什麼是日誌
簡單地說,日誌就是計算機系統、裝置、軟體等在某種情況下記錄的資訊。具體的內容取決於日誌的**。例如,unix作業系統會記錄使用者登入和登出的訊息,防火牆將記錄acl通過和拒絕的訊息,磁碟儲存系統在故障發生或者在某些系統認為將會發生故障的情況下生成日誌資訊。日誌中有大量資訊,這些資訊告訴你為什麼需要生成日誌,系統已經發生了什麼。例如,web伺服器一般會在有人訪問web頁面請求資源(、檔案等等)的時候記錄日誌。如果使用者訪問的頁面需要通過認證,日誌訊息將會包含使用者名稱。這就是日誌資料的乙個例子:可以使用使用者名稱來判斷誰訪問過乙個資源。通過日誌,it管理人員可以了解系統的執行狀況,安全狀況,甚至是運營的狀況。
日誌的重要性
在乙個完整的資訊系統裡面,日誌系統是乙個非常重要的功能組成部分。它可以記錄下系統所產生的所有行為,並按照某種規範表達出來。我們可以使用日誌系統所記錄的資訊為系統進行排錯,優化系統的效能,或者根據這些資訊調整系統的行為。在安全領域,日誌可以反應出很多的安全攻擊行為,比如登入錯誤,異常訪問等。日誌還能告訴你很多關於網路中所發生事件的資訊,包括效能資訊、故障檢測和入侵檢測。日誌會成為在事故發生後查明「發生了什麼」的乙個很好的「取證」資訊**。日誌可以為審計進行審計跟蹤。
被低估的日誌
在很多企業環境中,日誌沒有得到重視。日誌往往在日常工作中被完全忽視,僅僅在磁碟空間不足的時候才會引起人們的注意。而在這個時候它們往往未經檢視就被刪除了。某些情況下,日誌中的一些訊息可能指出磁碟滿的原因。很多人都有過檢視已被入侵的機器的經歷,在詢問日誌儲存的位置之後,我們會聽到:「噢,它們只會佔據空間,所以我們把它們刪掉了。」在大多數這種情況下,我們沒有什麼可做的。
為什麼日誌不受重視呢?這是有很多原因的。首先是領導的重視程度,在中國大多數領導重視的是業務,而不是運維或者安全等。其次是日誌以各種形狀和大小出現,有時候很難從中提取資訊,日誌的內容不好理解。syslog資料可能相當糟糕,因為大多數資料都是自由格式的文字。從syslog中獲取有用的資料需要花費一些精力,而且需要處理的資料量可能很大。例如,有些**每週會收集幾個gb的日誌資料,有的可能一天內就能達到這樣的量級。這樣的數量似乎令人不知所措,大多數管理員最終往往根據特定的時間內看到的東西,根據經驗寫出一些指令碼來尋找一些隨機的東西。
為什麼需要日誌
從運維角度來看:
乙個成功的軟體,全力開發的時間可能佔其整個生命週期的1/4還不到,軟體發布後要運維(operation),運維的資料能反應開發,同時,開發的時候也得考慮可運維性,其中非常重要的一點是日誌,沒有日誌,運維就瞎了大半。所以在運維的過程中基本上是靠日誌來判斷問題,解決問題。
日誌對業務分析也是非常重要的,比如乙個**,**的歷史訪問情況,新增訪問情況,哪些頁面訪問最多等等。
從安全角度來看:
安全產品的零散性
安全領域的特點,即他和現有的所有層面的it技術和產品都有關聯,他和網路技術、主機作業系統、應用軟體、人為管理、個人pc、伺服器、內容安全、**網等所有領域都有關係,因此幾乎沒有乙個廠商能夠將自己的安全產品覆蓋到所有領域,安全有無數的細分領域:防火牆、入侵檢測、掃瞄器、sso、審計、補丁管理、集中認證、一次性口令、ldap、加密儲存、鏈路層加密、防毒、內容安全、sniffer、forensics、pki、安全服務、策略管理等等,每個領域都有乙個最強大的廠商,在這樣乙個零散的環境中,你必須面對每個廠商不同的管理介面和終端,這是乙個非常大的挑戰。
海量資料帶來的效率低下
