syslog和Windows事件日志
为什么使用日志管理
日志管理 - 确保网络安全的先决条件
日志给予您有关网络活动的第一手信息。日志管理确保日志中隐藏的网络活动数据转换为有意义的可操作的安全信息。日志管理是网络安全管理员为保护网络而要完成的首要任务。
日志管理包括收集、安全存储、规范化、分析、生成报表和告警。
日志收集
- • 日志收集必须是非侵入性的。
- • 需要从网络中出现的不同设备、服务器和应用程序组中收集日志。
- • 最好以无代理的方式收集日志。在某些网络环境中,以使用代理的方式进行的日志收集应以可选方式提供。
安全存储
- • 日志数据需要存储为归档以用于取证分析及合规要求。
- • 日志数据存储器应受保护(例如,加密)
- • 而且,该存储器必须可防篡改
- • 保留持续时间应该可灵活设置(最好可由用户配置)
- • 存储位置应该可灵活设置(只读媒体、大容量存储系统等等)。
日志规范化
来自各种不同来源的日志应使用通用格式规范化。这是进行分析和关联时所必需的。
日志分析
分析日志以全面了解网络安全事件
生成报表和告警
分析日志是为了生成报表和告警
- • 应该有不同格式且可分发的预填充的、可定制的、自定义的和计划的报表。
- • 应该实时通知告警。应该有更多通知机制甚至是执行其他程序以实现补救措施
日志管理是监控网络安全的不可或缺部分