精华内容
下载资源
问答
  • 日志审计

    2017-02-27 09:30:00
    说明:所谓sudo命令日志审计(并不记录普通用户的普通操作,而是记录,那些执行sudo命令的用户的操作) 项目实战:简历中的经验说明 1.1 服务器日志审计项目提出与实施 1、权限方案实施后,权限得到了细化控制,...

    说明:所谓sudo命令日志审计(并不记录普通用户的普通操作,而是记录,那些执行sudo命令的用户的操作)

    项目实战:简历中的经验说明

    1.1 服务器日志审计项目提出与实施

    1、权限方案实施后,权限得到了细化控制,接下来进一步实施对所有用户日志记录方案

    2、通过sudo和rsyslog 配合实现对所有用户进行日志审计并将记录几种管理(发送到中心日志服务器)

    3、实施后让所有运维和开发的所有执行的sudo管理命令都有记录可查,杜绝了内部人员的操作隐患。

    1.2 生产环境企业日志审计解决方案

    1)通过环境变量命令及rsyslog服务进行所有用户的所有操作的全部日志审计(信息太多,不推荐)

    2)sudo配合rsyslog服务,进行sudo日志审计 (信息较少,效果很好)

    3)在bash解释器程序里嵌入一个监视器,让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序

    4)齐治的堡垒机:商业产品

    5)Python开发的开源产品

    6)开源跳板机(堡垒机)jumpserver部署详解

    1.1 服务器用户权限管理改造方案与实施项目

    1)提出权限整改解决方案改进公司超级权限root泛滥的现状

    2)着急大家开会讨论确定方案后推进实施

    3)实施后是的公司的权限管理更加清晰(总结维护),从根本上降低了内部操作等不规范及安全隐患的发生

    1.2 服务区日志审计项目提出与实施                 2017.2.18 - 2017.3.18

    1)权限控制后进一步实施对所有用户日志记录方案

    2)通过sudo和syslog 配合实现对所有用户进行日志审计并将记录集中管理

    3)实施后让所有运维和开发的所有执行的命令都有记录可查,杜绝了内部人员的操作安全隐患。

    1.1 创建日志审计

    1)检查环境工具

    [root@oldboyedu backup]# rpm -qa |egrep "sudo|syslog"

    rsyslog-5.8.10-10.el6_6.x86_64

    sudo-1.8.6p3-24.el6.x86_64

    [root@oldboyedu backup]# rpm -qa rsyslog sudo

    rsyslog-5.8.10-10.el6_6.x86_64

    sudo-1.8.6p3-24.el6.x86_64

    2)执行命令

    echo "Defaults        logfile=/var/log/sudo.log">>/etc/sudoer

    3)拓展

    3分钟内快速部署MySQL5.6.35数据库实践

    1、下载软件

    1

    wget -q http://mirrors.sohu.com/mysql/MySQL-5.6/mysql-5.6.35-linux-glibc2.5-x86_64.tar.gz

    2、解压移动

    1

    2

    3

    4

    5

    6

    tar xf mysql-5.6.35-linux-glibc2.5-x86_64.tar.gz 

    mkdir -p /application

    mv mysql-5.6.35-linux-glibc2.5-x86_64 /application/mysql-5.6.35

    useradd -s /sbin/nologin -M mysql

    chown -R mysql.mysql /application/mysql-5.6.35/

    cd /application/mysql-5.6.35/

    3、初始化数据库


    1

    2

    3

    cp support-files/my-default.cnf /etc/my.cnf

    ./scripts/mysql_install_db --basedir=/application/mysql-5.6.35/ --datadir=/application/mysql-5.6.35/data/ --user=mysql

    sed -i 's#/usr/local/mysql#/application/mysql-5.6.35#g' /application/mysql-5.6.35//bin/mysqld_safe

    4、启动登录

    1

    2

    3

    /application/mysql-5.6.35//bin/mysqld_safe &

    lsof -i :3306

    PATH="/application/mysql-5.6.35/bin/:$PATH"

    5、登录测试

    1

    2

    3

    4

    5

    6

    7

    8

    9

    10

    11

    12

    13

    14

    15

    16

    17

    18

    19

    20

    21

    22

    23

    24

    25

    26

    27

    28

    29

    30

    31

    32

    33

    34

    [root@oldboy mysql-5.6.35]# mysql

    Welcome to the MySQL monitor.  Commands end with ; or \g.

