在需要集中日志时,我们选择了 syslog 作为收集器,选择了 Splunk(目前免费)作为分析工具,但总是存在哪些事件应该进入中央存储库以及从哪个系统进入的问题。
选择应该只解决从安全角度感兴趣的日志。
您将哪些日志集中起来以及如何选择它们?
答案应表明设备、系统或软件的类型、日志/事件的类型以及选择它们的原因。
答案1
视窗:
- 安全日志(专门查找审计失败)
- 系统日志(与安全日志关联)
- IIS 日志
- 面向网络的应用程序的任何应用程序日志。
在 Linux 上:
- /var/log/auth.log(登录)
- /var/log/errors.log (用于...错误)
- SSH 日志
- 应用程序日志
通常你需要监控:
- 登录
- 系统错误
- 应用程序日志
这些将是使用 splunk 监控的最重要的日志,并且是最能说明问题的日志。
日志系统的好坏取决于时间源。使用 NTP 并确保所有服务器都设置为同一时区将使您的工作轻松十倍。我喜欢将 BIOS 时钟设置为 UTC,然后将操作系统设置为本地时区。
编辑:这现在是 wiki。添加您自己的建议!
答案2
所有日志都对安全目的有用。至少它们位于 unix/lnx 机器上。
答案3
在 Linux 上,您不妨将系统日志中的所有内容发送到中央收集器并分析模式。您永远不知道自己会提前需要什么,如果您只包含某些服务,您可能会发现自己遗漏了一些信息。虽然对于特定类型的应用程序应该记录到哪个设施有一般指导原则,但没有硬性规定。
如果感兴趣的应用程序写入自己的日志文件,我通常也会将它们纳入 syslog 守护进程并将它们转发到中央收集器。
这不仅对于安全目的有用,而且还对于查找配置错误以及硬件和软件故障有用。
答案4
这是一个过于笼统的问题。
您应该已经知道需要将哪些日志输入到 Splunk 中。在查找安全事件时,您会手动搜索哪些日志?这些就是您需要输入到 Splunk 中的日志。