日志審計(jì)系統(tǒng)日志收集方法應(yīng)用實(shí)例探討

杜愛華

摘 要：國(guó)家網(wǎng)絡(luò)安全法明確要求，系統(tǒng)日志的保存時(shí)間不小于6個(gè)月。為了達(dá)到這個(gè)合法合規(guī)的要求，分局管理信息網(wǎng)部署了SecFox-LAS日志審計(jì)系統(tǒng)。文章闡述了如何將管理信息網(wǎng)中來(lái)自不同廠商的服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等系統(tǒng)的日志、事件、報(bào)警等信息匯集到LAS服務(wù)器的實(shí)現(xiàn)方法，從而最大程度地滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求。

關(guān)鍵詞：日志審計(jì)系統(tǒng);日志收集方法;應(yīng)用實(shí)例;等級(jí)保護(hù)

中圖分類號(hào)：TP309文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1674-1064（2021）08-0-02

DOI：10.12310/j.issn.1674-1064.2021.08.022

隨著空管管理信息網(wǎng)網(wǎng)絡(luò)規(guī)模的擴(kuò)大、大量安全設(shè)備的引入以及滿足公安局等級(jí)保護(hù)測(cè)評(píng)三級(jí)的安全要求，迫切需要一套完善的日志審計(jì)系統(tǒng)，對(duì)管理信息網(wǎng)內(nèi)部的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)系統(tǒng)、Web服務(wù)器等的訪問(wèn)情況進(jìn)行詳細(xì)、細(xì)致的審計(jì)，并且滿足國(guó)家網(wǎng)絡(luò)安全法中系統(tǒng)日志保存時(shí)間不少于6個(gè)月的安全要求。

經(jīng)過(guò)多方比較，筆者選擇了網(wǎng)神SecFox-LAS日志審計(jì)系統(tǒng)，對(duì)管理信息網(wǎng)內(nèi)的訪問(wèn)日志進(jìn)行審計(jì)，并通過(guò)SecFox-LAS系統(tǒng)的日志過(guò)濾功能、日志分析功能為用戶提供實(shí)時(shí)的安全隱患分析、安全隱 患排查功能。目前，在管理信息網(wǎng)中已經(jīng)順利完成SecFox-LAS的實(shí)施，并將各服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志統(tǒng)一收集到了SecFox-LAS日志服務(wù)器中，并通過(guò)SecFox-LAS進(jìn)行了日志過(guò)濾、歸一化處理，實(shí)時(shí)顯示和趨勢(shì)分析，協(xié)助安全管理人員迅速準(zhǔn)確地識(shí)別安全事故，消除了管理員在多個(gè)控制臺(tái)之間來(lái)回切換的煩惱，提高了工作效率[1]。

1 日志收集方法

日志審計(jì)系統(tǒng)在使用前，需要配置日志/事件源和開放相應(yīng)的端口，SecFox-LAS支持Syslog、Netflow、SNMP Trap等采集方式。

Syslog常被稱為系統(tǒng)日志，是一種用來(lái)在互聯(lián)網(wǎng)協(xié)議（TCP/IP）的網(wǎng)上傳遞記錄檔消息的標(biāo)準(zhǔn)，通常被用于信息系統(tǒng)管理及信息安全審核。雖然其有不少缺陷，但仍獲得了相當(dāng)多的設(shè)備及各種平臺(tái)的接收端支持。因此，Syslog能被用來(lái)將許多不同類型系統(tǒng)的日志記錄集成到集中的存儲(chǔ)庫(kù)中。

Netflow是一種網(wǎng)絡(luò)監(jiān)測(cè)功能，可以收集進(jìn)入及離開網(wǎng)絡(luò)界面的IP封包的數(shù)量及資訊，常常應(yīng)用在路由器及交換機(jī)等產(chǎn)品上。經(jīng)由分析Netflow收集到的資訊，網(wǎng)絡(luò)管理人員可以知道封包的來(lái)源及目的地，網(wǎng)絡(luò)服務(wù)的種類，以及造成網(wǎng)絡(luò)擁塞的原因。

