这里的“日志”和我们日常生活中的理解大有不同。
什么是日志?
简单的说,日志就是计算机系统、设备、软件等在某种情况下记录的信息。具体内容取决于日志的来源。例如:
- unix操作系统会记录用户登录和注销等信息的日志
- 防火墙会记录访问控制协议acl通过和拒绝等消息的日志
- 有些系统在用户登录时或者在系统本身认为会发生一些故障时发出带有告警信息的日志
- 有些产品会在本身存储不足时发出带有磁盘储量不足的信息的日志
对于运维管理人员来说这些含有重要数据信息(用户登录信息,系统错误信息,磁盘信息,数据库信息等)的日志非常重要,可以通过这些日志信息对整体系统进行分析并查找问题根源解决问题。也就是说,通过日志,IT管理人员可以了解系统的运行状况、安全状况。甚至是运行状况。
日志的重要性
在一个完整的信息系统中,日志是以一个很重要的功能组成部分,当系统中出现一些管理员操作或者系统本身的报错行为时,日志就相当于系统这一天的工作汇报,系统每天都干了什么,有没有告警信息,哪些出了问题,问题可不可识别,在系统遭受安全攻击时,系统的登陆错误、异常访问等都会一日之的形式记录下来,通过分析这些日志,读懂这些系统的工作汇报你可以知道系统这一天遭受了哪些攻击、完成了哪些任务。同时查看日志也为安全事件发生以后,日后查明何人所为做了什么有了一个很好的取证信息来源,日志可以为审计进行审计跟踪。
为什么需要日志分析
高效运维要求:海量的原始数据,使得数据结构变得复杂,面临较大的数据传输压力、存储压力,数据孤立分散,无法关联分析。日志审计能够通过自定义设置,快速完成日志的分类、解析与保存工作,提供管理人员便捷的海量日志数据的收集与分析管理功能。
安全设备:做个集成商运维工程师或者网络运维工程师的都清楚,市场上各式各样的安全设备很多,但是没有一个厂商的产品能够全面的覆盖全部的安全产品。一般一个机房建设安全的话,它包含的安全设备绝对不可能都是一家的,绝对有不一样的厂商,这个时候分析日志就变成了很繁重的工作。
系统安全管理要求:网络已经从千兆迈向了万兆,企业需要监测和分析比以往更多的数据,海量数据面临新型安全威胁。日志审计能够帮助用户获悉信息系统的安全运行状态,识别针对信息系统的攻击和入侵,以及来自内部的违规和信息泄露,能够为事后的问题分析和调查取证提供必要的信息。
法律法规要求:日志审计已成为企业满足合规内控要求所必须的一项基本要求。2017年6月1日起施行的《中华人民共和国网络安全法》中规定:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。《网络安全等级保护基本要求》(GB∕T 22239-2019)中规定:二到四级需要对网络、主机、应用安全三部分进行日志审计,留存日志需符合法律法规规定。
这就要求所有的软硬件设备必须要有日志输出且在整个集成系统中必须要有日志审计设备用于设备运行过程中的日志的分析、输入、并通过日志审计程序分析后输出系统日志是否发生异常。
什么是日志审计
对于海量而又繁杂的日志数据,如果需要人为的每天去读取的话,把人累死也做不完这些工作,这个时候就需要日志审计对每天日志中记录的信息进行审计和检查,对于日志中涉及到的重要信息,对其真实性的完整性进行考察。
总的来说,日志审计就是通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理之后,以统一格式的日志形式及进行集中的存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。
蓝队云日志审计平台
蓝队云日志审计平台能够通过主被动结合的手段,实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表报告,获悉全网的整体安全运行态势。
产品功能:
1、可视日志审计
用户可登录管理中心首页查看可视化的日志审计相关数据,可视化首页支持快速导航到各个功能板块,包括资产数、日志总数、告警数等相关数据。
2、资产分类管理
支持灵活的资产分类功能,实现对资产的分类管理。对所有采集数据,系统自动进行范式化处理,将各种厂商各种类型的日志格式转换成系统一的格式再进行分类。
3、过滤与归并
对采集到的日志进行基于策略的过滤和归并,提升审计的效率。日志过滤和合并策略支持用户自定义,系统默认不进行过滤和合并。
4、大数据存储与搜索
支持对收集的日志进行分布式安全存储和备份。系统支持TB级的海量数据加密存储,满足合规与内控条款的相关需求。备份数据可手工恢复,用作日志回查。
5、强大的日志分析功能
支持根据内置或自定义进行实时分析策略、统计分析策略,提供强大的日志关联分析能力,有助于提升审计管理工作的效率,降低审计的复杂性。
6、威胁告警及分析
通过关联分析规则,系统能够对符合关联规则条件的日志产生告警。基于攻击链模型,对已发现的攻击步骤进行推理,预测未来攻击事件。
7、支持日志查询
系统提供日志的查询功能,便于从海量数据中获取有用的日志信息。用户可自定义查询策略,支持快速查询和模糊查询功能。
8、综合管理功能
涵盖报表管理、用户管理、系统管理等关功能,满足企业个性化、多样性的管理需求。管理可视化,可直接通过表单查看相关数据
产品优势
1、安全简单的部署
产品配置简单,采用旁路部署,对网络现状不产生任何影响;横向集群方式可以支持海量日志的收集、存储、分析、展示。
2、全面的日志收集
采用分布式采集,支持自定义数据采集策略,支持各种协议采集,支持各种日志类型,方便实现多设备的海量日志采集。
3、集中化日志存储管理
平台将对日志进行集中化收集与存储,形成日志管理体系;对所有采集的数据进行范式化处理,提高日志分析效率。
4、强大的安全分析能力
数据实时审计分析,支持对防火墙、IDS、IPS、防病毒、网络设备、主机、应用等安全事件进行审计,对违规登录、配置变更、关键服务器入侵等行为进行告警。
随着网络设备的逐步增多,网络系统运维成了一件难事,如果没有这种日志审计平台的辅助,运维人员需要登陆到每台设备上去查看日志,这将是很大的工作量,无法有效管理,多种设备之间无法形成联系,容易形成信息孤岛,通过统一的日志审计平台,将所有设备日志都收集到平台及进行统一管理,统一分析。