部署集中式日志服务的理由

March 2, 2023

Fanny Hu

发布于2022-05-27

如今，我们对数据安全的关注度与日俱增，并且持续推动着云计算、数据分析和人工智能 (AI) 技术。这些都凸显了数据聚合和分析为企业带来的优势。能够受益于这些新工具的一大专业领域，就是实时处理大量安全日志，以帮助检测和追踪安全问题。现在，提供这些功能的商业智能工具的数量比以往任何时候都要多。越来越多的组织正在将这些新工具纳入其数据安全工具包的常规部分，以帮助过滤、解析和可视化数据，从而帮助发现趋势或突出异常。随着物联网 (IoT) 的普及，需要跟踪和管理的设备比以往任何时候都多。因此，密切关注每台物联网设备，并了解它们何时正常运行、何时安全性受到威胁，就变得更具挑战性。如果您还没有顺应这种趋势的话，请考虑用上其中的一些工具和技术，并将集中记录安全事件纳入到您组织的整体安全控制计划中，从而更好地确保潜在的恶意攻击者不会被忽视。

事件日志对于任何设备或应用程序而言都是一项重要功能。通过此项功能，设备就可以记录下特定的活动，例如：

设备启动或关闭的时间
用户登录的时间
配置是否发生变化

通常，用户可以自定义设备记录的事件类型。在选择要记录多少数据时，必须了解其中的利弊，以防网络或系统不堪重负，同时还要确保能够收集合适的数据作为决策依据。

从蛛丝马迹中寻找真相

事件日志是一项重要的安全控制措施。一次攻击可能会在不同设备上触发多个事件。为此，安全事件处理人员往往要查询许多设备上的事件，才能拼凑出攻击者的行径。例如，通过探测网络端口进行攻击侦察，可能会在防火墙上触发“端口扫描”事件；一些攻击者会尝试提升自己在系统上的权限，由此产生的超级用户活动也可能会被记录下来；如果攻击者使用被盗的凭证登录系统，其登录时间和来源可能会作为登录事件记录在身份验证服务日志中；防火墙、入侵检测系统、应用服务器和其他网关设备中也可能记录了对防御者有用的关键信息。可以说，如果这些分散在诸多设备中的事件都能够集中到一个地方，安全调查做起来就会快捷地多。

这些事件无疑是安全调查的重要线索，精明的攻击者对此也心知肚明。他们可能会调整自己的活动，避免触发不必要的事件，试图以此来潜藏行踪。在某些情况下，攻击者会尝试清除被攻击设备上的日志，以掩盖他们的踪迹。这种行为即使得逞，也可能会留下“事件日志已被清除”的事件。一旦发现这种情况，务必要提高警惕。当然，即使清除了设备上的事件，也并不能一并消除已经转发到集中式日志服务器的事件——这正是集中式日志对于事件响应和调查至关重要的主要原因之一。

建立日志服务器

建立集中式日志服务并不是一件非常复杂的事情，其基础系统只需几个小时就能建立起来，具体取决于注册到服务的设备数量。在一个简单的基础系统中，可能包含一个Linux syslog（系统日志）服务器，配置为接收从其他启用syslog的设备转发过来的事件。这种方案很常见，因为许多嵌入式和物联网设备都运行着特定固件、精简Linux或类似Linux的操作系统，它们都支持通过syslog消息转发内置事件。

通常情况下，syslog服务需要依靠配置文件来指示其如何解析传入消息（事件）并将它们写入到简单的文本文件中（或者在某些情况下直接写入到数据库中）。Syslogd是最早的syslog消息处理服务之一。时至如今，还有许多增强型的syslog服务被开发出来，包括syslog-ng和rsyslog，它们都可以更加灵活地根据传入syslog消息的属性来执行解析。

高级集中式日志

如果简单的集中式日志服务器的功能无法满足需求，那么您可能需要考虑安全信息和事件管理 (SIEM) 平台或高级日志分析平台，它们都为集中式日志带来了不少的扩展，包括搜索、分析、关联、可视化和报告等功能。此类平台的一个例子是流行的Elastic Stack，它包括Elasticsearch、Logstash和Kibana。部分平台会发布自己制作的预配置Docker容器镜像，便于您在自己的测试环境中评估它们。