    Your MySQL connection id is 2

    Server version: 5.6.35 MySQL Community Server (GPL)

     

    Copyright (c) 2000, 2016, Oracle and/or its affiliates. All rights reserved.

     

    Oracle is a registered trademark of Oracle Corporation and/or its

    affiliates. Other names may be trademarks of their respective

    owners.

     

    Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

     

    mysql> select version();

    +-----------+

    | version() |

    +-----------+

    | 5.6.35    |

    +-----------+

    1 row in set (0.00 sec)

    mysql> create database oldboy;

    Query OK, 1 row affected (0.00 sec)

     

    mysql> create database oldgirl;

    Query OK, 1 row affected (0.00 sec)

     

    mysql> show databases like 'old%';

    +-----------------+

    | Database (old%) |

    +-----------------+

    | oldboy          |

    | oldgirl         |

    +-----------------+

    2 rows in set (0.00 sec)

    6、配置安全策略:

    [root@oldboy mysql-5.6.35]# mysql_secure_installation 

     

    本文出自 “老男孩linux培训” 博客,出处http://oldboy.blog.51cto.com/2561410/1893734

    转载于:https://www.cnblogs.com/wang-xd/p/6472102.html

    展开全文
  • 绿盟日志审计系统用户手册-V2.0R00F03(日志审计).pdf
  • 日志审计系统、事件日志审计、syslog审计 任何IT机构中的Windows机器每天都会生成巨量日志数据。这些日志包含可帮助您的有用信息: · 获取位于各个Windows事件日志严重性级别的所有网络活动的概述。 · 识别网络...

    日志审计系统、事件日志审计、syslog审计
    任何IT机构中的Windows机器每天都会生成巨量日志数据。这些日志包含可帮助您的有用信息:
    · 获取位于各个Windows事件日志严重性级别的所有网络活动的概述。
    · 识别网络异常和潜在的安全漏洞。
    · 识别多次登录失败、尝试访问未经授权的站点或文件等等事件。
    · 跟踪任何事件的根本原因。
    尽管审计Windows事件日志是保护机构免受潜在安全威胁时所必需的,但这是一项艰巨的任务。值得庆幸的是,事件日志管理和报表工具EventLog Analyzer可让您轻松完成此任务。
    使用EventLog Analyzer进行Windows事件日志审计
    EventLog Analyzer为您的Windows事件日志提供完整的管理和审计:
    · 同时支持EVT和EVTX事件日志格式。Windows NT、XP、2000和2003服务器和工作站版本支持EVT格式,更高版本(包括Windows 7和Windows 8)支持EVTX格式。
    · 对企业Windows网络(包括服务器和工作站)生成的事件日志数据进行收集、分析、报表和存档。
    · 使用无代理技术收集事件日志数据。
    · 轻松审计您的事件日志并生成数以百计的预定义报表,包括合规报表。
    · 在中央服务器上提供规范化事件日志数据。
    · 进行安全的、加密的和灵活的日志归档。
    · 通过电子邮件或短信发送有关失败登录、对象访问、网络异常等等的实时告警。
    · 简单高级日志搜索选项,可用于深度日志取证分析。

    事件日志审计功能
    事件日志收集:
    · 使用无代理机制收集事件日志。
    · 可在仪表板上查看所收集日志的汇总。
    · 对于每个设备,将显示错误数、警告数、故障数和其他消息。
    · 此仪表板帮助您即时识别产生最多错误、警告或故障的设备。
    事件日志报表:
    · EventLog Analyzer会审计您的所有事件日志数据并生成大量预定义报表。
    · 事件日志捕获登录失败、帐户锁定、尝试访问安全文件失败、安全日志篡改、事件趋势等事件。所有这些都被筛选出来并显示为报表。
    事件日志实时告警:
    · EventLog Analyzer告警会通过电子邮件或短信通知您潜在安全漏洞之类的事件。
    · 此功能允许您实时监控Windows网络上的关键服务器和进程。
    · 可使用若干规范定义告警配置文件以对告警生成时间进行微调。
    · 还可将自定义程序定义为在告警生成时运行。
    针对合规的事件日志审计:
    · 合规在任何机构中都具有高优先级。未遵循合规审计准则可能导致严重处罚。
    · EventLog Analyzer为事件日志生成预定义报表以满足HIPAA、GLBA、PCI DSS、SOX、FISMA和ISO 27001/2等审计。
    · 还可为新的合规策略创建自定义报表,以帮助您符合将来所有需求。
    事件日志取证:
    · EventLog Analyzer提供了一个灵活的搜索引擎,以便您可在原始表单和带格式表单中轻松搜索日志。
    · 取证报表是根据搜索结果即时生成的。
    · 跟踪任何安全问题的根本原因事件非常简单,您可以发现发生时间、引发人员以及引发位置等详细信息。

