关注：集中式日志记录的好处-电子发烧友网

对数据安全的关注以及对云计算、数据分析和人工智能 (AI) 的持续推动凸显了数据聚合和分析为企业带来的优势。受益于这些新工具的一个利基领域是实时处理大量安全日志，以帮助检测和跟踪安全问题。提供这些功能的商业智能工具的数量现在比以往任何时候都更容易获得。越来越多的组织正在将这些新工具作为其数据安全工具包的常规部分，以帮助过滤、解析和可视化数据，从而帮助发现趋势或突出异常。物联网 (IoT) 的普及意味着需要跟踪和管理的设备比以往任何时候都多。因此，密切关注每个物联网设备并了解它们何时正常运行或安全受到威胁变得越来越具有挑战性。如果您还没有这样做，请考虑使用其中一些工具和技术，并将安全事件的集中记录作为您组织的整体安全控制程序的一部分，以帮助确保潜在的恶意攻击者不会被忽视。

事件记录是任何设备或应用程序的重要功能。设备记录事件以记录特定活动，例如：

当设备启动或关闭时

当用户登录时

如果发生配置更改。

通常您可以自定义设备将记录哪些事件。在选择要记录的数据量时必须了解权衡，以避免使您的网络或系统不堪重负，同时确保您收集正确的数据以做出决策。

寻找更大拼图的碎片

事件记录是一项关键的安全控制。一次攻击可能会在不同设备上触发多个事件。安全事件响应者必须经常查询来自多个设备的事件以拼凑出攻击者的路径。例如，通过探测网络端口进行的攻击侦察可能会触发防火墙上的“端口扫描”事件。一些攻击者会尝试提升他们在系统上的权限，由此产生的超级用户活动也可能会被记录下来。攻击者使用窃取的凭据登录系统的时间和来源可以作为身份验证服务日志中的登录事件找到。防火墙、入侵检测系统、应用程序服务器和其他网关设备也可能包含有助于防御者的关键信息。可以说，

这些事件无疑是安全调查的重要线索，精明的攻击者都知道这一点。他们可能会调整自己的活动以尝试“低调行事”并避免触发不必要的事件。在某些情况下，攻击者会尝试清除受感染设备上的日志以掩盖他们的踪迹。此操作有时会创建自己的事件——“事件日志已被清除”——您可以查找并发出警报。当然，清除设备上的事件并不会删除已经转发到集中式日志服务器的事件——这是集中日志对事件响应和调查如此重要的最重要原因之一。

设置日志服务器

设置集中式日志并不需要很复杂。根据注册设备的数量，您可以在短短几个小时内设置一个基本系统。一个简单的基本系统可能包含一个 Linux 系统日志服务器，该服务器配置为接收从其他启用系统日志的设备转发的事件。这种情况经常发生，因为许多嵌入式和物联网设备运行固件、基本 Linux 或类似 Linux 的操作系统，这些操作系统支持系统日志消息转发其内置的事件。

通常，系统日志服务依赖于配置文件，这些配置文件指示它们如何解析传入消息（事件）并将其写入简单文本文件（或在某些情况下直接写入数据库）。Syslogd是处理系统日志消息的原始系统日志服务之一。多年来，已经开发了增强的系统日志服务，包括syslog-ng和rsyslog，它们提供了更大的灵活性来根据传入的系统日志消息的属性解析它们。

先进的集中记录

如果您需要除简单的集中式日志记录服务器之外的更多功能，您可能需要考虑使用安全信息事件管理 (SIEM) 平台或高级日志分析平台，通过额外的搜索、分析、关联、可视化和报告功能扩展集中式日志记录。一个例子是流行的 Elastic Stack，它包括 Elasticsearch、Logstash 和 Kibana。一些平台发布了自己的预配置 Docker 容器镜像，这使得在您的测试环境中评估它们变得容易。

设置集中日志记录的提示

以下是一些其他提示，可帮助您在设置集中式日志记录服务时牢记于心。

使用网络时间协议服务器将所有设备配置为同一时间。

不要忘记适当地强化您的集中式日志存储库服务并定期备份它。

将这个集中式日志存储库视为您的关键基础设施的一部分。采取适当的步骤来保护您的日志记录基础设施，例如限制管理访问、禁用不必要的服务以及安装基于主机的防火墙。

定期扫描您的日志记录服务以查找可能被攻击者利用的软件漏洞和错误配置。

不要忘记花时间配置您的设备，将它们的日志转发到您的中央日志服务器。

结论

设置集中日志记录是您的安全程序的重要组成部分，它将在您最需要的时候提供关键信息。即使是使用基本日志服务器从其主机和物联网设备收集事件的小型环境也将从此类服务提供的可见性中受益。

关键点：

集中式日志记录服务提供了跨各种设备和主机的事件日志的重要整合点

针对单个数据存储库运行查询比登录到每个单独的设备以尝试收集相同数据要高效得多。