日志審計(jì)應(yīng)用及運(yùn)維分析探索

◆陳長(zhǎng)輝 鐘煜明

（廣州番禺職業(yè)技術(shù)學(xué)院教育技術(shù)與信息中心 廣東 511483）

在當(dāng)今數(shù)據(jù)大爆炸的年代，任何信息都會(huì)產(chǎn)生日志，留下痕跡。設(shè)備的日志和系統(tǒng)的日志，能給予我們很多重要的信息，而關(guān)于網(wǎng)絡(luò)安全的日志顯得尤為重要，它能快速溯源黑客攻擊痕跡、數(shù)據(jù)泄露追溯、運(yùn)維提升效率等。因此，基于網(wǎng)絡(luò)安全下的日志審計(jì)技術(shù)有著十分重要的意義。

1 日志的價(jià)值

1.1 國(guó)家戰(zhàn)略政策

日志是行為或狀態(tài)詳細(xì)描述的載體，其時(shí)效性與信息豐富程度在網(wǎng)絡(luò)安全事件分析、事件回溯和取證過(guò)程中起到重要作用。在法律層，日志也是重要的電子證據(jù)，日志記錄、監(jiān)控、審計(jì)手段等，可以幫助有效地減少信息破壞、信息泄露的問(wèn)題，對(duì)違法行為起到一定威懾作用。2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施，規(guī)定采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于180天。

1.2 日志的重要性

任何系統(tǒng)都會(huì)產(chǎn)生日志，包括了行為的日志、操作的日志、數(shù)據(jù)的日志、訪問(wèn)的日志等，日志的價(jià)值除了滿足網(wǎng)絡(luò)安全法和信息系統(tǒng)等級(jí)保護(hù)2.0標(biāo)準(zhǔn)之外，還具有分析調(diào)查、溯源取證、大數(shù)據(jù)收集、事件行為聯(lián)動(dòng)等重要作用。作為網(wǎng)絡(luò)管理員，也應(yīng)該做到保存和保護(hù)好日志信息，并且做到處處留痕。

2 日志的保存及查閱存在的問(wèn)題

2.1 磁盤占用大保存時(shí)間短

有些業(yè)務(wù)系統(tǒng)由于訪問(wèn)量大、使用頻繁，操作系統(tǒng)日志、訪問(wèn)日志、運(yùn)維日志、數(shù)據(jù)庫(kù)日志、策略日志、出錯(cuò)日志、網(wǎng)絡(luò)安全日志等，隨時(shí)都會(huì)產(chǎn)生各種各樣的日志，磁盤空間對(duì)于每天暴漲的日志，累積至少180天起來(lái)是個(gè)巨大的數(shù)據(jù)占用空間。

2.2 安全性低

由于日志的生成及保存將會(huì)占用磁盤巨大的空間，一旦磁盤分區(qū)占滿，往往會(huì)影響業(yè)務(wù)的正常運(yùn)作，所以操作系統(tǒng)或應(yīng)用軟件的設(shè)置上，大多數(shù)都會(huì)有自動(dòng)清除日志的功能，但這功能同時(shí)也是一把雙刃劍，很容易導(dǎo)致重要的日志被刪除而無(wú)法追溯，而且黑客入侵服務(wù)器后，也會(huì)把入侵日志刪掉。

2.3 分析困難

不同的日志都有不同的格式標(biāo)準(zhǔn)和表達(dá)定義，格式復(fù)雜多樣，要全部看懂多種多樣的日志內(nèi)容是很困難的。并且日志存在體系不同，數(shù)據(jù)是孤立分散的，無(wú)法進(jìn)行關(guān)聯(lián)，無(wú)法提取出其中的共性，查詢分析的時(shí)候難以做到“一文并查”的效果，管理員將要花費(fèi)大量的時(shí)候在海量的日志中找出關(guān)聯(lián)性或共同性，花費(fèi)時(shí)間較多。

3 日志審計(jì)解決方法

3.1 日志的運(yùn)維與收集

首先，設(shè)置好日志的運(yùn)維和策略工作，以Windows2008系統(tǒng)為例，運(yùn)行組策略管理器（gpedit.msc），依次展開菜單欄“計(jì)算機(jī)配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“審核策略”，在里面有多種審核的日志記錄，默認(rèn)情況下這些都是無(wú)審核的，手動(dòng)把這些策略全部打開，成功和失敗都勾上，如圖1所示。這些內(nèi)容的審核，對(duì)操作系統(tǒng)操作痕跡記錄產(chǎn)生的日志是至關(guān)重要，同時(shí)也是黑客入侵所做操作的行為取證。

