系统日志是IT安全的"黑匣子",但很多企业的日志要么没有收集,要么收集了没人看,要么只保留了几天就被覆盖。
应该收集哪些日志?
- 网络设备:防火墙日志(访问控制、NAT)、VPN登录日志
- 服务器:系统登录/注销、权限变更、服务启停、错误日志
- 应用程序:用户操作日志、错误日志、API访问日志
- 数据库:管理员操作、大批量数据查询/导出
日志保留期要求
等保2.0要求日志至少保留6个月;金融、医疗行业通常要求保留1~3年。在规划存储容量时必须考虑日志的增长量。
SIEM:日志的集中管理与分析
SIEM(安全信息和事件管理)系统可以将各类日志集中收集、关联分析,自动发现异常行为。开源方案:ELK Stack(Elasticsearch+Logstash+Kibana)或Wazuh,无需高额商业授权费用。
最低成本的起步方案
如果暂时没有预算,最基础的要求是:防火墙日志发到一台专用日志服务器,保留6个月,确保等保合规。
华盛永诚科技提供日志审计系统部署和安全运营服务,欢迎联系。