為什么需要日志審計系統

什么是日志

        簡單地說，日志就是計算機系統、設備、軟件等在某種情況下記錄的信息。具體的內容取決于日志的來源。例如，Unix操作系統會記錄用戶登錄和注銷的消息，防火墻將記錄ACL通過和拒絕的消息，磁盤存儲系統在故障發生或者在某些系統認為將會發生故障的情況下生成日志信息。日志中有大量信息，這些信息告訴你為什么需要生成日志，系統已經發生了什么。例如，Web服務器一般會在有人訪問Web頁面請求資源（圖片、文件等等）的時候記錄日志。如果用戶訪問的頁面需要通過認證，日志消息將會包含用戶名。這就是日志數據的一個例子：可以使用用戶名來判斷誰訪問過一個資源。通過日志，IT管理人員可以了解系統的運行狀況，安全狀況，甚至是運營的狀況。

日志的重要性

       在一個完整的信息系統里面，日志系統是一個非常重要的功能組成部分。它可以記錄下系統所產生的所有行為，并按照某種規范表達出來。我們可以使用日志系統所記錄的信息為系統進行排錯，優化系統的性能，或者根據這些信息調整系統的行為。在安全領域，日志可以反應出很多的安全***行為，比如登錄錯誤，異常訪問等。日志還能告訴你很多關于網絡中所發生事件的信息，包括性能信息、故障檢測和***檢測。日志會成為在事故發生后查明“發生了什么”的一個很好的“取證”信息來源。日志可以為審計進行審計跟蹤。

被低估的日志

        在很多企業環境中，日志沒有得到重視。日志往往在日常工作中被完全忽視，僅僅在磁盤空間不足的時候才會引起人們的注意。而在這個時候它們往往未經查看就被刪除了。某些情況下，日志中的一些消息可能指出磁盤滿的原因。很多人都有過查看已被***的機器的經歷，在詢問日志保存的位置之后，我們會聽到：“噢，它們只會占據空間，所以我們把它們刪掉了。”在大多數這種情況下，我們沒有什么可做的。

        為什么日志不受重視呢？這是有很多原因的。首先是領導的重視程度，在中國大多數領導重視的是業務，而不是運維或者安全等。其次是日志以各種形狀和大小出現，有時候很難從中提取信息，日志的內容不好理解。syslog數據可能相當糟糕，因為大多數數據都是自由格式的文本。從syslog中獲取有用的數據需要花費一些精力，而且需要處理的數據量可能很大。例如，有些網站每周會收集幾個GB的日志數據，有的可能一天內就能達到這樣的量級。這樣的數量似乎令人不知所措，大多數管理員最終往往根據特定的時間內看到的東西，根據經驗寫出一些腳本來尋找一些隨機的東西。

為什么需要日志

從運維角度來看：

        一個成功的軟件，全力開發的時間可能占其整個生命周期的1/4還不到，軟件發布后要運維（Operation），運維的數據能反應開發，同時，開發的時候也得考慮可運維性，其中非常重要的一點是日志，沒有日志，運維就瞎了大半。所以在運維的過程中基本上是靠日志來判斷問題，解決問題。

       日志對業務分析也是非常重要的，比如一個網站，網站的歷史訪問情況，新增訪問情況，哪些頁面訪問最多等等。

從安全角度來看：

安全產品的零散性

    安全領域的特點，即他和現有的所有層面的IT技術和產品都有關聯，他和網絡技術、主機操作系統、應用軟件、人為管理、個人PC、服務器、內容安全、電話網等所有領域都有關系，因此幾乎沒有一個廠商能夠將自己的安全產品覆蓋到所有領域，安全有無數的細分領域：防火墻、***檢測、掃描器、SSO、審計、補丁管理、集中認證、一次性口令、LDAP、加密存儲、鏈路層加密、防毒、內容安全、sniffer、forensics、PKI、安全服務、策略管理等等，每個領域都有一個最強大的廠商，在這樣一個零散的環境中，你必須面對每個廠商不同的管理界面和終端，這是一個非常大的挑戰。

海量數據帶來的效率低下

        安全產品部署的過程中，最為嚴重和突出的現象是會出現大量的安全事件，一個標準的網絡***監測系統采用缺省的策略，在一個百兆的鏈接上每天可能產生超過千萬數量的事件，海量的數據常常讓我們的安全產品變得沒有任何意義，即使經過調整和優化的策略，也充斥著無意義數據和誤報。***監測等安全產品也正是因為這種原因被人詬病。有些無效數據是由安全產品的機制自身導致的，他本身無法徹底解決該問題，企業面臨的難題是，必須減少但不丟失安全事件，這樣才能讓我們對安全產品的管理變得可能和有效率。

日志格式不統一

        每種設備類型的日志格式都不相同，各有各的表達，即時是表達同一件事情，也都有各自的表達方式。例如同樣的登錄失敗信息，防火墻中的描述和主機操作系統中的描述格式就可能根本不相同。這迫使審計人員去了解每種設備類型的格式。

國家法律法規要求

        GB/T 22239-2008《信息安全技術 信息系統安全等級保護基本要求》對于二級以上信息系統，在網絡安全、主機安全和應用安全等基本要求中明確要求進行安全審計。而日志審計是符合這些要求的基本手段。 

      《互聯網安全保護技術措施規定》（公安部82號令）第八條要求具備“記錄、跟蹤網絡運行狀態，監測、記錄用戶各種信息、網絡安全事件等安全審計功能”。 l 

      《商業銀行內部控制指引》第一百二十六條指出“商業銀行的網絡設備、操作系統、數據庫系統、應用程序等均當設置必要的日志。日志應當能夠滿足各類內部和外部審計的需要”。 

    《銀行業信息科技風險管理指引》 第第二十七條要求銀行業應制定相關策略和流程，管理所有生產系統的日志，以支持有效的審核、安全取證分析和預防欺詐。

     《保險公司信息系統安全管理指引（試行）》第四十四條要求“對主機系統進行審 計，妥善管理并及時分析處理審計記錄。對重要用戶行為、異常操作和重要系統命令的使用等應進行重點審計”。

      《網絡安全法（草案）》第三章網絡運行安全中第一節一般規定的第三條要求“采取記錄、跟蹤網絡運行狀態，監測、記錄網絡安全事件的技術措施，并按照規定留存網絡日志”。

      《薩班斯（SOX）法案》404條款，公司管理層建立和維護內部控制系統及相應控制程序充分有效的責任；發行人管理層最近財政年度末對內部控制體系及控制程序有效性的評價。（注：在SOX中，信息系統日志審計系統及其審計結果是評判內控評價有效性的一個重要工具和佐證）

        通過以上分析，可以得知日志分析還是很重要的，所以要盡早把日志利用起來。