请描述服务器账户日志审计的5种解决方案。

请描述服务器账户日志审计的5种解决方案。,第1张

⑴通过环境变量syslog对全部全部日志进行审计(信息量太大,不推荐)

⑵sudo配合syslog服务,进行sudo操作日志进行审计(信息较少,效果不错)

⑶在bash解释器嵌入一个监视器,让所有用户使用修改过的bash程序,作为解释程序。

⑷齐治的堡垒机(商业产品)。

如果有什么不懂的话可以去看看《Linux就该这么学》这本书,非常适合新手学习Linux。

如何把H3C交换机的日志文档输出到PC?因为平时通过串口,过一会就自动... —— 在H3C交换机上配置info-center loghost x.x.x.x x.x.x.x 为你的日志服务器地址。首先要保证交换机与日志服务器网络可通。才能将日志发送到服务器上。

如何查看华为H3C路由器的日志 —— 6、在“系统监控”里面,可以对日志进行管理。在这里可以把日志发送到服务器,也可以不保存本地。

H3C交换机常用配置命令 —— [H3C-vlan2]port-isolate enable 打开VLAN内端口隔离特性,不能二层转发,默认不启用该功能 [H3C-Ethernet0/4]port-isolate uplink-port vlan 2 设置4为VLAN2的隔离上行端口,用于转发二层数据,只能配置一个上行端口,若为trunk,则建议...

h3c f100-m-g 防火墙 里面的日志可以输出到一台主机?都需要那些东西... —— 是可以的。你需要准备一台支持syslog的服务器,也可以是安装syslog软件的一台电脑。之后在防火墙上的日志主机设置一下 指向到服务器就可以了

怎样将交换机的日志信息发送到审计服务器 —— 登进交换机,设置一下syslog 我以前有配过。设置一下日志信息的等级以及你审计服务器的IP。具体在这里我只能给你一个方向指引。

H3C交换机配置命令 —— H3C交换机从核心骨干到边缘接入,10多个系列上百款产品,全部通过中国信息产业部、Tolly Group、MetroEthernet论坛以及IPv6 Ready等权威部门的测]试和认证,下面我为大家整理了关于H3C交换机配置命令大全,希望对你有所帮助。 一.用户配置: ...

...还有怎么配置交换机的日志服务器。谢谢各位帮 —— 这个是没有的,它属于H3C SOHO类产品,不支持SNMP协议,snmp协议是简单网管协议,如果是主产品就支持snmp了。可以使用H3C 的IMC智能管理平台进行管理设备。参考资料:H3C金牌代理商工程师-为你解决!

H3C交换机日志问题 —— 表明的是一个远程telnet登录用户,在此交换机上执行了 interface g7/0/41这条命令 ip:就是登录者的ip地址 user:指的是登录者使用的帐号 如果往上查看日志 还会发现此用户的首次登录信息 包含login单词 ...

h3c 怎么开启syslog —— H3C syslog配置 S8016的配置( VRP(R) Software, Version 3.10(NSSA), RELEASE 5331)S8016 新命令行设置日志服务器 info-center enable //打开信息中心 inf-center loghost host-ip-addr channel 2 facility local-number...

如何查看交换机日志文件 —— 1、首先双击打开robotframework的操作界面,选择打开tools选项中的run tests设置。2、然后出现的界面中,就能看到其中的日记log目录。3、然后打开电脑上的浏览器,点击地址栏,输入想要查看的日记目录,回车确定。4、最后在弹出的...

您好,很高兴为您解答。

日志审计系统的需求分析

日志很早就有,日志对于信息安全的重要性也早已众所周知,但是对日志的真正重视却是最近几年的事情。

当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击,也有来自于企业和组织内部的违规和泄漏。

为了不断应对新的安全挑战,企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM,等等。这些安全系统都仅仅防堵来自某个方面的安全威胁,形成了一个个安全防御孤岛,无法产生协同效应。更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。

另一方面,企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求,也对当前日志审计提出了严峻的挑战。下表简要列举了部分相关法律法规对于日志审计的要求:

尤其是国家信息系统等级保护制度的出台,明确要求二级以上的信息系统必须对网络、主机和应用进行安全审计。

综上所述,企业和组织迫切需要一个全面的、面向企业和组织IT资源(信息系统保护环境)的、集中的安全审计平台及其系统,这个系统能够收集来自企业和组织IT资源中各种设备和应用的安全日志,并进行存储、监控、审计、分析、报警、响应和报告。

