日志审计的作用是什么_日志审计系统和数据库审计系统的区别_0基础攻防自学路线

日志审计的作用是什么_日志审计系统和数据库审计系统的区别_0基础攻防自学路线

今天就易混淆的日志审计系统与数据库审计系统进行辨析。从日志审计系统和数据库审计系统的技术特点和原理来切入，来分析日志审计系统与数据库审计系统的异同。

01、日志审计系统

系统日志

系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。系统日志包括系统日志、应用程序日志和安全日志，这就是为什么在工程师排查系统故障时，经常会说“查查系统日志，看有什么错误信息”。

系统日志作为审计过程中的有力依据，但为何还需开发独立的审计系统呢，是因为审计的本质特性是独立性，系统日志由系统生成，及系统本身为一体，主要用来帮助维护人员进行故障排查与定位，极易发生日志篡改事件，因此系统日志自身无法达到审计的最基本条件，其公正性、权威性更无从谈起。

日志审计系统技术特点：

i.日志审计系统发展于日志服务器，其本质并未有革命性的改变与革新。其原始信息仍来源于系统日志，并未解决审计过程中对于独立性的要求。

ii.日志服务器的产生源自于信息技术发展的一定程度后，所面对的信息系统已经不再以个位计算，而是十位、百位，甚至千位。基于传统的单系统日志排查方式来检查系统运行的状态已捉襟见肘。如若能对所有系统的日志实现集中管理，并对其归类、分析、抽取，按不同的风险级别通过可视化展现，实现实时、智能的告警，将极大提升系统运维效率。因此，日志协议被广泛应用，并由此产生基于协议的日志服务器用于日志的集中管理与分析。

存在的主要问题

长期以来，格式未进行规范化处理，且极端情况下或许没有任何格式，因此，程序不能对消息进行解析；另一方面，协议使用UDP协议(无连接协议)在网络中传输，内容的完整性与可靠性无法有效保障。对于系统的运维而言，已足够满足操作需求，却不能满足审计要求。

现在再分析日志审计，无非是在日志服务的基础上再增加SNMP(简单网管协议)使其可对路由器、交换机等网络设备的运行状况进行管理，再增加个性化的报表功能，便形成日志审计系统，但其本质仍脱离不了日志服务器。02、数据库审计系统

数据库审计系统，能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，对攻击行为进行阻断，最初此产品是为了解决核心数据的内控与审计需求而研发的，不采用其自带的日志进行审计，主要因为：

i.数据库系统自身日志极易被篡改，缺乏独立性与公正性;

ii.数据库访问的实时性要求极高，而庞大的数据库事件日志会消耗大量系统资源，严重影响数据库的性能及稳定性，往往并不开启，仅保留错误日志以便于系统排障。

数据库审计系统的技术特点

数据库审计系统借鉴了防火墙的报文解析与重组技术(DPI/DFI)，通过在底层传输过程中截取报文流,并将其深度解析重组为完整的数据流，再利用语法解析与词法(YACC+LEX)解析技术解析成我们可识别的数据库操作语言，整个过程独立于数据库，且不会对数据库有任何影响，其设计天生即是为审计而生。

日志审计系统是在原有日志服务器基础上进一步发展与加强，很好的实现了日志的统一管理与分析，有效的提升了系统故障的检测与排查效率，但其设计的初衷与技术手段决定了其无法适用于审计要求。

数据库审计系统的设计初衷便基于数据库内控与审计要求，规避了日志与数据库本身的一些不足与缺陷。

最后引用一句话总结：一个完整的审计体系，可满足所有审计对象的安全审计需求。就目前而言，实现的产品类型有：日志审计系统、数据库审计系统、桌面管理系统、网络审计系统、入侵检测和防护系统等，这些产品都实现了安全审计的一部分功能，只有实现全面的网络安全审计体系，安全审计才是完整的。

~

网络安全学习，我们一起交流

~