圖1 本地組策略編輯設(shè)置

其次，當(dāng)以上的多種審計(jì)日志觸發(fā)后，日志量將會(huì)暴增，系統(tǒng)空間如果不做更改，日志文件默認(rèn)是存放在C盤，必然很快撐爆而導(dǎo)致系統(tǒng)不穩(wěn)定，并且也無(wú)法保證180天以上的日志記錄。具體操作可以打開“計(jì)算機(jī)管理”—”事件查看器“—“Windows日志”，此菜單下能查看到操作系統(tǒng)下所有的日志，包括有應(yīng)用程序日志、安全日志、安裝日志、系統(tǒng)日志等。默認(rèn)情況下這些日志都是按設(shè)定的日志文件大小而進(jìn)行覆蓋舊事件日志的，建議手動(dòng)改為日志滿時(shí)存檔不覆蓋事件或完全不覆蓋事件，同時(shí)，也需要設(shè)置另存日志文件的磁盤空間，存放日志的磁盤分區(qū)或目錄應(yīng)與業(yè)務(wù)系統(tǒng)和操作系統(tǒng)所在目錄分離，如圖2所示。

圖2 日志屬性

3.2 綜合日志審計(jì)平臺(tái)

搭建綜合日志審計(jì)平臺(tái)，把日志轉(zhuǎn)發(fā)到第三方平臺(tái)上，這樣一方面可不必?fù)?dān)心服務(wù)器主機(jī)被入侵后黑客刪除日志痕跡，另一方面第三方平臺(tái)配置大存儲(chǔ)空間，可保證磁盤空間充足，不必?fù)?dān)心服務(wù)器主機(jī)因磁盤空間不足而導(dǎo)致的業(yè)務(wù)異常問(wèn)題。綜合日志審計(jì)平臺(tái)需要滿足以下幾點(diǎn)需求：

（1）具備高性能吞吐和豐富的數(shù)據(jù)源采集能力，能支持多種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用軟件、中間件、數(shù)據(jù)庫(kù)或自定義接口的全域數(shù)據(jù)采集；支持多種數(shù)據(jù)格式的日志采集，通過(guò)數(shù)據(jù)標(biāo)準(zhǔn)化轉(zhuǎn)換進(jìn)行結(jié)構(gòu)化統(tǒng)一標(biāo)準(zhǔn)處理，實(shí)現(xiàn)進(jìn)一步的綜合查詢分析。

（2）能夠?qū)徲?jì)的日志進(jìn)行網(wǎng)絡(luò)安全攻擊威脅分析、登錄認(rèn)證分析、設(shè)備異常分析、安全探查、攻擊類型分布、攻擊源排名等多維度的指標(biāo)細(xì)化綜合分析，并能根據(jù)用戶自定義規(guī)則進(jìn)行匹配分析，形式個(gè)性化的定制模型。

（3）審計(jì)與數(shù)據(jù)做到可視化，呈現(xiàn)數(shù)據(jù)統(tǒng)計(jì)報(bào)表，包括日?qǐng)?bào)/周報(bào)/月報(bào)等，能通過(guò)拖拽操作實(shí)現(xiàn)儀表盤或?qū)徲?jì)報(bào)表數(shù)據(jù)的調(diào)整，做到開箱即用的簡(jiǎn)易操作。數(shù)據(jù)概要簡(jiǎn)明清晰，一目了然，滿足運(yùn)維監(jiān)控人員日常需求，如圖3所示。

圖3 日志審計(jì)平臺(tái)概要圖

（4）完善的告警通知機(jī)制，自定義設(shè)置高、中、低等級(jí)別的告警規(guī)則，當(dāng)匹配到預(yù)設(shè)的威脅規(guī)則觸發(fā)告警時(shí)，能提供多種方式包括郵件、短信、微信、語(yǔ)音電話等方式，實(shí)時(shí)通知網(wǎng)絡(luò)管理員采取應(yīng)急處理。

4 日志審計(jì)系統(tǒng)的安全性

在軟件市場(chǎng)上第三方日志審計(jì)的軟件或系統(tǒng)非常多，用戶可以選擇一款或多款合適的日志審計(jì)軟件進(jìn)行采集保存日志，以緩解服務(wù)器磁盤壓力，但同時(shí)也應(yīng)該注意第三方日志審計(jì)系統(tǒng)的自身的安全性和保密性，日志審計(jì)系統(tǒng)所保存的都是敏感信息，一旦泄露將會(huì)面臨巨大的連鎖風(fēng)險(xiǎn)。網(wǎng)絡(luò)管理員要對(duì)系統(tǒng)進(jìn)行全面的代碼檢測(cè)、安全加固、賬號(hào)密碼機(jī)制及完整的操作行為記錄，盡可能避免日志系統(tǒng)被黑客入侵獲取全網(wǎng)日志數(shù)據(jù)。

5 結(jié)語(yǔ)

由于各種類型的日志繁多，運(yùn)維人員需要從海量的日志中看懂?dāng)?shù)據(jù)，細(xì)致分析，從中找出問(wèn)題所在，這對(duì)運(yùn)維人員的邏輯能力和綜合能力要求都非常高。具備強(qiáng)大分析能力的日志分析系統(tǒng)無(wú)疑是運(yùn)維管理人員的一把寶劍，可以節(jié)省大量時(shí)間，提高效率。如果日志審計(jì)系統(tǒng)再聯(lián)動(dòng)其他的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警平臺(tái)、態(tài)勢(shì)感知平臺(tái)等，通過(guò)結(jié)合人工驗(yàn)證，策略調(diào)優(yōu)，便能達(dá)到最佳的智能效果。