日志审计系统的基本组成:

对于一个日志审计系统,从功能组成上至少应该包括信息采集、信息分析、信息存储、信息展示四个基本功能:

1)   日志采集功能:系统能够通过某种技术手段获取需要审计的日志信息。对于该功能,关键在于采集信息的手段种类、采集信息的范围、采集信息的粒度(细致程度)。

2)   日志分析功能:是指对于采集上来的信息进行分析、审计。这是日志审计系统的核心,审计效果好坏直接由此体现出来。在实现信息分析的技术上,简单的技术可以是基于数据库的信息查询和比较;复杂的技术则包括实时关联分析引擎技术,采用基于规则的审计、基于统计的审计、基于时序的审计,以及基于人工智能的审计算法,等等。

3)   日志存储功能:对于采集到原始信息,以及审计后的信息都要进行保存,备查,并可以作为取证的依据。在该功能的实现上,关键点包括海量信息存储技术、以及审计信息安全保护技术。

4)   信息展示功能:包括审计结果展示界面、统计分析报表功能、告警响应功能、设备联动功能,等等。这部分功能是审计效果的最直接体现,审计结果的可视化能力和告警响应的方式、手段都是该功能的关键。

日志审计系统的选型指南:

那么,我们如何选择一款合适的日志审计系统呢?评价一款日志审计系统需要关注哪些方面呢?笔者认为至少应该从以下几个方面来考虑:

1、  由于一款综合性的日志审计系统必须能够收集网络中异构设备的日志,因此日志收集的手段应要丰富,建议至少应支持通过Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA等协议采集日志,支持从Log文件或者数据库中获取日志。

2、  日志收集的性能也是要考虑的。一般来说,如果网络中的日志量非常大,对日志系统的性能要求也就比较高,如果因为性能的问题造成日志大量丢失的话,就完全起不到审计的作用的了。目前,国际上评价一款日志审计产品的最重要指标叫做“事件数每秒”,英文是Event per Second,即EPS,表明系统每秒种能够收集的日志条数,通常以每条日志0.5K~1K字节数为基准。一般而言,EPS数值越高,表明系统性能越好。

3、  应提供精确的查询手段,不同类型日志信息的格式差异非常大,日志审计系统对日志进行收集后,应进行一定的处理,例如对日志的格式进行统一,这样不同厂家的日志可以放在一起做统计分析和审计,必须注意的是,统一格式不能把原始日志破坏,否则日志的法律效力就大大折扣了。

4、  要让收集的日志发挥更强的安全审计的作用,有一定技术水平的管理员会希望获得对日志进行关联分析的工具,能主动挖掘隐藏在大量日志中的安全问题。因此,有这方面需求的用户可以重点考查产品的实时关联分析能力。

5、  应提供大容量的存储管理方法,用户的日志数据量是非常庞大的,如果没有好的管理手段,不仅审计查询困难,占用过多的存储空间对用户的投资也是浪费。

6、  日志系统存储的冗余非常重要,如果集中收集的日志数据因硬件或系统损坏而丢失,损失就大了,如果选购的是软件的日志审计系统,用户在配备服务器的时候一定要保证存储的冗余,如使用RAID5,或专用的存储设备,如果选购的是硬件的日志审计系统,就必须考查硬件的冗余,防止出现问题。

7、  应提供多样化的实时告警手段,发现安全问题应及时告警,还要提供自定义报表的功能,能让用户做出符合自身需求的报表。

以上是笔者针对日志审计系统的选型提出的几个建议,但在实际中,还有一些其他的问题需要考虑,像厂商的支持服务能力、产品案例的应用等等,这里就不一一列举了。

总之,信息安全基础设施的日趋复杂,使得我们已经从简单的日志管理时代迈入了系统性的日志综合审计时代,日志对于网络与信息安全的价值和作用必将越发重要。

如若满意,请点击右侧【采纳答案】,如若还有问题,请点击【追问】

希望我的回答对您有所帮助,望采纳!

                                                                                                                           ~ O(∩_∩)O~


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/672280.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-07-27
下一篇2023-07-27

发表评论

登录后才能评论

评论列表(0条)

    保存