    展开全文
  • 综合日志审计平台

    2017-07-27 09:46:12
    综合日志审计平台
  • 日志审计管理规定.doc

    2021-03-26 20:28:04
    日志审计管理规定
  • Sangfor LAS日志审计,日志接入指南.pdf,分享给大家,请需要的人学习下载,内含Sangfor LAS各日志对接操作配置
  • 绿盟日志审计系统 产品白皮书
  • 日志审计频次与流程
  • 官方的绿盟日志审计系统用户手册
  • 日志审计系统1.日志审计1.1 背景1.2 原理核心目标1.3 功能日志采集关联分析实时警告日志取证分析监管合规1.4 日志审计系统常见模块2.ELK 日志系统介绍2.1 背景2.2 简介2.3 原理 1.日志审计 1.1 背景 网络安全发的...

    1.日志审计

    1.1 背景

    1. 网络安全发的颁布,日志审计的合规要求,由原来的不合规变成了不合法。如果不对要求的相关日志存留6个月以上,一旦追查,将面临法律责任。
    2. 安全运营的挑战。随着网络设备的增多,以及服务器数量的增多,如果没有统一的综合日志审计平台,那么需要登录到每台设备上查看日志,不利于管理。众多平台会产生海量的日志,如果没有日志审计平台,无法有效管理。通过统一的日志审计平台,将所有日志都收集到日志平台进行同一管理,统一分析。

    1.2 原理

    综合日志审计平台,通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。

    核心目标

    1. 多源数据归一化
    2. 日志存储集中化
    3. 关联分析自动化
    4. 安全态势立体化

    1.3 功能

    日志采集

    • 对不同日志源(主机系统,网络设备,安全设备,中间件系统,数据库等)产生的日志进行收集。支持解析任意格式、任意来源的日志,通过解析规则标准化
    • 使用无代理的方式收集日志
    • 支持代理的方式收集日志

    关联分析

    • 预置多种事件关联规则
    • 定位外部威胁,黑客攻击,内务违规操作,设备异常
    • 简单灵活定义关联规则

    实时警告

    • 通过邮件、短信、声音对发生的警告进行及时通知,并可以通过接口调用自动运行程序或脚本
    • 通过告警策略定义,对各类风险 和事件进行及时告警或预警

    日志取证分析

    • 深入分析原始日志,快速定位事件
    • 生成取证报表,例如攻击威胁报表、Windows/Linux 系统审计报表以及合规性审计报表等

    监管合规

    • 提供Windows 审计、Linux审计、PCI、SOX、ISO27001 等合规性报表
    • 支持创建自定义合规性报表

    1.4 日志审计系统常见模块

    日志事件获取模块

    • 安全事件监控系统是实时掌握全网安全威胁状况的重要手段之一。

    • 通过事件监控模块监控各个网络设备、主机系统等日志信息,以及安全产品的安全事件报警信息等,及时发现正在发生和已经发生的安全事件,通过响应模块采取措施,保证网络和业务系统的安全、可靠运行。

    资产管理模块

    • 资产管理 实现对网络安全管理平台 所管辖的设备和系统对象的管理

    规则库模块

    • 规则库已经支持主流网络设备、主机系统、数据库系统等,而且还涵盖已经部署的安全系统,包括防火墙系统,防病毒系统等、并提供新日志格式视频功能,支持从安全运营中心平台接收新日志解析映射规则配置。

    统计报表功能

    • 具备强大的统计功能,可快速生成多种专业化的报表并支持自定义图标的设定集展示

    权限管理模块

    • 超级管理员可根据用户角色分配平台查看、操作各模块的权限,用户可以访问而且只能访问自己被授权的资源

    2.ELK 日志系统介绍

    2.1 背景

    AF,SIP,EDR会检测到大量的攻击数据,上传到大数据平台,然后利用kibana进行筛选出真实攻击,怎么制定规则进行筛选

    2.2 简介

    ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。

    • Logstash担任控制层的角色,负责搜集和过滤数据。

    • Elasticsearch担任数据持久层的角色,负责储存数据。

    • Kibana担任视图层角色,拥有各种维度的查询和分析,并使用图形化的界面展示存放在Elasticsearch中的数据。

    2.3 原理

    在这里插入图片描述

    展开全文
  • 日志审计与应急

    2012-11-16 09:21:38
    日志审计与应急 示例
  • PG日志审计

    2019-01-14 15:01:38
    PG日志审计 日志审计的几种方式 PostgreSQL自带的日志审计,实现语句级别,数据库级别,用户级别的审计。 弊端是审计颗粒度太大。 http://blog.163.com/digoal@126/blog/static/16387704020132208241607/ 通过...

