日志系統(tǒng)在應(yīng)用中的重要作用

日志系統(tǒng)在應(yīng)用中的重要作用

　日志系統(tǒng)管理的意義
?
　　在一個(gè)完整的信息系統(tǒng)里面，日志系統(tǒng)是一個(gè)非常重要的功能組成部分。它可以記錄下系統(tǒng)所產(chǎn)生的所有行為，并按照某種規(guī)范表達(dá)出來(lái)。我們可以使用日志系統(tǒng)所記錄的信息為系統(tǒng)進(jìn)行排錯(cuò)，優(yōu)化系統(tǒng)的性能，或者根據(jù)這些信息調(diào)整系統(tǒng)的行為。在安全領(lǐng)域，日志系統(tǒng)的重要地位尤甚，可以說(shuō)是安全審計(jì)方面最主要的工具之一。

　　日志系統(tǒng)概覽

　　按照系統(tǒng)類型進(jìn)行區(qū)分的話，日志系統(tǒng)可以分為操作系統(tǒng)日志、應(yīng)用系統(tǒng)日志、安全系統(tǒng)日志等等。每種操作系統(tǒng)的日志都有其自身特有的設(shè)計(jì)和規(guī)范，例如Windows系統(tǒng)的日志通常按照其慣有的應(yīng)用程序、安全和系統(tǒng)這樣的分類方式進(jìn)行存儲(chǔ)，而類似Linux這樣的各種Class UNIX系統(tǒng)通常都使用兼容Syslog規(guī)范的日志系統(tǒng)。

　　而很多硬件設(shè)備的操作系統(tǒng)也具有獨(dú)立的日志功能，以Cisco路由器為代表的網(wǎng)絡(luò)設(shè)備通常都具有輸出Syslog兼容日志的能力。應(yīng)用系統(tǒng)日志主要包括各種應(yīng)用程序服務(wù)器（例如Web服務(wù)器、FTP服務(wù)器）的日志系統(tǒng)和應(yīng)用程序自身的日志系統(tǒng)，不同的應(yīng)用系統(tǒng)都具有根據(jù)其自身要求設(shè)計(jì)的日志系統(tǒng)。安全系統(tǒng)日志從狹義上講指信息安全方面設(shè)備或軟件如防火墻系統(tǒng)的日志，從更廣泛的意義上來(lái)說(shuō)，所有為了安全目的所產(chǎn)生的日志都可歸入此類。

　　日志管理工作綜述

　　我們的主人公Mike是個(gè)安全管理員，他獨(dú)立負(fù)責(zé)公司所有計(jì)算機(jī)設(shè)施的安全事務(wù)。雖然公司的設(shè)備還不算太多，但是系統(tǒng)倒是非常豐富，公司自己的網(wǎng)站基于SQL Server數(shù)據(jù)庫(kù)進(jìn)行編程，運(yùn)行在一臺(tái)運(yùn)行著IIS的Windows服務(wù)器上，而公司的FTP服務(wù)則通過(guò)Linux系統(tǒng)下的WU-FTPD程序?qū)崿F(xiàn)。

　　在公司與Internet的邊界處放置著一臺(tái)硬件防火墻，Web服務(wù)器就接在這臺(tái)防火墻的DMZ端口上，而仍然是為了工作方便的原因，提供FTP服務(wù)的Linux機(jī)器放置與公司的內(nèi)部網(wǎng)絡(luò)上。到目前為止，所有的安全管理工作有條不紊地進(jìn)行著，而這其中相當(dāng)一部分是自動(dòng)實(shí)現(xiàn)的。收集和閱讀各種系統(tǒng)日志占據(jù)了Mike日常安全管理工作的相當(dāng)比重，我們首先來(lái)看看Mike是如何完成這一切的。

