七. 日志分析模块
此文原出自【爱运维社区】: http://www.easysb.cn
7.1 概述
跳板机模块会每隔一段时间就会把用户的所有操作日志同步到中央数据库。为了对服务器做较好的安全审计,也为了让运维人员实时地了解是否有危险操作,我们有必要对用户所有的操作日志进行分析。而日志分析模块,则是负责对整个操作日志进行分析的平台。
7.2 日志分析模块
日志分析模块主要是对用户的命令操作进行分析,检测出其中的危险或可疑操作,将其提出出来,然后存入到数据库中,以便前端页面展示,如图7-2-1所示。
图7-2-1 日志分析模块分析提取的操作日志
从上图,我们可以看到,该模块会评估所有的可疑操作的危险等级,等级从0到3,数值越大,危险级别越高。如果是高危操作,则系统会通过邮件方式实时地通知管理员,管理员可以通过Web页面来标记各项操作是否属于正常,以便实施监控服务器的安全。此外,还会发送一周告警分析报告和一月告警统计报告给管理员,以便能够及时地了解系统的运行状况。日志分析模块,采用了插件式的设计方式,具有高度的可扩展性,其框架如图7-2-2所示。
图7-2-2 日志分析模块的结构
从上图中,我们可以看出该日志模块首先从数据库中读取用户的增量操作记录,然后在利用分析插件进行分析,再讲分析的告警数据结构存入到数据库中。目前,该模块已包含了数据库操作分析,密码修改分析,敏感文件操作分析,敏感命令分析,可疑域名分析,可疑关键词分析,用户管理分析和历史查看分析记录等8个插件。
7.3小结
日志分析模块通过对用户的异常操作进行分析,提供服务器的安全审计,也可以及时地通知管理员和安全运维人员相关的异常操作。
作者:胡杨< jekkay@easysb.cn>< 479904359@qq.com>
此文原出自【爱运维社区】: http://www.easysb.cn
如转载请标明原出处,谢绝阉割党。
此文原出自【爱运维社区】: http://www.easysb.cn
7.1 概述
跳板机模块会每隔一段时间就会把用户的所有操作日志同步到中央数据库。为了对服务器做较好的安全审计,也为了让运维人员实时地了解是否有危险操作,我们有必要对用户所有的操作日志进行分析。而日志分析模块,则是负责对整个操作日志进行分析的平台。
7.2 日志分析模块
日志分析模块主要是对用户的命令操作进行分析,检测出其中的危险或可疑操作,将其提出出来,然后存入到数据库中,以便前端页面展示,如图7-2-1所示。
图7-2-1 日志分析模块分析提取的操作日志
从上图,我们可以看到,该模块会评估所有的可疑操作的危险等级,等级从0到3,数值越大,危险级别越高。如果是高危操作,则系统会通过邮件方式实时地通知管理员,管理员可以通过Web页面来标记各项操作是否属于正常,以便实施监控服务器的安全。此外,还会发送一周告警分析报告和一月告警统计报告给管理员,以便能够及时地了解系统的运行状况。日志分析模块,采用了插件式的设计方式,具有高度的可扩展性,其框架如图7-2-2所示。
图7-2-2 日志分析模块的结构
从上图中,我们可以看出该日志模块首先从数据库中读取用户的增量操作记录,然后在利用分析插件进行分析,再讲分析的告警数据结构存入到数据库中。目前,该模块已包含了数据库操作分析,密码修改分析,敏感文件操作分析,敏感命令分析,可疑域名分析,可疑关键词分析,用户管理分析和历史查看分析记录等8个插件。
7.3小结
日志分析模块通过对用户的异常操作进行分析,提供服务器的安全审计,也可以及时地通知管理员和安全运维人员相关的异常操作。
作者:胡杨< jekkay@easysb.cn>< 479904359@qq.com>
此文原出自【爱运维社区】: http://www.easysb.cn
如转载请标明原出处,谢绝阉割党。