◆陳長輝 鐘煜明

（廣州番禺職業(yè)技術(shù)學(xué)院教育技術(shù)與信息中心 廣東 511483）

在當(dāng)今數(shù)據(jù)大爆炸的年代，任何信息都會產(chǎn)生日志，留下痕跡。設(shè)備的日志和系統(tǒng)的日志，能給予我們很多重要的信息，而關(guān)于網(wǎng)絡(luò)安全的日志顯得尤為重要，它能快速溯源黑客攻擊痕跡、數(shù)據(jù)泄露追溯、運維提升效率等。因此，基于網(wǎng)絡(luò)安全下的日志審計技術(shù)有著十分重要的意義。

1 日志的價值

1.1 國家戰(zhàn)略政策

日志是行為或狀態(tài)詳細描述的載體，其時效性與信息豐富程度在網(wǎng)絡(luò)安全事件分析、事件回溯和取證過程中起到重要作用。在法律層，日志也是重要的電子證據(jù)，日志記錄、監(jiān)控、審計手段等，可以幫助有效地減少信息破壞、信息泄露的問題，對違法行為起到一定威懾作用。2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式實施，規(guī)定采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于180天。

1.2 日志的重要性

任何系統(tǒng)都會產(chǎn)生日志，包括了行為的日志、操作的日志、數(shù)據(jù)的日志、訪問的日志等，日志的價值除了滿足網(wǎng)絡(luò)安全法和信息系統(tǒng)等級保護2.0標(biāo)準(zhǔn)之外，還具有分析調(diào)查、溯源取證、大數(shù)據(jù)收集、事件行為聯(lián)動等重要作用。作為網(wǎng)絡(luò)管理員，也應(yīng)該做到保存和保護好日志信息，并且做到處處留痕。

2 日志的保存及查閱存在的問題

2.1 磁盤占用大保存時間短

有些業(yè)務(wù)系統(tǒng)由于訪問量大、使用頻繁，操作系統(tǒng)日志、訪問日志、運維日志、數(shù)據(jù)庫日志、策略日志、出錯日志、網(wǎng)絡(luò)安全日志等，隨時都會產(chǎn)生各種各樣的日志，磁盤空間對于每天暴漲的日志，累積至少180天起來是個巨大的數(shù)據(jù)占用空間。

2.2 安全性低

由于日志的生成及保存將會占用磁盤巨大的空間，一旦磁盤分區(qū)占滿，往往會影響業(yè)務(wù)的正常運作，所以操作系統(tǒng)或應(yīng)用軟件的設(shè)置上，大多數(shù)都會有自動清除日志的功能，但這功能同時也是一把雙刃劍，很容易導(dǎo)致重要的日志被刪除而無法追溯，而且黑客入侵服務(wù)器后，也會把入侵日志刪掉。

2.3 分析困難

不同的日志都有不同的格式標(biāo)準(zhǔn)和表達定義，格式復(fù)雜多樣，要全部看懂多種多樣的日志內(nèi)容是很困難的。并且日志存在體系不同，數(shù)據(jù)是孤立分散的，無法進行關(guān)聯(lián)，無法提取出其中的共性，查詢分析的時候難以做到“一文并查”的效果，管理員將要花費大量的時候在海量的日志中找出關(guān)聯(lián)性或共同性，花費時間較多。

3 日志審計解決方法

3.1 日志的運維與收集

首先，設(shè)置好日志的運維和策略工作，以Windows2008系統(tǒng)為例，運行組策略管理器（gpedit.msc），依次展開菜單欄“計算機配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“審核策略”，在里面有多種審核的日志記錄，默認情況下這些都是無審核的，手動把這些策略全部打開，成功和失敗都勾上，如圖1所示。這些內(nèi)容的審核，對操作系統(tǒng)操作痕跡記錄產(chǎn)生的日志是至關(guān)重要，同時也是黑客入侵所做操作的行為取證。