SNMP Trap（SNMP陷阱）又是什么？在網(wǎng)管系統(tǒng)中，被管理設(shè)備中的代理可以在任何時(shí)候向網(wǎng)絡(luò)管理工作站報(bào)告錯(cuò)誤情況，而不需要等到管理工作站為獲得這些錯(cuò)誤情況而輪詢它的時(shí)候才會(huì)報(bào)告。這些錯(cuò)誤情況就是SNMP Trap。用一句話來(lái)說(shuō)，SNMP Trap就是被管理設(shè)備主動(dòng)發(fā)生消息給NMS的一種機(jī)制。

為了收集各種日志/事件，SecFox-LAS管理中心需要開放以下端口，如表1所示。

2 日志收集方法應(yīng)用實(shí)例

以下詳細(xì)介紹管理信息網(wǎng)中OA服務(wù)器、網(wǎng)絡(luò)交換機(jī)及防火墻等各種不同設(shè)備的日志/事件收集方法[2]。

2.1 OA服務(wù)器日志收集

管理信息網(wǎng)內(nèi)，OA系統(tǒng)服務(wù)器均使用Windows Server 2008操作系統(tǒng)。Windows日志的審核事件包括：添加帳號(hào)、刪除賬號(hào)、設(shè)置密碼、登錄失敗、登錄成功等。Windows主機(jī)本身沒(méi)有對(duì)外發(fā)送安全信息的功能，需要安裝nxlog插件實(shí)現(xiàn)對(duì)Windows主機(jī)日志的采集，并通過(guò)Syslog協(xié)議發(fā)送到SecFox-LAS系統(tǒng)管理中心。具體方法如下：

安裝nxlog-3.1.1930.exe至默認(rèn)路徑;

將C：＼Program Files （x86）＼nxlog＼conf目錄下nxlog.conf文件替換為已有模板（根據(jù)相應(yīng)操作系統(tǒng)版本和位數(shù)，用配置模版中的nxlog.conf文件替換掉conf文件夾的相應(yīng)文件即可），參考路徑如下，此處用例為server2008 32位系統(tǒng)。

64位：C：＼Program Files ＼nxlog＼conf＼nxlog.conf

32位：C：＼Program Files （x86）＼nxlog＼conf＼nxlog.conf

配置探針地址為審計(jì)系統(tǒng)的IP地址，例如10.80.20.180。

Nxlog配置分為輸入（Input）、輸出（Output）、路徑（Route）。

輸入為需要采集的數(shù)據(jù)源;

輸出為日志需要發(fā)往的目的地，比如文件、數(shù)據(jù)庫(kù)、日志服務(wù)器，在筆者的環(huán)境中一般為探針地址。

用記事本打開nxlog.conf，找到以下部分內(nèi)容，進(jìn)行相應(yīng)設(shè)置：

Module? ? ? xm_syslog? #收集事件日志，所有的事件日志默認(rèn)都被收集

? ? #如果包含多個(gè)輸入，名稱可以修改，如in1、in2等

Module im_msvistalog

? ?#配置輸出

Module? ? ? om_udp? #安裝完默認(rèn)為om_tcp，需要修改成om_udp

Host? ? ? ? 10.80.20.180? # 探針地址

Port? ? ? ? 514? ? # 使用該端口輸出Syslog日志

Path? ? ? ? in => out? #源輸入對(duì)應(yīng)輸出

本地組策略設(shè)置。在啟動(dòng)nxlog服務(wù)前，用戶必須確認(rèn)開啟了Windows操作系統(tǒng)的日志審計(jì)策略。如果沒(méi)有打開日志審計(jì)策略，需要在組策略中設(shè)置審核策略。有兩種方法：

點(diǎn)擊“開始”菜單—運(yùn)行—打開CMD命令行窗口，輸入gpedit.msc，打開組策略設(shè)置窗口—計(jì)算機(jī)配置—Windows設(shè)置—安全設(shè)置—本地策略—審核策略，然后修改審核即可（默認(rèn)審核策略是無(wú)，審核操作可勾選成功和失敗）。

