《日志管理与分析权威指南》一1.5.5 无聊的审计,有趣的发现

简介:

本节书摘来华章计算机《日志管理与分析权威指南》一书中的第1章 ,第1.5.5节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

1.5.5 无聊的审计,有趣的发现

审计是验证系统或者过程是否如预期般运行的过程。日志是审计过程的一部分,形成审计跟踪的一部分。
审计往往是为了政策或者监管依从性而进行的。例如,公司往往需要做财务审计,以确保他们的财务报表和账簿相符,且所有数字都合情合理。Sarbanes-Oxley(萨班斯-奥克斯利法案)和HIPAA(健康保险便利性与责任法案)等美国法规都要求某种交易日志,以及可以用来验证用户对金融和患者数据的访问的审计跟踪。另一个例子是Payment Card Industry Data Security Standard(PCI DSS,支付卡行业数据安全标准),它的强制要求包括记录信用卡交易日志和持卡人的数据访问日志。我们将在16章讨论PCI。
日志也可以被用于遵从技术策略(如安全策略)的依从性。例如,如果你有一些在你的网络中允许使用哪些服务的策略,可以采用对各种日志的审计,来验证只有这些服务在运行。例如,Windows有一个应用程序事件日志,包含了操作系统启动或者停止服务的日志消息。
审计跟踪也可用于证明可审核性,日志本身可以用于防抵赖。例如,如果有人声称他们从来没有接收一个特定的邮件,邮件日志可以用于核实并显示邮件到底有没有发送,就像邮件投递员签收的单据一样。再举一例,如果发生某一事件时,一个用户声称他无法登录,日志能证明他们是否说了实话。
有条理地进行日志分析,还能把一个无聊的审计变为“有趣的发现”。这是什么意思呢?例如,我们将会为你展示一些工具,你可以用它们来从日志中获取主机上运行的所有服务的列表。你也许会吃惊地看到正在运行的一些服务(你知不知道网络上有个IRC服务器?)。有时,这些发现证明有人违反了策略,有时,它们说明有一位入侵者愚蠢地启动了一个留下日志记录的服务。
审计用户活动可以展示一些你不知道的事情。在Unix环境中,有一个叫sudo的实用程序。它能允许一个普通的用户去执行管理员的命令而不需要知道管理员的密码。查看sudo的日志,可以告诉你谁运行了管理员命令。如果有人无意中删除了整个文件系统,而你想知道是谁做的,这个信息就很有价值。
如果你允许用户从远程登录,也许会对他们从哪里登录感兴趣。如果你发现一个用户从两个不同并且有很大距离的地点同时登录,也许就有必要去调查了。(我们听说手机运营商就是这样来侦测克隆手机的)。
下面我们把重点从日志的重要性转移到人、过程和技术在整体日志分析中的效果上来。

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
2月前
|
监控 Android开发 C语言
深度解读Android崩溃日志案例分析2:tombstone日志
深度解读Android崩溃日志案例分析2:tombstone日志
30 0
|
2月前
|
Go 数据处理 Docker
elk stack部署自动化日志收集分析平台
elk stack部署自动化日志收集分析平台
49 0
|
2月前
|
缓存 固态存储 关系型数据库
MySQL性能优化指南:深入分析重做日志刷新到磁盘的机制
MySQL性能优化指南:深入分析重做日志刷新到磁盘的机制
|
3月前
|
SQL Java 数据库连接
日志输出-查看 SQL:深入分析 MyBatis 执行过程
日志输出-查看 SQL:深入分析 MyBatis 执行过程
36 0
|
4月前
|
存储 JSON 监控
日志记录和分析:ELK堆栈在内部局域网监控软件中的应用
在现代信息技术领域,监控和分析内部局域网的性能和运行状况对于确保系统的可靠性和高效性至关重要。为了实现这一目标,开发了一种基于ELK堆栈的解决方案,它利用强大的日志记录和分析工具,帮助监控人员实时追踪和解决问题。本文将介绍ELK堆栈的应用,以及如何自动提交监控到的数据到指定网站。
175 1
|
5月前
|
Linux Perl
Linux 系统快速分析日志定位故障原因的 10 个方法
在 Linux 系统中,日志是一种非常重要的资源。系统管理员可以通过日志记录的内容来检测系统的运行状况,分析问题,做出相应的调整和优化。由于日志文件数量庞大,内容复杂,因此需要使用一些工具和技术帮助管理员进行快速分析和查找。 本文将介绍 Linux 系统中快速分析日志、定位故障的 10 个方法。
646 1
|
3月前
|
Java
如何实现一个高效的二叉搜索树(BST)?请给出时间复杂度分析。 要求:设计一个二叉搜索树,支持插入、删除和查找操作。要求在平均情况下,这些操作的时间复杂度为O(log n)。同时,考虑树的平衡性,使得树的高度保持在对数级别。
如何实现一个高效的二叉搜索树(BST)?请给出时间复杂度分析。 要求:设计一个二叉搜索树,支持插入、删除和查找操作。要求在平均情况下,这些操作的时间复杂度为O(log n)。同时,考虑树的平衡性,使得树的高度保持在对数级别。
25 0
|
3月前
|
SQL 存储 安全
带你读《Apache Doris 案例集》——07查询平均提速700% ,奇安信基于 Apache Doris 升级日志安全分析系统(2)
带你读《Apache Doris 案例集》——07查询平均提速700% ,奇安信基于 Apache Doris 升级日志安全分析系统(2)
|
5天前
|
应用服务中间件 nginx
百度搜索:蓝易云【nginx记录分析网站响应慢的请求(ngx_http_log_request_speed)】
需要注意的是,使用自定义的Nginx模块需要对Nginx的编译和配置有一定的了解。如果对Nginx和模块的配置不太熟悉,建议先仔细阅读相关文档和教程,确保操作正确。此外,模块的稳定性和兼容性也需要进行一定的测试和验证。 买CN2云服务器,免备案服务器,高防服务器,就选蓝易云。百度搜索:蓝易云
15 0
|
5月前
|
运维 监控 安全
系统日志分析:发现潜在问题
系统日志分析:发现潜在问题
36 0