2025年信息系统安全专家SIEM数据采集与日志源配置专题试卷及解析.pdfVIP

2025年信息系统安全专家SIEM数据采集与日志源配置专题试卷及解析1

2025年信息系统安全专家SIEM数据采集与日志源配置专

题试卷及解析

2025年信息系统安全专家SIEM数据采集与日志源配置专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在SIEM系统中，以下哪种日志源通常需要通过代理（Agent）进行数据采集？

A、Windows系统日志

B、防火墙日志

C、Web服务器访问日志

D、DNS查询日志

【答案】A

【解析】正确答案是A。Windows系统日志通常需要通过部署在主机上的代理进行

采集，因为Windows系统的日志格式和访问机制需要专门的解析器。B、C、D选项通

常可以通过Syslog、API或文件共享等方式直接采集。知识点：SIEM数据采集方式。

易错点：容易误认为所有日志源都可以通过Syslog直接采集。

2、在配置日志源时，以下哪个参数对于确保日志数据的完整性最为关键？

A、日志格式

B、时间戳

C、采集频率

D、存储路径

【答案】B

【解析】正确答案是B。时间戳是确保日志数据完整性和可追溯性的关键参数，它

记录了事件发生的准确时间。A选项影响解析，C选项影响实时性，D选项影响存储。

知识点：日志源配置参数。易错点：容易忽视时间戳的重要性，而关注其他参数。

3、以下哪种日志格式最适合SIEM系统进行结构化解析？

A、纯文本格式

B、JSON格式

C、二进制格式

D、压缩格式

【答案】B

【解析】正确答案是B。JSON格式具有明确的结构化特征，便于SIEM系统进行

字段提取和解析。A选项需要正则表达式解析，C和D选项需要额外处理。知识点：日

志格式选择。易错点：容易误认为纯文本格式最通用，而忽视结构化格式的优势。

4、在配置防火墙日志源时，以下哪个字段通常用于标识源IP地址？

A、src_ip

2025年信息系统安全专家SIEM数据采集与日志源配置专题试卷及解析2

B、dest_ip

C、action

D、protocol

【答案】A

【解析】正确答案是A。src_ip是防火墙日志中常用的字段名，用于标识源IP地

址。B选项是目标IP，C选项是动作，D选项是协议。知识点：防火墙日志字段。易

错点：容易混淆src_ip和dest_ip的含义。

5、以下哪种采集方式适用于无法直接访问的远程日志源？

A、Agent采集

B、Syslog采集

C、API采集

D、文件共享采集

【答案】C

【解析】正确答案是C。API采集适用于无法直接访问的远程日志源，通过调用API

获取数据。A、B、D选项都需要一定程度的直接访问权限。知识点：SIEM数据采集方

式。易错点：容易忽视API采集的适用场景。

6、在配置日志源时，以下哪个步骤通常在字段映射之前完成？

A、数据解析

B、数据过滤

C、数据存储

D、数据可视化

【答案】A

【解析】正确答案是A。数据解析是字段映射的前提，只有解析出原始字段后才能

进行映射。B、C、D选项通常在字段映射之后进行。知识点：日志源配置流程。易错

点：容易混淆字段映射和数据过滤的顺序。

7、以下哪种日志类型通常包含用户登录活动的详细信息？

A、系统日志

B、安全日志

C、应用日志

D、审计日志

【答案】B

【解析】正确答案是B。安全日志专门记录安全相关事件，如用户登录、权限变更

等。A选项是系统事件，C选项是应用运行信息，D选项是操作审计。知识点：日志类

型分类。易错点：容易混淆安全日志和审计日志的内容。

8、在配置日志源时，以下哪个参数用于控制日志数据的保留时间？

2025年信息系统安全专家SIEM数据采集与日志源配置专题试卷及解析