Linux日志管理规定.docxVIP

Linux日志管理规定

一、概述

Linux日志是系统运行状态、安全事件和用户活动的记录，对于系统管理、故障排查和安全审计至关重要。制定科学合理的日志管理规定，能够确保日志的完整性、可用性和安全性，提升系统运维效率。本规定旨在明确Linux日志的管理流程、存储策略、访问控制及定期维护要求，适用于所有公司内部使用的Linux服务器。

二、日志管理流程

（一）日志收集

1.系统日志收集：所有服务器需配置统一日志收集工具（如Syslog、Fluentd或ELKStack），将/var/log目录下的关键日志（包括syslog、auth.log、secure.log、messages等）实时或准实时传输至中央日志服务器。

2.应用日志收集：各业务应用需将访问日志、错误日志等主动推送至日志平台，格式需统一为JSON或CSV。

3.配置要求：

-日志传输协议采用TLS加密（传输加密级别不低于AES-256）。

-传输延迟控制在5分钟以内，异常传输需触发告警。

（二）日志存储

1.存储方式：采用分布式文件系统（如HDFS）或对象存储（如S3）存储日志，单个日志文件保留周期不少于6个月，安全日志（auth.log、secure.log）保留周期不少于12个月。

2.存储结构：按时间分层存储，最近30天日志存储在高速SSD，30天以上日志归档至低成本磁盘。

3.压缩与归档：日志文件超过1GB自动压缩（GZIP格式），每年1月1日对前一年日志进行归档处理。

（三）日志审计

1.审计范围：覆盖所有登录事件（sshd登录）、权限变更（chmod/chown）、关键操作（如数据库连接、文件修改）。

2.审计工具：部署日志审计系统（如Splunk、Graylog）进行关键词检索和规则匹配，定期生成安全事件报告。

3.审计流程：

-每日自动校验日志完整性（通过哈希校验或校验和对比）。

-安全团队每周抽查高危日志记录，核对异常行为。

三、日志访问控制

（一）访问权限

1.基础权限：仅系统管理员可访问原始日志文件，运维人员需通过日志平台API或Web界面查看，禁止直接下载完整日志。

2.角色权限：

-普通运维：可查看系统日志和应用日志的摘要视图。

-安全分析师：可访问全部日志并执行全文检索。

3.访问记录：所有日志访问需记录操作人、时间、IP及操作内容，存储周期与日志本身一致。

（二）安全防护

1.防止篡改：通过RAID1或日志签名机制防止日志被恶意修改。

2.访问加密：日志平台访问采用HTTPS协议，API接口使用JWT认证。

3.定期检查：每月进行日志访问权限复核，清理冗余授权。

四、日志维护操作

（一）日常维护

1.日志清理：

-每晚自动清理/var/log目录下超过90天的日志文件。

-应用日志按业务需求设置清理周期（如访问日志保留30天）。

2.工具校验：每周检查日志收集工具的运行状态，确保无中断。

（二）故障处理

1.日志丢失：若发现日志缺失，需立即排查原因：

-检查日志传输配置是否失效。

-查看中央日志服务器的磁盘空间是否不足。

-重新推送未传输的日志。

2.日志异常：当日志中出现大量错误或格式异常时，需：

-暂停相关服务排查源头。

-保留异常日志样本并通报开发团队。

五、附则

1.责任人：IT运维团队负责日志系统的日常运维，安全部门负责审计监督。

2.更新机制：本规定每年6月1日根据实际需求修订一次。

3.培训要求：新入职运维人员需接受日志管理培训，考核合格后方可操作日志系统。

二、日志管理流程

（一）日志收集

1.系统日志收集：

目标：确保所有关键系统日志被完整、准确地收集到中央日志服务器，以便集中管理和分析。

配置要求：

收集源（客户端）配置：

（1）对所有目标Linux服务器（物理机或虚拟机）安装日志收集客户端软件（如FluentdAgent、Syslog-ng或自定义脚本）。

（2）配置客户端，使其监听指定的日志源端口（通常为UDP514或TCP514，建议使用TCP以防止UDP丢包）。对于某些特殊日志（如内核消息），可能需要配置特定的klogd参数或sysctl设置来调整日志输出行为。

（3）明确需要收集的日志文件路径，通常包括但不限于：

`/var/log/syslog`或`/var/log/messages`：通用系统消息。

`/var/log/auth.log`或`/var/log/secure`：认证相关日志（登录、sudo等）。

`/var/log/cron`：计划任务执行日志。

`/var/log/authpriv`：特权命令日志（如su）。

`/var/log/k