    PG日志审计

    日志审计的几种方式

    1. PostgreSQL自带的日志审计,实现语句级别,数据库级别,用户级别的审计。

    弊端是审计颗粒度太大。
    http://blog.163.com/digoal@126/blog/static/16387704020132208241607/

    1. 通过事件触发器审计数据库或限制数据库的DDL操作。

    弊端是目前只能审计DDL操作。
    http://blog.163.com/digoal@126/blog/static/16387704020132131361949/

    1. 使用pg_log_userqueries模块审计用户级或数据库级的数据库操作。

    弊端是颗粒度太大。
    http://blog.163.com/digoal@126/blog/static/1638770402012019112218804/

    1. 使用hstore和触发器跟踪表级别的数据操作。

    弊端是性能开销大。
    http://blog.163.com/digoal@126/blog/static/163877040201252575529358/

    1. 使用hstore和触发器跟踪表级别的数据操作,并实现flashback query。

    弊端是性能开销大,不适合频繁DML操作的表。
    http://blog.163.com/digoal@126/blog/static/1638770402014728105442434/

    1. 修改数据库默认的命令级别,GetCommandLogLevel@src/backend/tcop/utility.c,定制日志输出。

    弊端是需要修改源码。
    http://blog.163.com/digoal@126/blog/static/163877040201421702248430/

    1. pg_audit 9.5的插件

    其实也是颗粒度较大的,审计没有细化到行级别,要做行级别的审计,还是需要用触发器。

    优势:

    自带的基础log相关配置

    logging_collector
    是否开启日志收集开关,默认off,开启要重启DB
    
    log_destination
    日志记录类型,默认是stderr,只记录错误输出
    
    log_directory
    日志路径,默认是$PGDATA/pg_log
    
    log_filename
    日志名称,默认是postgresql-%Y-%m-%d_%H%M%S.log
    
    log_connections
    用户session登陆时是否写入日志,默认off
    
    log_disconnections
    用户session退出时是否写入日志,默认off
    
    log_rotation_age
    保留单个文件的最大时长,默认是1d
    
    log_rotation_size
    保留单个文件的最大尺寸,默认是10MB
    
    pg_statement
    参数值是none,即不记录,可以设置ddl(记录create,drop和alter)、mod(记录ddl+insert,delete,update和truncate)和all(mod+select)。
    
    log_min_duration_statement
    来记录超过该时长的所有SQL,对找出当前数据库的慢查询很有效。 比如log_min_duration_statement = 2s,记录超过2秒的SQL,改完需要reload
    
    log_duration
    记录每个已完成语句的持续时间。默认值是off。只有超级用户可以改变这个设置。对于使用扩展查询协议的客户端,语法分析、邦定、执行每一步所花时间都分别记录。
    
    log_checkpoints
    看系统一天之类发生了多少次checkpoint,以及每次checkpoint的一些详细信息,比如buffer,sync等,就可以通过设置log_checkpoints,该参数默认值是off,修改log_checkpoints = on
    
    log_lock_waits
    数据库的锁通常可以在pg_locks这个系统表里找,但这只是当前的锁表/行信息,如果你想看一天内有多少个超过死锁时间的锁发生,可以在日志里设置并查看,log_lock_waits 默认是off,可以设置开启。这个可以区分SQL慢是资源紧张还是锁等待的问题。
    
    log_file_mode = 0600
    日志文件权限
    
    log_error_verbosity = verbose
    控制记录的每条消息写到服务器日志里的详细程度。有效的值是TERSE,DEFAULT和VERBOSE,逐个向显示的消息里增加更多的字段。TERSE包含 DETAIL的记录, HINT,QUERY和CONTEXT错误消息。 VERBOSE输出包含SQLSTATE错误代码 (参见附录 A)以及源代码文件名称,函数名称,以及产生错误的行数。只有超级用户可以改变这个设置。
    