安全產品部署的過程中,最為嚴重和突出的現象是會出現大量的安全事件,乙個標準的網路入侵監測系統採用預設的策略,在乙個百兆的鏈結上每天可能產生超過千萬數量的事件,海量的資料常常讓我們的安全產品變得沒有任何意義,即使經過調整和優化的策略,也充斥著無意義資料和誤報。入侵監測等安全產品也正是因為這種原因被人詬病。有些無效資料是由安全產品的機制自身導致的,他本身無法徹底解決該問題,企業面臨的難題是,必須減少但不丟失安全事件,這樣才能讓我們對安全產品的管理變得可能和有效率。
日誌格式不統一
每種裝置型別的日誌格式都不相同,各有各的表達,即時是表達同一件事情,也都有各自的表達方式。例如同樣的登入失敗資訊,防火牆中的描述和主機作業系統中的描述格式就可能根本不相同。這迫使審計人員去了解每種裝置型別的格式。
國家法律法規要求
gb/t 22239-2008《資訊保安技術 資訊系統安全等級保護基本要求》對於二級以上資訊系統,在網路安全、主機安全和應用安全等基本要求中明確要求進行安全審計。而日誌審計是符合這些要求的基本手段。
《網際網路安全保護技術措施規定》(公安部82號令)第八條要求具備「記錄、跟蹤網路執行狀態,監測、記錄使用者各種資訊、網路安全事件等安全審計功能」。 l
《商業銀行內部控制指引》第一百二十六條指出「商業銀行的網路裝置、作業系統、資料庫系統、應用程式等均當設定必要的日誌。日誌應當能夠滿足各類內部和外部審計的需要」。
《銀行業資訊科技風險管理指引》 第第二十七條要求銀行業應制定相關策略和流程,管理所有生產系統的日誌,以支援有效的審核、安全取證分析和預防欺詐。
《保險公司資訊系統安全管理指引(試行)》第四十四條要求「對主機系統進行審 計,妥善管理並及時分析處理審計記錄。對重要使用者行為、異常操作和重要系統命令的使用等應進行重點審計」。
《網路安全法(草案)》第三章網路執行安全中第一節一般規定的第三條要求「採取記錄、跟蹤網路執行狀態,監測、記錄網路安全事件的技術措施,並按照規定留存網路日誌」。
《薩班斯(sox)法案》404條款,公司管理層建立和維護內部控制系統及相應控制程式充分有效的責任;發行人管理層最近財政年度末對內部控制體系及控制程式有效性的評價。(注:在sox中,資訊系統日誌審計系統及其審計結果是評判內控評價有效性的乙個重要工具和佐證)
通過以上分析,可以得知日誌分析還是很重要的,所以要盡早把日誌利用起來。
賽克藍德日誌分析軟體(secilog)可以免費給大家使用,也歡迎贊助。
日誌審計系統 事件日誌審計 syslog審計
日誌審計系統 事件日誌審計 syslog審計 任何it機構中的windows機器每天都會生成巨量日誌資料。這些日誌包含可幫助您的有用資訊 獲取位於各個windows事件日誌嚴重性級別的所有網路活動的概述。識別網路異常和潛在的安全漏洞。識別多次登入失敗 嘗試訪問未經授權的站點或檔案等等事件。跟蹤任何事...
Windows系統日誌審計
實驗背景針對網路中windows伺服器攻擊經常發生的情況,管理員需要在伺服器工作出現異常情況後,進行快速的響應,並且需要及時定位受到入侵的服務,發現黑客入侵的手段,找到系統的脆弱點並且加以修補,windows server 提供的日誌工具可以協助我們完成相關操作。windows系統中日誌分為三種,分...
為什麼需要作業系統
對於乙個程式而言,它為了保障自己的程式執行流暢,勢必就會要求自己分配到的資源越多越好,但是計算機的資源總是有限的,大家都自顧自搶資源的話,要麼就是大家一起跑不動,要麼就是某幾個程式把別的程式的資源都擠占掉。更麻煩的是,由於程式設計者不可能 到自己的程式會和什麼樣的別的程式同時在乙個電腦中執行,所以很...