Log 日志
组织系统中发生事件的记录。每个登录、每个文件操作、每个网络连接、每个错误,都可以(也应该)留下日志。
为什么 Log 是安全工作的基础
- 取证(Forensics) —— 出事了能回溯发生了什么
- 审计 —— 谁在什么时候做了什么
- 检测 —— IDS、SIEM 都靠日志做规则匹配
- 合规 —— 几乎所有 合规 标准都要求日志保留时长
- 故障排查 —— 不是安全也是运维必需
日志来源(常见且重要)
| 来源 | 安全价值 |
|---|---|
| OS 系统日志(Linux: syslog/journald;Windows: Event Log) | 登录、权限变更、服务启停 |
| 应用日志 | 业务事件、错误、审计 |
| 数据库日志 | 数据访问、修改 |
| 防火墙 | 网络流量、阻断记录 |
| Web 服务器 | HTTP 请求、状态码 |
| 认证服务 | 登录成功/失败、MFA |
| VPN | 远程接入记录 |
| DNS 查询 | 域名解析(发现 C2 通信) |
| EDR / 杀毒 | 端点行为 |
日志的”安全卫生”要求
- 集中收集 —— 一台一台看是不行的,送到中心(syslog server / SIEM)
- 完整性保护 —— 攻击者第一件事就是擦日志,要 append-only / 远程实时同步
- 时间同步(NTP) —— 多源日志要能拼起来,时间不一致就废
- 结构化 —— JSON / 标准 schema 比纯文本好分析
- 保留时长 —— 通常 90 天 - 数年,看法规
- 不记敏感数据 —— 别在日志里打印密码、信用卡(常见低级错误)
跟 Network Log Analysis / SIEM 的关系
- Log = 原始数据
- Log Analysis = 检查日志找有价值事件的过程
- SIEM = 让 Log Analysis 自动化、规模化的工具