    log_min_error_statement (enum)
    控制在服务器日志里输出哪一条导致错误条件的SQL语句。所有导致一个特定级别(或者更高级别)错误的 SQL 语句都要被记录。有效的值有DEBUG5, DEBUG4, DEBUG3, DEBUG2, DEBUG1, INFO, NOTICE, WARNING, ERROR, LOG, FATAL和PANIC。缺省是ERROR,表示所有导致错误、日志信息,致命错误、恐慌的SQL语句都将被记录。设置为PANIC表示把这个特性关闭。只有超级用户可以改变这个设置。
    
    log_min_messages (enum)
    控制写到服务器日志里的消息的详细程度。 有效值是DEBUG5, DEBUG4, DEBUG3, DEBUG2, DEBUG1, INFO, NOTICE, WARNING, ERROR, LOG, FATAL和 PANIC。 每个级别都包含它后面的级别。越靠后的数值发往服务器日志的消息越少。缺省是WARNING。 需要注意的是这里的LOG和client_min_messages里的级别不同。只有超级用户可以修改这个设置。
    

    参考资料

    https://blog.csdn.net/czp11210/article/details/39896985
    http://blog.163.com/digoal@126/blog/static/163877040201541595510867/
    https://my.oschina.net/yonj1e/blog/1506620

    展开全文
  • 日志审计方案

    2018-08-05 23:21:00
    生产环境日志审计解决方案: 记录所有系统及相关用户行为的信息,并且可以自动分析,处理,展示 1.通过环境变量命令及syslog服务进行全部日志审计(信息太大,不推荐) 2.sudo配合syslog服务,进行日志审计(信息较少...
  • 日志审计系统用户手册.doc
  • PostgreSQL 日志审计

    2017-08-11 15:44:00
    PostgreSQL 日志审计 摘要 审计是指记录用户的登陆退出以及登陆后在数据库里的行为操作。 Postgres 的日志(pg_log)功能十分丰富,接下来首先会介绍它的标准日志审计功能,之后还会详细介绍 postgresql审计...
  • 日志审计系统如何选型?.pdf
  • 对linux进程退出、启动syslog日志进行了审计、对nessus扫描操作系统产生的日志进行审计
  • 绿盟日志审计系统

    千次阅读 2020-07-10 15:25:30
    绿盟日志审计系统 LINUX系统连接agent步骤 - -华龙在飞翔 1.对应虚拟化环境中连接的Linux服务器打开输入用户名和密码 2.ifconfig来查找Linux服务器对应的网段ip地址 3.使用finalshell等工具用ip地址连接对应的Linux...
  • linux日志审计

    千次阅读 2016-11-08 22:18:03
    日志检查包括成功事件,失败事件 日志审计 auditctl ausearch aureport
  • Linux 用户行为日志审计 日志监控

    千次阅读 2019-01-24 10:27:50
    所谓sudo命令日志审计,不记录普通用户操作,而是记录执行sudo命令的用户操作 1、查看安装sudo命令,syslog服务 rpm -qa |egrep "sudo|syslog" [root@iZ23hh6yk41Z ~]# rpm -qa |egrep "sudo|...
  • Mysql5.7 数据库日志审计功能-附件资源
  • Mysql日志审计工具

    千次阅读 2019-06-27 10:00:07
    Mysql日志审计工具 参考网址:http://www.omgdba.com/mysql-audit-plugin-now-available-in-percona-server-5-5-and-5-6.html 个人感觉审计没啥用处,偶然间看到这个功能总结了解下。 ...
  • 所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析、处理、展示(包括文本或者录像) 推荐方法:sudo配合syslog服务,进行日志审计(信息较少,效果不错) 1.安装sudo命令、syslog服务...
  • Linux简单的日志审计

    2019-09-23 03:38:17
    生产环境日志审计解决方案 所谓的日志审计,就是记录所有系统及相关的用户行为,并且可以自动分析、处理、展示(包括文本或者录像) 1) :通过环境变量以及rsyslog服务进行全部日志审计(信息太大,不推荐) 2) ...
  • 绿盟日志审计系统用户手册-V2.0R00F02.pdf
  • 来源 |http://rrd.me/g6P3V日志审计系统简介什么是日志审计?综合日志审计平台,通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 52,998
精华内容 21,199
关键字:

日志审计