等重要作用。作为网络管理员，也应该做到保存和保护好日志信息，并且做到处处留痕。 2 日志的保存及查阅存在的问题 2.1 磁盘占用大保存时间短 有些业务系统由于访问量大、使用频繁，操作系统日志、访问日志、运维日志、数据库日志、策略日志、出错日志、网络安全日志等，随时都会产生各种各样的日志，磁盘空间对于每天暴涨的日志，累积至少180天起来是个巨大的数据占用空间。 2.2 安全性低 由于日志的生成及保存将会占用磁盘巨大的空间，一旦磁盘分区占满，往往会影响业务的正常运作，所以操作系统或应用软件的设置上，大多数都会有自动清除日志的功能，但这功能同时也是一把双刃剑，很容易导致重要的日志被删除而无法追溯，而且黑客入侵服务器后，也会把入侵日志删掉。 2.3 分析困难 不同的日志都有不同的格式标准和表达定义，格式复杂多样，要全部看懂多种多样的日志内容是很困难的。并且日志存在体系不同，数据是孤立分散的，无法进行关联，无法提取出其中的共性，查询分析的时候难以做到“一文并查”的效果，管理员将要花费大量的时候在海量的日志中找出关联性或共同性，花费时间较多。 3 日志审计解决方法 3.1 日志的运维与收集 首先，设置好日志的运维和策略工作，以Windows2008系统为例，运行组策略管理器（gpedit.msc），依次展开菜单栏“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“审核策略”，在里面有多种审核的日志记录，默认情况下这些都是无审核的，手动把这些策略全部打开，成功和失败都勾上，如图1所示。这些内容的审核，对操作系统操作痕迹记录产生的日志是至关重要，同时也是黑客入侵所做操作的行为取证。 图1 本地组策略编辑设置 其次，当以上的多种审计日志触发后，日志量将会暴增，系统空间如果不做更改，日志文件默认是存放在C盘，必然很快撑爆而导致系统不稳定，并且也无法保证180天以上的日志记录。具体操作可以打开“计算机管理”—”事件查看器“—“Windows日志”，此菜单下能查看到操作系统下所有的日志，包括有应用程序日志、安全日志、安装日志、系统日志等。默认情况下这些日志都是按设定的日志文件大小而进行覆盖旧事件日志的，建议手动改为日志满时存档不覆盖事件或完全不覆盖事件，同时，也需要设置另存日志文件的磁盘空间，存放日志的磁盘分区或目录应与业务系统和操作系统所在目录分离，如图2所示。 图2 日志属性 3.2 综合日志审计平台 搭建综合日志审计平台，把日志转发到第三方平台上，这样一方面可不必担心服务器主机被入侵后黑客删除日志痕迹，另一方面第三方平台配置大存储空间，可保证磁盘空间充足，不必担心服务器主机因磁盘空间不足而导致的业务异常问题。综合日志审计平台需要满足以下几点需求： （1）具备高性能吞吐和丰富的数据源采集能力，能支持多种网络设备、安全设备、操作系统、应用软件、中间件、数据库或自定义接口的全域数据采集；支持多种数据格式的日志采集，通过数据标准化转换进行结构化统一标准处理，实现进一步的综合查询分析。 （2）能够对审计的日志进行网络安全攻击威胁分析、登录认证分析、设备异常分析、安全探查、攻击类型分布、攻击源排名等多维度的指标细化综合分析，并能根据用户自定义规则进行匹配分析，形式个性化的定制模型。 （3）审计与数据做到可视化，呈现数据统计报表，包括日报/周报/月报等，能通过拖拽操作实现仪表盘或审计报表数据的调整，做到开箱即用的简易操作。数据概要简明清晰，一目了然，满足运维监控人员日常需求，如图3所示。 图3 日志审计平台概要图 （4）完