日志系統(tǒng)在應(yīng)用中的重要作用

Word日志系統(tǒng)在應(yīng)用中的重要作用

日志系統(tǒng)在應(yīng)用中的重要作用

日志系統(tǒng)管理的意義

在一個完整的信息系統(tǒng)里面，日志系統(tǒng)是一個非常重要的功能組成部分。它可以記錄下系統(tǒng)所產(chǎn)生的所有行為，并按照某種規(guī)范表達(dá)出來。我們可以使用日志系統(tǒng)所記錄的信息為系統(tǒng)進(jìn)行排錯，優(yōu)化系統(tǒng)的性能，或者根據(jù)這些信息調(diào)整系統(tǒng)的行為。在安全領(lǐng)域，日志系統(tǒng)的重要地位尤甚，可以說是安全審計方面最主要的（工具）之一。

日志系統(tǒng)概覽

按照系統(tǒng)類型進(jìn)行區(qū)分的話，日志系統(tǒng)可以分為操作系統(tǒng)日志、應(yīng)用系統(tǒng)日志、安全系統(tǒng)日志等等。每種操作系統(tǒng)的日志都有其自身特有的設(shè)計和規(guī)范，例如Windows系統(tǒng)的日志通常按照其慣有的應(yīng)用程序、安全和系統(tǒng)這樣的分類方式進(jìn)行存儲，而類似（Linux）這樣的各種ClassUNIX系統(tǒng)通常都使用兼容Syslog規(guī)范的日志系統(tǒng)。

而很多硬件設(shè)備的操作系統(tǒng)也具有獨立的日志功能，以Cisco路由器為代表的網(wǎng)絡(luò)設(shè)備通常都具有輸出Syslog兼容日志的能力。應(yīng)用系統(tǒng)日志主要包括各種應(yīng)用程序服務(wù)器（例如Web服務(wù)器、FTP服務(wù)器）的日志系統(tǒng)和應(yīng)用程序自身的日志系統(tǒng)，不同的應(yīng)用系統(tǒng)都具有根據(jù)其自身要求設(shè)計的日志系統(tǒng)。安全系統(tǒng)日志從狹義上講指信息安全方面設(shè)備或（軟件）如防火墻系統(tǒng)的日志，從更廣泛的意義上來說，所有為了安全目的所產(chǎn)生的日志都可歸入此類。

日志管理工作綜述

我們的主人公（Mi）ke是個安全管理員，他獨立負(fù)責(zé)（公司）所有（計算機(jī)）設(shè)施的安全事務(wù)。雖然公司的設(shè)備還不算太多，但是系統(tǒng)倒是非常豐富，公司自己的網(wǎng)站基于SQLServer（數(shù)據(jù)庫）進(jìn)行編程，運(yùn)行在一臺運(yùn)行著IIS的Windows服務(wù)器上，而公司的FTP服務(wù)則通過Linux系統(tǒng)下的WU-FTPD程序?qū)崿F(xiàn)。

在公司與Internet的邊界處放置著一臺硬件防火墻，Web服務(wù)器就接在這臺防火墻的DMZ端口上，而仍然是為了工作方便的原因，提供FTP服務(wù)的Linux機(jī)器放置與公司的內(nèi)部網(wǎng)絡(luò)上。到目前為止，所有的安全管理工作有條不紊地進(jìn)行著，而這其中相當(dāng)一部分是自動實現(xiàn)的。收集和閱讀各種系統(tǒng)日志占據(jù)了Mike日常安全管理工作的相當(dāng)比重，我們首先來看看Mike是如何完成這一切的。

Mike主要處理的日志包括了公司網(wǎng)站服務(wù)器上的Windows系統(tǒng)日志、IIS服務(wù)器軟件生成的日志以及SQLServer日志，Linux服務(wù)器上的系統(tǒng)日志以及FTP服務(wù)日志，另外還包括公司防火墻的日志。當(dāng)然了，內(nèi)網(wǎng)所有的機(jī)器日志也在Mike的管轄范圍之內(nèi)，但是在Mike的計劃里這些日志的優(yōu)先級較低，在主要日志得到妥善處理之后，Mike不定期的對這些日志進(jìn)行審閱工作。

對于Web服務(wù)器上的所有日志，Mike改變了其默認(rèn)的存儲位置，并將其放置在服務(wù)器上專設(shè)的一個NTFS分區(qū)上。這樣做可以更好的進(jìn)行管理和控制，而且將其放置在IIS所運(yùn)行的分區(qū)之外，可以給攻擊者造成一些障礙，將文件放置在NTFS分區(qū)則主要是為了進(jìn)行訪問權(quán)限的控制。因為Windows系統(tǒng)日志很難被刪除但對其進(jìn)行清除卻非常容易，所以Mike需要對日志的清除包括篡改進(jìn)行盡量嚴(yán)格的控制。

Mike自己撰寫了一些Windows腳本，定期將這些日志復(fù)制到自己的Windows工作站下，而很少直接使用Web服務(wù)器上的日志文件。Linux服務(wù)器上的日志也應(yīng)用了相似的權(quán)限控制，Mike在自己的工作站上運(yùn)行了一個叫做KiwiSyslogDaemon的程序，接收Linux服務(wù)器產(chǎn)生的所有Syslog規(guī)格的日志，這個守護(hù)程序也能夠接收公司防火墻的日志歸檔。

Mike每天獲取一次所有的日志文件，并對這些日志執(zhí)行一些自動的檢查工作?；緳z查工作一般是在日志文件中按照可能存在的安全風(fēng)險進(jìn)行相應(yīng)的搜索，例如我們的Web日志中如果出現(xiàn)了包含cmd.exe的記錄，說明很可能有攻擊者或者蠕蟲病毒在試探是否可以利用IIS的一些進(jìn)行非法操作。值得注意的是，對于文本格式的日志文件，我們通過基本的Find命令就可以執(zhí)行這樣的搜索。而對于使用二進(jìn)制格式存儲的日志文件，執(zhí)行這種檢查會復(fù)雜一些，通常需要利用日志系統(tǒng)本身的閱讀程序進(jìn)行讀取或解碼。這需要管理員非常熟悉所維護(hù)系統(tǒng)相關(guān)的安全漏洞，以及相應(yīng)系統(tǒng)下的腳本編寫技術(shù)，但是在這些方面付出汗水是絕對值得的，至少像Mike這樣維護(hù)如此多系統(tǒng)還有時間閱讀技術(shù)類雜志是很讓人羨慕的。

這些日常的工作雖然能阻擋不少惡意訪問行為，但這并不是一個安全管理員生活的全部，還是有很多問題會安然通過這些檢測，對系統(tǒng)形成破壞。從本質(zhì)上來講，自動化的處理是相對粗粒度的，主要起到過濾沒有意義的干擾信息，有效降低管理員工作負(fù)荷的作用。在日常監(jiān)測之外，也應(yīng)該每隔一段時間對這些日志進(jìn)行更細(xì)致的審查。