简单的说,日志就是计算机系统、设备、软件等在某种情况下记录的信息。具体内容取决于日志的来源。例如:
unix操作系统会记录用户登录和注销等信息的日志
防火墙会记录访问控制协议acl通过和拒绝等消息的日志
有些系统在用户登录时或者在系统本身认为会发生一些故障时发出带有告警信息的日志
有些产品会在本身存储不足时发出带有磁盘储量不足的信息的日志
对于运维管理人员来说这些含有重要数据信息(用户登录信息,系统错误信息,磁盘信息,数据库信息等)的日志非常重要,可以通过这些日志信息对整体系统进行分析并查找问题根源解决问题。也就是说,通过日志,IT管理人员可以了解系统的运行状况、安全状况。甚至是运行状况。
日志的重要性在一个完整的信息系统中,日志是以一个很重要的功能组成部分,当系统中出现一些管理员操作或者系统本身的报错行为时,日志就相当于系统这一天的工作汇报,系统每天都干了什么,有没有告警信息,哪些出了问题,问题可不可识别,在系统遭受安全攻击时,系统的登陆错误、异常访问等都会一日之的形式记录下来,通过分析这些日志,读懂这些系统的工作汇报你可以知道系统这一天遭受了哪些攻击、完成了哪些任务。同时查看日志也为安全事件发生以后,日后查明何人所为做了什么有了一个很好的取证信息来源,日志可以为审计进行审计跟踪。
2.为什么需要日志分析
运维管理:作为一个无论是软件设备还是硬件设备的厂家工程师,能看懂设备上的日志是很重要的,从研发的方面来说,一个成功的软件,其全力开发的时间可能连其生命周期的四分之一都不到,也没有任何软件接入到运行环境中就是完美的,既然有问题,我们就要弄清楚问题的根源,寻找问题根源的地方就是在软件系统的日志,没有日志,运维就像一个没有失明的盲人,即使能够解决问题也是需要花费极大的精力去发现问题,并解决问题,但是如果直接查看日志的话,就可以直接在日志中把系统提示的错误信息找出来,避免了盲目搜索带来的时间浪费。所以说日志很重要。
安全设备:做个集成商运维工程师或者网络运维工程师的都清楚,市场上各式各样的安全设备很多,但是没有一个厂商的产品能够全面的覆盖全部的安全产品。一般一个机房建设安全的话,它包含的安全设备绝对不可能都是一家的,绝对有不一样的厂商,这个时候分析日志就变成了很繁重的工作。
日志格式:除了每个设备带来的海量数据管理员无法进行有效分析,而且不同厂商的标准不一样,日志格式不一样,这就对运维工程师的工作造成了很大的负担。
法律法规:GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》对于二级以上信息系统,在网络安全、主机安全和应用安全等基本要求中明确要求进行安全审计。而日志审计是符合这些要求的基本手段。
这就要求所有的软硬件设备必须要有日志输出且在整个集成系统中必须要有日志审计设备用于设备运行过程中的日志的分析、输入、并通过日志审计程序分析后输出系统日志是否发生异常。
什么是日志审计 什么是日志审计对于海量而又繁杂的日志数据,如果需要人为的每天去读取的话,把人累死也做不完这些工作,这个时候就需要日志审计对每天日志中记录的信息进行审计和检查,对于日志中涉及到的重要信息,对其真实性的完整性进行考察。
总的来说,日志审计就是通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理之后,以统一格式的日志形式及进行集中的存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。
2.日志审计组成
日志采集功能:系统通过配置某些技术手段如端口镜像等将需要审计的日志信息发送到日志审计安全设备上,日志审计通过此手段进行日志的采集。
日志分析功能:对于采集到的日志信息进行分析审计,这是日志审计系统的核心,一般通过观察审计信息就可以体现出此款审计产品的好坏。
日志存储功能:对于采集到的原始信息,以及审计后的信息不可随意丢弃,都需要对其进行保存和备查,以便后期作为取证的依据。
信息展示功能:在日志审计系统对日志信息进行分析整理之后,会将数据整合在进行分析,根据管理员设置的策略进行分类和显示,对于具体问题进行告警。
3.为什么需要日志审计平台
根据等保2.0的要求及网络安全保护法的颁布和实施,日志审计的合理要求就变的非常合理了,不尽合理还合法,说句不好听的,你不部署日志审计平台你就是犯法,网络安全法中要求如果不对相关日志保存6个月以上,一旦追查,将负法律责任。
对着网络设备的逐步增多,网络系统运维成了一件难事,如果没有这种日志审计平台的辅助,运维人员需要登陆到每台设备上去查看日志,这将是很大的工作量,无法有效管理,多种设备之间无法形成联系,容易形成信息孤岛,通过统一的日志审计平台,将所有设备日志都收集到平台及进行统一管理,统一分析。