如果日志文件(或日志数据)包含敏感信息,需要防止被删除、操纵或防止“日志注入”,哪些安全措施被视为最佳实践?
如果我的日志被用作法庭证据,我必须证明什么才能证明其真实可靠?
答案1
将日志集中到强化服务器可能会满足您的需求。更好的是,如果您可以将日志捕获到强化服务器上的数据库中,那么您将拥有各种可能性。
我不想就此事打扰您,但您说的是什么类型的日志记录?NT 事件日志?Unix(y) Syslog(及其同类)?从小型计算机记录?多一点的信息可能会让您找到您正在寻找的已知解决方案...
2009-05-18 重新编辑:
如果您可以让所有数据显示为系统日志样式的条目,那么这对您来说就有用。
对于 Unix(y) 风格的机器,请使用机箱中的任何 syslog 工具。您需要将所有记录的数据发送到中央日志服务器,但同时保留用于在本地记录日志的常规设置。(稍后会详细介绍)
对于那些不产生“真正的 syslog”输出的 Unix 风格服务,通常有重解析器可以将数据重新生成为有用的内容。主要例子:阿帕奇和乌贼对于大多数安装,日志格式不是针对 syslog 格式化的。每半小时重新生成一次数据(或任何适合您的时间)。然后中央日志服务器运行并挑选数据进行摘要。
对于 Windows 风格的机器,使用系统日志,这是一项免费服务,它会将事件日志条目分流至网络系统日志服务器。 可以快速了解如何操作涵盖设置。
一旦所有机器都“记录”,您将需要指定一个中央日志服务器。转到Splunk网站并阅读一些内容;当你准备好时,将其下载到您的中央日志服务器,并将其安装在这台机器上。免费版本每台最多可处理 500Mbyte天,除非您要处理大量的日志,否则它应该足够了。splunk 服务将接受您的所有系统日志输入,对其进行分类,并将其存储在本地数据库中。从网页上,您可以过滤、选择、按时间查看事件等。非常方便查看跨系统的综合图片。它还可以连接到各种不同的数据“源”,包括平面文件,这意味着那些 apache 和 squid 日志可以通过 splunk 转换为条目(前提是您将其连接到需要它的每台机器上)。
这种设置的一个有益的副作用是所有本地日志数据仍然存在 - 不会丢失任何内容,因此即使中央日志服务器出现故障,日志在其他地方仍然有效。如果机器丢失(硬盘损坏、安全漏洞等),您仍然可以在中央服务器上保留数据的历史记录。
一旦所有的机器都进行 syslog 并且您的服务进行 splunk,请将所有 syslog 机器指向 splunk 服务器。
答案2
从审计角度来看,您需要某种集中式系统,其他系统的管理员对它没有管理权限。有很多解决方案可以自动检索日志并将其导出到中央系统。您基本上是在寻找所谓的日志管理或安全信息管理 (SIM) 产品。至于选择哪一种,这取决于很多因素,例如预算、内部当前的解决方案等。
从取证角度来看,最重要的是能够展示保管链,以证明证据没有被篡改。这不仅仅是工具。它还包括在发生安全事件时处理证据的程序,以及在调查进行过程中验证事件是否发生并进入证据收集和损害评估。对于这类事情,您可能需要考虑让具有适当资格的人SANS事件处理和取证培训。