A. 堡壘機本身具備的運維日誌審計功能和三級等保中需要額外購買的日誌審計功能有什麼區別
一、在三級等保中對日誌審計有要求:要求是對 重要用戶以及重要安全事件 進行審計,堡壘機與日誌審計都可以做操作審計,但是應用場景不同。
1、堡壘機本身不會對伺服器日誌進行實時收集,僅僅對通過堡壘機進行運維操作的運維人員的操作進行審計。說白了就是沒有登陸堡壘機就不會在堡壘機上留下痕跡,即使你伺服器綁定只能堡壘機才能登陸,但本身存在漏洞時就可被利用、繞過。
2、伺服器跑起應用,與外界有數據交互,應用需要調用數據與用戶進行交互,在伺服器上就會有操作痕跡,這些痕跡在堡壘機上是看不到的。此時黑客通過應用層面的漏洞繞過堡壘機登陸伺服器,並進行提權操作,然後清除日誌。這些操作堡壘機不會記錄,伺服器會記錄操作且實時將記錄傳輸至日誌審計。
等保對日誌審計的要求是能夠實時、完全記錄,堡壘機僅能記錄運維人員操作,而日誌審計能夠記錄伺服器上所有操作,可以更好的對安全事件進行朔源,且根據操作進行分析,發現可能存在的入侵。
二、哪些是單獨買堡壘機審計不到必須上日誌審計的呢?
對測評報告分數沒要求或者系統不是那麼重要時可不上日誌審計。開起設備自身審計功能就好。
B. 如何通過cacti收集linux伺服器日誌
tar -zxvf settings-v0.71-1.tgz 先安裝"settings"插件
tar -zxvf syslog-v1.22-2.tgz 再安裝"syslog"插件
解壓後要將以上兩個目錄放到cacti的"plugins"目錄下
vi /var/www/html/cacti/plugins/syslog/config.php 配置syslog配置文件
if (!$use_cacti_db) {
$syslogdb_type = 'mysql';
$syslogdb_default = 'syslog';
$syslogdb_hostname = 'localhost';
$syslogdb_username = 'syslog'; 用戶名自定義
$syslogdb_password = 'syslog'; 密碼自定義
$syslogdb_port = 3306;
創建syslog資料庫,使用syslog.sql建表
mysql -u root -p 登陸Mysql資料庫
show databases;
create database syslog;
insert into mysql.user(Host,User,Password) values("localhost","syslog",password("syslog")); 創建syslog賬號、密碼
flush privileges;
grant all on syslog.* to [email=cacti@localhost]cacti@localhost[/email] identified by 'syslog'; 將syslog資料庫授權給上述syslog用戶
flush privileges;
exit
C. windows系統中可以通過什麼進行系統日誌的審計
安全日誌 記錄與安全相關的事件,包括成功和不成功的登錄或退出、系統資源使用事件(系統文件的創建、刪除、更改)等。與系統日誌和應用程序日誌不同
D. 如何收集伺服器各類日誌
進WIN2008伺服器,點擊開始,找到控制面板。
點擊進入控制面板,找到管理工具。
找到管理工具,點擊事件查看器。
進入事件查看器,展開Windows日誌,點擊系統,右側會顯示出信息。
查看事件查看器的右方,我們會看到屬性選項,紅框中已經圈出。
點擊屬性後,我們會看到伺服器日誌的路徑。
7
打開C:\Windows\System32\winevt,再打開Logs文件夾,我們會看到伺服器日誌。