安全设备篇——日志审计系统

日志审计是企业网络安全建设中重要的一环。

其实日志审计在结构上和部分原理上和态势感知很相近，都进行数据采集，都需要强调规则，老规矩先放百度解释：

“日志审计系统是用于全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志（包括运行、告警、操作、消息、状态等）并进行存储、监控、审计、分析、报警、响应和报告的系统。”

结构：

偷个图

日志审计系统也是旁挂设备，本身对业务没有任何影响，也不具备阻断功能，仅仅从各个服务器、数据库安全设备等直接采集数据，并根据规则生成统一格式的日志。

日志审计系统可以说是存储型的安全设备，主要的需求就是一定性能配合大存储空间，但一般出场时性能就固定死了，后期可供调整的就是存储空间，后期扩容需求也比较大（这点和态感也很像）。

而日志审计系统的规则也比较神奇，可以针对不同来源的数据进行整合，把多元数据汇总一处，进行同类化处理，一来是方便后期查看数据，二是免去了对不同类型和来源的日志进行分类，只需要明确需要查询的时间和设备名称即可。

日志采集方式

由于日志审计系统采集采集的对象不尽相同，有针对服务器的、数据库的、中间件的，这里分情况讨论：

配置/日志文件采集

程序、系统运行过程中产生的日志一般存储在本地的固定路径中，日志采集系统只需要调通网络、配置好权限和访问路径，固定采集该路径的文件即可，一般针对服务器、中间件等。

网络协议

通过网络协议传输日志，这个稍微广一点了，举个最常见和简单的例子：某系统可以在web管理界面设置对接日志审计系统，是通过定时发送http封装数据包的方式进行，而日志审计系统接收的方式是不断进行网络抓包，抓到源ip为该系统发来的http数据包即进行规则解析，解析成相应格式后进行保存。除了http，常用的协议也有syslog、snmp等。

框架转发

耳熟能详Kafka，但这实在不是up强项，师傅们自行了解吧。

以上两种方式并非唯一，只是最常见的两种方式，师傅们可以补充。

日志审计系统的意义

日志审计突出的作用不像其他安全设备一样是已预防外来攻击为首要目标的，这只是其中之一，更重要的意义是记录整体系统结构的运行状况，提供系统运行安全的记录，方便出现故障时寻求到证据和相关信息，简单来说，日志审计系统关注的范围更广，如果系统出现宕机等紧急情况无法直接查看该系统日志时，就直接凸显出日志审计系统的重要性了。

日志审计也是提升安全结构的组成，仅有态势感知设备是十分局限的，一次成功记录的攻击信息可能无法关联上下文，也无法确认是否有对其他系统进行了攻击而未被自动监测到。安全结构需要深化，单一的安全设备无法发挥出优秀的守备作用，日志审计就像是后勤重要哨岗，为整体结构提供数据支持。

总结

日志审计系统是安全监测环节中的重要组成，侧重系统运行安全，各种涉及的协议和框架太复杂了，up水平不够，就不现眼了，大家多包涵。