本节书摘来华章计算机《日志管理与分析权威指南》一书中的第1章 ,第1.5.5节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1.5.5 无聊的审计,有趣的发现
审计是验证系统或者过程是否如预期般运行的过程。日志是审计过程的一部分,形成审计跟踪的一部分。
审计往往是为了政策或者监管依从性而进行的。例如,公司往往需要做财务审计,以确保他们的财务报表和账簿相符,且所有数字都合情合理。Sarbanes-Oxley(萨班斯-奥克斯利法案)和HIPAA(健康保险便利性与责任法案)等美国法规都要求某种交易日志,以及可以用来验证用户对金融和患者数据的访问的审计跟踪。另一个例子是Payment Card Industry Data Security Standard(PCI DSS,支付卡行业数据安全标准),它的强制要求包括记录信用卡交易日志和持卡人的数据访问日志。我们将在16章讨论PCI。
日志也可以被用于遵从技术策略(如安全策略)的依从性。例如,如果你有一些在你的网络中允许使用哪些服务的策略,可以采用对各种日志的审计,来验证只有这些服务在运行。例如,Windows有一个应用程序事件日志,包含了操作系统启动或者停止服务的日志消息。
审计跟踪也可用于证明可审核性,日志本身可以用于防抵赖。例如,如果有人声称他们从来没有接收一个特定的邮件,邮件日志可以用于核实并显示邮件到底有没有发送,就像邮件投递员签收的单据一样。再举一例,如果发生某一事件时,一个用户声称他无法登录,日志能证明他们是否说了实话。
有条理地进行日志分析,还能把一个无聊的审计变为“有趣的发现”。这是什么意思呢?例如,我们将会为你展示一些工具,你可以用它们来从日志中获取主机上运行的所有服务的列表。你也许会吃惊地看到正在运行的一些服务(你知不知道网络上有个IRC服务器?)。有时,这些发现证明有人违反了策略,有时,它们说明有一位入侵者愚蠢地启动了一个留下日志记录的服务。
审计用户活动可以展示一些你不知道的事情。在Unix环境中,有一个叫sudo的实用程序。它能允许一个普通的用户去执行管理员的命令而不需要知道管理员的密码。查看sudo的日志,可以告诉你谁运行了管理员命令。如果有人无意中删除了整个文件系统,而你想知道是谁做的,这个信息就很有价值。
如果你允许用户从远程登录,也许会对他们从哪里登录感兴趣。如果你发现一个用户从两个不同并且有很大距离的地点同时登录,也许就有必要去调查了。(我们听说手机运营商就是这样来侦测克隆手机的)。
下面我们把重点从日志的重要性转移到人、过程和技术在整体日志分析中的效果上来。
