日志審計應用及運維分析探索

◆陳長輝 鐘煜明

（廣州番禺職業技術學院教育技術與信息中心 廣東 511483）

在當今數據大爆炸的年代，任何信息都會產生日志，留下痕跡。設備的日志和系統的日志，能給予我們很多重要的信息，而關于網絡安全的日志顯得尤為重要，它能快速溯源黑客攻擊痕跡、數據泄露追溯、運維提升效率等。因此，基于網絡安全下的日志審計技術有著十分重要的意義。

1 日志的價值

1.1 國家戰略政策

日志是行為或狀態詳細描述的載體，其時效性與信息豐富程度在網絡安全事件分析、事件回溯和取證過程中起到重要作用。在法律層，日志也是重要的電子證據，日志記錄、監控、審計手段等，可以幫助有效地減少信息破壞、信息泄露的問題，對違法行為起到一定威懾作用。2017年6月1日，《中華人民共和國網絡安全法》正式實施，規定采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于180天。

1.2 日志的重要性

任何系統都會產生日志，包括了行為的日志、操作的日志、數據的日志、訪問的日志等，日志的價值除了滿足網絡安全法和信息系統等級保護2.0標準之外，還具有分析調查、溯源取證、大數據收集、事件行為聯動等重要作用。作為網絡管理員，也應該做到保存和保護好日志信息，并且做到處處留痕。

2 日志的保存及查閱存在的問題

2.1 磁盤占用大保存時間短

有些業務系統由于訪問量大、使用頻繁，操作系統日志、訪問日志、運維日志、數據庫日志、策略日志、出錯日志、網絡安全日志等，隨時都會產生各種各樣的日志，磁盤空間對于每天暴漲的日志，累積至少180天起來是個巨大的數據占用空間。

2.2 安全性低

由于日志的生成及保存將會占用磁盤巨大的空間，一旦磁盤分區占滿，往往會影響業務的正常運作，所以操作系統或應用軟件的設置上，大多數都會有自動清除日志的功能，但這功能同時也是一把雙刃劍，很容易導致重要的日志被刪除而無法追溯，而且黑客入侵服務器后，也會把入侵日志刪掉。

2.3 分析困難

不同的日志都有不同的格式標準和表達定義，格式復雜多樣，要全部看懂多種多樣的日志內容是很困難的。并且日志存在體系不同，數據是孤立分散的，無法進行關聯，無法提取出其中的共性，查詢分析的時候難以做到“一文并查”的效果，管理員將要花費大量的時候在海量的日志中找出關聯性或共同性，花費時間較多。

3 日志審計解決方法

3.1 日志的運維與收集

首先，設置好日志的運維和策略工作，以Windows2008系統為例，運行組策略管理器（gpedit.msc），依次展開菜單欄“計算機配置”—“Windows設置”—“安全設置”—“本地策略”—“審核策略”，在里面有多種審核的日志記錄，默認情況下這些都是無審核的，手動把這些策略全部打開，成功和失敗都勾上，如圖1所示。這些內容的審核，對操作系統操作痕跡記錄產生的日志是至關重要，同時也是黑客入侵所做操作的行為取證。

圖1 本地組策略編輯設置

其次，當以上的多種審計日志觸發后，日志量將會暴增，系統空間如果不做更改，日志文件默認是存放在C盤，必然很快撐爆而導致系統不穩定，并且也無法保證180天以上的日志記錄。具體操作可以打開“計算機管理”—”事件查看器“—“Windows日志”，此菜單下能查看到操作系統下所有的日志，包括有應用程序日志、安全日志、安裝日志、系統日志等。默認情況下這些日志都是按設定的日志文件大小而進行覆蓋舊事件日志的，建議手動改為日志滿時存檔不覆蓋事件或完全不覆蓋事件，同時，也需要設置另存日志文件的磁盤空間，存放日志的磁盤分區或目錄應與業務系統和操作系統所在目錄分離，如圖2所示。

圖2 日志屬性

3.2 綜合日志審計平臺

搭建綜合日志審計平臺，把日志轉發到第三方平臺上，這樣一方面可不必擔心服務器主機被入侵后黑客刪除日志痕跡，另一方面第三方平臺配置大存儲空間，可保證磁盤空間充足，不必擔心服務器主機因磁盤空間不足而導致的業務異常問題。綜合日志審計平臺需要滿足以下幾點需求：

（1）具備高性能吞吐和豐富的數據源采集能力，能支持多種網絡設備、安全設備、操作系統、應用軟件、中間件、數據庫或自定義接口的全域數據采集；支持多種數據格式的日志采集，通過數據標準化轉換進行結構化統一標準處理，實現進一步的綜合查詢分析。

（2）能夠對審計的日志進行網絡安全攻擊威脅分析、登錄認證分析、設備異常分析、安全探查、攻擊類型分布、攻擊源排名等多維度的指標細化綜合分析，并能根據用戶自定義規則進行匹配分析，形式個性化的定制模型。

（3）審計與數據做到可視化，呈現數據統計報表，包括日報/周報/月報等，能通過拖拽操作實現儀表盤或審計報表數據的調整，做到開箱即用的簡易操作。數據概要簡明清晰，一目了然，滿足運維監控人員日常需求，如圖3所示。

圖3 日志審計平臺概要圖

（4）完善的告警通知機制，自定義設置高、中、低等級別的告警規則，當匹配到預設的威脅規則觸發告警時，能提供多種方式包括郵件、短信、微信、語音電話等方式，實時通知網絡管理員采取應急處理。

4 日志審計系統的安全性

在軟件市場上第三方日志審計的軟件或系統非常多，用戶可以選擇一款或多款合適的日志審計軟件進行采集保存日志，以緩解服務器磁盤壓力，但同時也應該注意第三方日志審計系統的自身的安全性和保密性，日志審計系統所保存的都是敏感信息，一旦泄露將會面臨巨大的連鎖風險。網絡管理員要對系統進行全面的代碼檢測、安全加固、賬號密碼機制及完整的操作行為記錄，盡可能避免日志系統被黑客入侵獲取全網日志數據。

5 結語

由于各種類型的日志繁多，運維人員需要從海量的日志中看懂數據，細致分析，從中找出問題所在，這對運維人員的邏輯能力和綜合能力要求都非常高。具備強大分析能力的日志分析系統無疑是運維管理人員的一把寶劍，可以節省大量時間，提高效率。如果日志審計系統再聯動其他的網絡安全監測預警平臺、態勢感知平臺等，通過結合人工驗證，策略調優，便能達到最佳的智能效果。