日志安全性审计-日志审计系统需求

基于用户权限管理系统日志，系统可以获取用户的登录记录及操作记录，自动化排查日志中可能存在的越权登录现象。针对需要进行事后排查的重大事故，日志审计系统也可以根据操作记录，审计运维工程师的操作是否符合正规流程。

基于SSH登录日志，入侵者可能使用非统一认证账号尝试登录服务器，这样会在secure日志中留下记录；针对连续尝试密码失败的用户名及IP地址，日志审计系统应给出报表，提醒相关运维工程师排查。

Xferlog日志审计。FTP作为常见的数据传输协议，也是日志审计系统的重要关注点。为了管理方便，部分Linux集群服务器开启匿名FTP进行数据传输，这就带来了安全隐患，同处于内网的服务器可能在源端服务器不知情的情况下进行数据下载。通过审计/var/log/xferlog，可以对数据安全性进行防护，当重要数据被异常抓取时，工程师可以第一时间知晓。

系统守护进程Syslog审计。Linux系统提供了一套系统日志记录工具Syslog，其产生的日志默认保存在/var/log目录，需要记录日志消息的程序将日志消息发送给Syslog，Syslog根据消息的发送者以及消息的严重程度，将消息记录到各个日志文件、设备或者计算机上。Syslog消息也可以在Linux内核中产生。Syslog日志消息，的组成部分有消息产生的时间、Syslog工具、Syslog优先级、产生消息的程序名、产生消息的进程ID、产生消息的计算机、消息的内容。

在系统被入侵的情况下，系统日志以及应用程序日志可以用于分析，并判定攻击者何时何地，以及如何侵入系统。日志是计算机安全取证的一个重要来源，通过日志分析可以得出重要的线索和结论。

日志审计系统安全性审计模块需要实现的功能如下。

（一）Linux系统日志的长期存储、实时分析及定期报告(www.xing528.com)

Linux集群中的Linux服务器系统日志量不会很大，但对安全审计而言意义非常重要，对系统日志的实时分析监控可以及时修补漏洞，因此需要长期存储，将系统日志按照一定格式存储在后端关系型数据库中。对于新流入数据库中的“热数据”，需要进行监控和告警，主要以黑名单的方式，发现疑似入侵，发送邮件或短信告警到运维安全工程师。对于长期存储的“冷数据”，可以选择周报或日报的方式，针对用户登录次数、密码输错次数、授权失败次数等编写报表程序，发送邮件至运维安全工程师。

（二）Web应用日志的短期存储及实时分析与安全问题告警

互联网应用的Web应用访问日志数量很大，一个千万级日PV的网站全站应用日志每天至少在10TB左右，这些应用日志长期存储不现实，需要消耗太多存储资源。对于这类日志，我们采用“短期存储+实时分析”过滤的机制，原始日志仅保留7天左右，但每5分钟都会对日志进行分析过滤，且结果会长期保留。分析的过程中也会使用黑名单告警机制，一旦发现URL中存在SQL注入的可能性，就发送短信和邮件告警到运维工程师。

（三）Web应用日志的关键词词库定期升级与完善

Web应用日志实时分析使用黑名单告警机制，黑名单的词库是其中的最大难点，需要长期的经验积累，不断地更新完善。在Linux集群运维平台日志审计系统设计中，需要为黑名单实时更新提供接口，方便运维安全工程师实时修改黑名单。同时，根据日志分析结果，运维安全工程师可以结合实际案例对URL黑名单进行更新。