A. 堡垒机本身具备的运维日志审计功能和三级等保中需要额外购买的日志审计功能有什么区别
一、在三级等保中对日志审计有要求:要求是对 重要用户以及重要安全事件 进行审计,堡垒机与日志审计都可以做操作审计,但是应用场景不同。
1、堡垒机本身不会对服务器日志进行实时收集,仅仅对通过堡垒机进行运维操作的运维人员的操作进行审计。说白了就是没有登陆堡垒机就不会在堡垒机上留下痕迹,即使你服务器绑定只能堡垒机才能登陆,但本身存在漏洞时就可被利用、绕过。
2、服务器跑起应用,与外界有数据交互,应用需要调用数据与用户进行交互,在服务器上就会有操作痕迹,这些痕迹在堡垒机上是看不到的。此时黑客通过应用层面的漏洞绕过堡垒机登陆服务器,并进行提权操作,然后清除日志。这些操作堡垒机不会记录,服务器会记录操作且实时将记录传输至日志审计。
等保对日志审计的要求是能够实时、完全记录,堡垒机仅能记录运维人员操作,而日志审计能够记录服务器上所有操作,可以更好的对安全事件进行朔源,且根据操作进行分析,发现可能存在的入侵。
二、哪些是单独买堡垒机审计不到必须上日志审计的呢?
对测评报告分数没要求或者系统不是那么重要时可不上日志审计。开起设备自身审计功能就好。
B. 如何通过cacti收集linux服务器日志
tar -zxvf settings-v0.71-1.tgz 先安装"settings"插件
tar -zxvf syslog-v1.22-2.tgz 再安装"syslog"插件
解压后要将以上两个目录放到cacti的"plugins"目录下
vi /var/www/html/cacti/plugins/syslog/config.php 配置syslog配置文件
if (!$use_cacti_db) {
$syslogdb_type = 'mysql';
$syslogdb_default = 'syslog';
$syslogdb_hostname = 'localhost';
$syslogdb_username = 'syslog'; 用户名自定义
$syslogdb_password = 'syslog'; 密码自定义
$syslogdb_port = 3306;
创建syslog数据库,使用syslog.sql建表
mysql -u root -p 登陆Mysql数据库
show databases;
create database syslog;
insert into mysql.user(Host,User,Password) values("localhost","syslog",password("syslog")); 创建syslog账号、密码
flush privileges;
grant all on syslog.* to [email=cacti@localhost]cacti@localhost[/email] identified by 'syslog'; 将syslog数据库授权给上述syslog用户
flush privileges;
exit
C. windows系统中可以通过什么进行系统日志的审计
安全日志 记录与安全相关的事件,包括成功和不成功的登录或退出、系统资源使用事件(系统文件的创建、删除、更改)等。与系统日志和应用程序日志不同
D. 如何收集服务器各类日志
进WIN2008服务器,点击开始,找到控制面板。
点击进入控制面板,找到管理工具。
找到管理工具,点击事件查看器。
进入事件查看器,展开Windows日志,点击系统,右侧会显示出信息。
查看事件查看器的右方,我们会看到属性选项,红框中已经圈出。
点击属性后,我们会看到服务器日志的路径。
7
打开C:\Windows\System32\winevt,再打开Logs文件夹,我们会看到服务器日志。