“開始”—管理工具—本地安全策略—本地策略—審核策略，然后修改審核即可。

最后進(jìn)入“開始”—管理工具—服務(wù)，啟動(dòng)nxlog服務(wù)，如圖1所示。

2.2 網(wǎng)絡(luò)交換機(jī)日志收集

對(duì)于網(wǎng)絡(luò)設(shè)備，可以通過(guò)snmp協(xié)議和Syslog協(xié)議將日志發(fā)送給SecFox管理中心。一般地，通過(guò)Syslog協(xié)議，服務(wù)器能夠采集到更多的日志信息，有助于進(jìn)行深入的安全分析。以下以H3C和思科兩個(gè)品牌的交換機(jī)配置為例加以說(shuō)明[3]。

2.2.1 H3C交換機(jī)

在H3C交換機(jī)中配置如下：

[H3CS5560]info-center enable //啟動(dòng)Syslog

[H3CS5560]info-center loghost 10.80.20.180 facility local5 //配置Syslog發(fā)送目的地址

[H3CS5560]info-center loghost source vlan1

[H3CS5560]info-center source default logbuffer level debugging

2.2.2 cisco交換機(jī)

在cisco交換機(jī)中配置如下：

OA-HGC-1#logging on //啟動(dòng)Syslog

OA-HGC-1#logging host 10.80.20.180 //配置Syslog發(fā)送目的地址

OA-HGC-1#logging source-interface vlan1

OA-HGC-1#logging trap warnings

2.3 防火墻日志收集

用Web方式登錄深信服防火墻，通過(guò)Syslog協(xié)議收集日志，如圖2所示。

2.4 路由器日志收集

以cisco路由器為例。在全局模式下，以管理員身份登錄路由器。配置netflow的操作如下：

Router（config）#ip flow-export source interface //配置輸出netflow流量的源端口，收集哪個(gè)interface，就在路由器哪個(gè)端口上啟用采樣。一般為loopback0的地址。

Router（config）#ip flow-export version 5 //目前支持V5版本。

Router（config）#ip flow-export destination ip-addr port //配置netflow流量輸出的目標(biāo)地址，此時(shí)應(yīng)為SecFox-LAS服務(wù)器的IP地址、端口號(hào)。注意，中間如果有防火墻，需要開放該端口。[缺省端口號(hào)是2055]。

3 結(jié)語(yǔ)

文章闡述了如何將管理信息網(wǎng)中來(lái)自不同廠商的服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等系統(tǒng)的日志、事件、報(bào)警等信息匯集到LAS服務(wù)器的實(shí)現(xiàn)方法。從以上實(shí)例中可以看出，大部分的設(shè)備都使用了Syslog系統(tǒng)日志收集方式，Netflow、SNMP Trap等采集方式應(yīng)用較少，但不管是哪種方式，只要能實(shí)現(xiàn)日志、事件、報(bào)警等信息的匯集，就可以滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求。

經(jīng)過(guò)一年多的運(yùn)行，我局SecFox-LAS日志審計(jì)系統(tǒng)使用效果良好。SecFox-LAS日志審計(jì)系統(tǒng)的實(shí)施，為用戶解決了日志分散、安全威脅不能第一時(shí)間排查的問(wèn)題。另外，通過(guò)SecFox-LAS的實(shí)施，用戶可以很好地滿足國(guó)家網(wǎng)絡(luò)安全法對(duì)核心業(yè)務(wù)、安全日志要求保存周期不少于6個(gè)月的政策要求，從等級(jí)保護(hù)的角度為用戶提供了一套完善的日志審計(jì)、采集系統(tǒng)。

參考文獻(xiàn)

[1] 褚瓦金，施密特，菲利普斯，等.日志管理與分析權(quán)威指南[M].北京：機(jī)械工業(yè)出版社，2014.

[2] 吳教育，盧寧，陳一天.日志文件的集中管理和分析[J].電腦開發(fā)與應(yīng)用，2004，17（5）：26-27.

[3] 葉玲肖.基于SYSLOG的集中日志管理系統(tǒng)的研究與實(shí)現(xiàn)[D].杭州：浙江工商大學(xué)，2011.