主页 / server / 问题 / 27447
In Process
chmeee
Asked: 2009-06-18 09:14:34 +0800 CST

值得在中央存储库中保存和分析的日志

  • 772

由于需要集中日志,我们选择了 syslog 作为收集器,选择 Splunk(目前免费)作为分析工具,但始终存在哪些事件应该到达中央存储库以及来自哪些系统的问题。

从安全的角度来看,选择应该只处理那些感兴趣的日志。

您集中了哪些日志以及如何选择它们?

答案应说明设备、系统或软件的类型、日志/事件的类型以及选择它们的原因。

logging security windows-event-log

5 个回答

  1. 视窗:

    1. 安全日志(专门寻找审核失败)
    2. 系统日志(与安全日志关联)
    3. IIS 日志
    4. 面向网络的应用程序的任何应用程序日志。

    在 Linux 上:

    1. /var/log/auth.log(登录)
    2. /var/log/errors.log(用于...错误)
    3. SSH 日志
    4. 应用程序日志

    通常您要监控:

    1. 登录
    2. 系统错误
    3. 应用程序日志

    这些将是要监控的最重要的日志,并且使用 splunk 最能说明问题。

    日志系统仅与时间源一样好。使用 NTP 并确保您的所有服务器都设置为相同的时区将使您的工作轻松十倍。我喜欢将我的 BIOS 时钟设置为 UTC,然后将操作系统设置为本地时区。

    编辑:这现在是一个维基。添加您自己的建议!

    • 3

  2. 出于安全目的,所有日志都值得关注。至少它们在 unix/lnx 盒子上。

    • 2

  3. 在 Linux 上,您不妨将所有内容从 syslog 发送到中央收集器并分析模式。您永远不会提前知道您将需要什么,如果您只包含某些服务,您可能会发现自己丢失了一些信息。虽然对于特定类型的应用程序应该登录到哪个设施有一般指导方针,但没有硬性规定。

    如果感兴趣的应用程序编写了自己的日志文件,我通常也会将这些文件摄取到 syslog 守护程序中,然后将它们转发到中央收集器。

    这不仅对安全目的有用,而且对查找配置错误以及硬件和软件故障也很有用。

    • 2

  4. 这实际上取决于您要检测的内容。

    如果您正在寻找资源访问权限(例如工资单文件、产品文档):

    • 从资源所在的服务器收集用户和访问时间的日志
    • 收集电子邮件跟踪信息,以便您查看资源是否以及去向

    如果您正在寻找外部访问,那么:

    • vpn 记录人员登录的人员和时间
    • 访问尝试的防火墙日志
    • 异常流量的 ids 日志
    • AD登录日志,因此发现蛮力尝试
    • wifi日志
    • dhcp 日志

    同样,首先确定您要检测的内容,然后查找可以显示访问信息/资源的对象和位置的日志。然后去下一个。根据经验,如果您只想要一切,您将无法获得所需的任何检测。

    • 2

  5. 这是一个很笼统的问题。

    您应该已经知道需要将哪些日志输入 splunk。在查找安全事件时,您会手动搜索哪些日志?这些是您需要输入 splunk 的内容。

    • 0

相关问题