什么是日志審計

1、什么是日志審計

對每天所記錄的信息進行審計和檢查
應該是涉及到重要的信息記錄，所以對其真實性的完整性進行考量

 

2、日志審計介紹

https://zhidao.baidu.com/question/519807266620033285.html?qbl=relate_question_4&word=%C8%D5%D6%BE%C9%F3%BC%C6%D7%F6%CA%B2%C3%B4

當今的企業和組織在IT信息安全領域面臨比以往更為復雜的局面。這既有來自於企業和組織外部的層出不窮的入侵和攻擊，也有來自於企業和組織內部的違規和泄漏。

為了不斷應對新的安全挑戰，企業和組織先后部署了防病毒系統、防火牆、入侵檢測系統、漏洞掃描系統、UTM，等等。這些安全系統都僅僅防堵來自某個方面的安全威脅，形成了一個個安全防御孤島，無法產生協同效應。更為嚴重地，這些復雜的IT資源及其安全防御設施在運行過程中不斷產生大量的安全日志和事件，安全管理人員面對這些數量巨大、彼此割裂的安全信息，操作着各種產品自身的控制台界面和告警窗口，顯得束手無策，工作效率極低，難以發現真正的安全隱患。

另一方面，企業和組織日益迫切的信息系統審計和內控、以及不斷增強的業務持續性需求，也對當前日志審計提出了嚴峻的挑戰。下表簡要列舉了部分相關法律法規對於日志審計的要求:

 

 

 

尤其是國家信息系統等級保護制度的出台，明確要求二級以上的信息系統必須對網絡、主機和應用進行安全審計。

綜上所述，企業和組織迫切需要一個全面的、面向企業和組織IT資源（信息系統保護環境）的、集中的安全審計平台及其系統，這個系統能夠收集來自企業和組織IT資源中各種設備和應用的安全日志，並進行存儲、監控、審計、分析、報警、響應和報告。

 

日志審計系統的基本組成：

對於一個日志審計系統，從功能組成上至少應該包括信息采集、信息分析、信息存儲、信息展示四個基本功能：

 

1)   日志采集功能：系統能夠通過某種技術手段獲取需要審計的日志信息。對於該功能，關鍵在於采集信息的手段種類、采集信息的范圍、采集信息的粒度（細致程度）。

 

2)   日志分析功能：是指對於采集上來的信息進行分析、審計。這是日志審計系統的核心，審計效果好壞直接由此體現出來。在實現信息分析的技術上，簡單的技術可以是基於數據庫的信息查詢和比較；復雜的技術則包括實時關聯分析引擎技術，采用基於規則的審計、基於統計的審計、基於時序的審計，以及基於人工智能的審計算法，等等。

 

3)   日志存儲功能：對於采集到原始信息，以及審計后的信息都要進行保存，備查，並可以作為取證的依據。在該功能的實現上，關鍵點包括海量信息存儲技術、以及審計信息安全保護技術。

 

4)   信息展示功能：包括審計結果展示界面、統計分析報表功能、告警響應功能、設備聯動功能，等等。這部分功能是審計效果的最直接體現，審計結果的可視化能力和告警響應的方式、手段都是該功能的關鍵。 

 

日志審計系統的選型指南：

       那么，我們如何選擇一款合適的日志審計系統呢？評價一款日志審計系統需要關注哪些方面呢？筆者認為至少應該從以下幾個方面來考慮：

 

1、  由於一款綜合性的日志審計系統必須能夠收集網絡中異構設備的日志，因此日志收集的手段應要豐富，建議至少應支持通過Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA等協議采集日志，支持從Log文件或者數據庫中獲取日志。

 

2、  日志收集的性能也是要考慮的。一般來說，如果網絡中的日志量非常大，對日志系統的性能要求也就比較高，如果因為性能的問題造成日志大量丟失的話，就完全起不到審計的作用的了。目前，國際上評價一款日志審計產品的最重要指標叫做“事件數每秒”，英文是Event per Second，即EPS，表明系統每秒種能夠收集的日志條數，通常以每條日志0.5K～1K字節數為基准。一般而言，EPS數值越高，表明系統性能越好。

 

3、  應提供精確的查詢手段，不同類型日志信息的格式差異非常大，日志審計系統對日志進行收集后，應進行一定的處理，例如對日志的格式進行統一，這樣不同廠家的日志可以放在一起做統計分析和審計，必須注意的是，統一格式不能把原始日志破壞，否則日志的法律效力就大大折扣了。

 

4、  要讓收集的日志發揮更強的安全審計的作用，有一定技術水平的管理員會希望獲得對日志進行關聯分析的工具，能主動挖掘隱藏在大量日志中的安全問題。因此，有這方面需求的用戶可以重點考查產品的實時關聯分析能力。

 

5、  應提供大容量的存儲管理方法，用戶的日志數據量是非常龐大的，如果沒有好的管理手段，不僅審計查詢困難，占用過多的存儲空間對用戶的投資也是浪費。

 

6、  日志系統存儲的冗余非常重要，如果集中收集的日志數據因硬件或系統損壞而丟失，損失就大了，如果選購的是軟件的日志審計系統，用戶在配備服務器的時候一定要保證存儲的冗余，如使用RAID5，或專用的存儲設備，如果選購的是硬件的日志審計系統，就必須考查硬件的冗余，防止出現問題。

 

7、  應提供多樣化的實時告警手段，發現安全問題應及時告警，還要提供自定義報表的功能，能讓用戶做出符合自身需求的報表。

 

以上是筆者針對日志審計系統的選型提出的幾個建議，但在實際中，還有一些其他的問題需要考慮，像廠商的支持服務能力、產品案例的應用等等，這里就不一一列舉了。

總之，信息安全基礎設施的日趨復雜，使得我們已經從簡單的日志管理時代邁入了系統性的日志綜合審計時代，日志對於網絡與信息安全的價值和作用必將越發重要。

如若滿意，請點擊右側【采納答案】，如若還有問題，請點擊【追問】希望我的回答對您有所幫助，望采納！