　　Mike主要處理的日志包括了公司網(wǎng)站服務(wù)器上的Windows系統(tǒng)日志、IIS服務(wù)器軟件生成的日志以及SQL Server日志，Linux服務(wù)器上的系統(tǒng)日志以及FTP服務(wù)日志，另外還包括公司防火墻的日志。當(dāng)然了，內(nèi)網(wǎng)所有的機(jī)器日志也在Mike的管轄范圍之內(nèi)，但是在Mike的計(jì)劃里這些日志的優(yōu)先級(jí)較低，在主要日志得到妥善處理之后，Mike不定期的對(duì)這些日志進(jìn)行審閱工作。

　　對(duì)于Web服務(wù)器上的所有日志，Mike改變了其默認(rèn)的存儲(chǔ)位置，并將其放置在服務(wù)器上專設(shè)的一個(gè)NTFS分區(qū)上。這樣做可以更好的進(jìn)行管理和控制，而且將其放置在IIS所運(yùn)行的分區(qū)之外，可以給攻擊者造成一些障礙，將文件放置在NTFS分區(qū)則主要是為了進(jìn)行訪問(wèn)權(quán)限的控制。因?yàn)閃indows系統(tǒng)日志很難被刪除但對(duì)其進(jìn)行清除卻非常容易，所以Mike需要對(duì)日志的清除包括篡改進(jìn)行盡量嚴(yán)格的控制。

　　Mike自己撰寫了一些Windows腳本，定期將這些日志復(fù)制到自己的Windows工作站下，而很少直接使用Web服務(wù)器上的日志文件。Linux服務(wù)器上的日志也應(yīng)用了相似的權(quán)限控制，Mike在自己的工作站上運(yùn)行了一個(gè)叫做Kiwi Syslog Daemon的程序，接收Linux服務(wù)器產(chǎn)生的所有Syslog規(guī)格的日志，這個(gè)守護(hù)程序也能夠接收公司防火墻的日志歸檔。

　　Mike每天獲取一次所有的日志文件，并對(duì)這些日志執(zhí)行一些自動(dòng)的檢查工作?；緳z查工作一般是在日志文件中按照可能存在的安全風(fēng)險(xiǎn)進(jìn)行相應(yīng)的搜索，例如我們的Web日志中如果出現(xiàn)了包含cmd.exe的記錄，說(shuō)明很可能有攻擊者或者蠕蟲(chóng)病毒在試探是否可以利用IIS的一些進(jìn)行非法操作。值得注意的是，對(duì)于文本格式的日志文件，我們通過(guò)基本的Find命令就可以執(zhí)行這樣的搜索。而對(duì)于使用二進(jìn)制格式存儲(chǔ)的日志文件，執(zhí)行這種檢查會(huì)復(fù)雜一些，通常需要利用日志系統(tǒng)本身的閱讀程序進(jìn)行讀取或解碼。這需要管理員非常熟悉所維護(hù)系統(tǒng)相關(guān)的安全漏洞，以及相應(yīng)系統(tǒng)下的腳本編寫技術(shù)，但是在這些方面付出汗水是絕對(duì)值得的，至少像Mike這樣維護(hù)如此多系統(tǒng)還有時(shí)間閱讀技術(shù)類雜志是很讓人羨慕的。

　　這些日常的工作雖然能阻擋不少惡意訪問(wèn)行為，但這并不是一個(gè)安全管理員生活的全部，還是有很多問(wèn)題會(huì)安然通過(guò)這些檢測(cè)，對(duì)系統(tǒng)形成破壞。從本質(zhì)上來(lái)講，自動(dòng)化的處理是相對(duì)粗粒度的，主要起到過(guò)濾沒(méi)有意義的干擾信息，有效降低管理員工作負(fù)荷的作用。在日常監(jiān)測(cè)之外，也應(yīng)該每隔一段時(shí)間對(duì)這些日志進(jìn)行更細(xì)致的審查。在新漏洞出現(xiàn)時(shí)，Mike都會(huì)針對(duì)漏洞的特征進(jìn)行日志檢查，并及時(shí)的將攻擊指紋更新到自動(dòng)化檢查腳本中。

?