圖1 本地組策略編輯設(shè)置

其次，當(dāng)以上的多種審計日志觸發(fā)后，日志量將會暴增，系統(tǒng)空間如果不做更改，日志文件默認是存放在C盤，必然很快撐爆而導(dǎo)致系統(tǒng)不穩(wěn)定，并且也無法保證180天以上的日志記錄。具體操作可以打開“計算機管理”—”事件查看器“—“Windows日志”，此菜單下能查看到操作系統(tǒng)下所有的日志，包括有應(yīng)用程序日志、安全日志、安裝日志、系統(tǒng)日志等。默認情況下這些日志都是按設(shè)定的日志文件大小而進行覆蓋舊事件日志的，建議手動改為日志滿時存檔不覆蓋事件或完全不覆蓋事件，同時，也需要設(shè)置另存日志文件的磁盤空間，存放日志的磁盤分區(qū)或目錄應(yīng)與業(yè)務(wù)系統(tǒng)和操作系統(tǒng)所在目錄分離，如圖2所示。

圖2 日志屬性

3.2 綜合日志審計平臺

搭建綜合日志審計平臺，把日志轉(zhuǎn)發(fā)到第三方平臺上，這樣一方面可不必擔(dān)心服務(wù)器主機被入侵后黑客刪除日志痕跡，另一方面第三方平臺配置大存儲空間，可保證磁盤空間充足，不必擔(dān)心服務(wù)器主機因磁盤空間不足而導(dǎo)致的業(yè)務(wù)異常問題。綜合日志審計平臺需要滿足以下幾點需求：

（1）具備高性能吞吐和豐富的數(shù)據(jù)源采集能力，能支持多種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用軟件、中間件、數(shù)據(jù)庫或自定義接口的全域數(shù)據(jù)采集；支持多種數(shù)據(jù)格式的日志采集，通過數(shù)據(jù)標(biāo)準(zhǔn)化轉(zhuǎn)換進行結(jié)構(gòu)化統(tǒng)一標(biāo)準(zhǔn)處理，實現(xiàn)進一步的綜合查詢分析。

（2）能夠?qū)徲嫷娜罩具M行網(wǎng)絡(luò)安全攻擊威脅分析、登錄認證分析、設(shè)備異常分析、安全探查、攻擊類型分布、攻擊源排名等多維度的指標(biāo)細化綜合分析，并能根據(jù)用戶自定義規(guī)則進行匹配分析，形式個性化的定制模型。

（3）審計與數(shù)據(jù)做到可視化，呈現(xiàn)數(shù)據(jù)統(tǒng)計報表，包括日報/周報/月報等，能通過拖拽操作實現(xiàn)儀表盤或?qū)徲媹蟊頂?shù)據(jù)的調(diào)整，做到開箱即用的簡易操作。數(shù)據(jù)概要簡明清晰，一目了然，滿足運維監(jiān)控人員日常需求，如圖3所示。

圖3 日志審計平臺概要圖

（4）完善的告警通知機制，自定義設(shè)置高、中、低等級別的告警規(guī)則，當(dāng)匹配到預(yù)設(shè)的威脅規(guī)則觸發(fā)告警時，能提供多種方式包括郵件、短信、微信、語音電話等方式，實時通知網(wǎng)絡(luò)管理員采取應(yīng)急處理。

4 日志審計系統(tǒng)的安全性

在軟件市場上第三方日志審計的軟件或系統(tǒng)非常多，用戶可以選擇一款或多款合適的日志審計軟件進行采集保存日志，以緩解服務(wù)器磁盤壓力，但同時也應(yīng)該注意第三方日志審計系統(tǒng)的自身的安全性和保密性，日志審計系統(tǒng)所保存的都是敏感信息，一旦泄露將會面臨巨大的連鎖風(fēng)險。網(wǎng)絡(luò)管理員要對系統(tǒng)進行全面的代碼檢測、安全加固、賬號密碼機制及完整的操作行為記錄，盡可能避免日志系統(tǒng)被黑客入侵獲取全網(wǎng)日志數(shù)據(jù)。

5 結(jié)語

由于各種類型的日志繁多，運維人員需要從海量的日志中看懂?dāng)?shù)據(jù)，細致分析，從中找出問題所在，這對運維人員的邏輯能力和綜合能力要求都非常高。具備強大分析能力的日志分析系統(tǒng)無疑是運維管理人員的一把寶劍，可以節(jié)省大量時間，提高效率。如果日志審計系統(tǒng)再聯(lián)動其他的網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺、態(tài)勢感知平臺等，通過結(jié)合人工驗證，策略調(diào)優(yōu)，便能達到最佳的智能效果。