网络安全审计之syslog基础

最新推荐文章于 2024-04-17 15:59:38 发布
最新推荐文章于 2024-04-17 15:59:38 发布
阅读量566 收藏 1
点赞数
分类专栏: 网络安全 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/onme0/article/details/120154313
版权

概述

网络安全审计是指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。网络安全审计的作用在于建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便于发现潜在的网络安全威胁行为,开展网络安全风险分析及管理。

常见的网络安全审计方式,采用日志记录服务器统一集中存储系统、设备产生的日志信息,本期就日志记录服务器中的syslog协议向各位小伙伴分享一篇文章。

参考依据

GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》,网络安全审计日志需集中收集存储,即:应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。

《中华人民共和国网络安全法》 第三章 第二十一条明确规定:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。

RFC标准:RFC 3164、RFC 5424

关键词

网络安全审计、Syslog、UDP 514、Facility、Severity和Priority

Syslog

参考RFC 3164对syslog定义设备、通信端口、数据包组成以及Facility值、Severity值和Priority值进行说明。

定义设备

产生日志的设备被定义为Device,接收日志并转发日志给另外一台设备的设备被定义为Relay,接收日志并且不转发日志的设备被定义为Collector,就是我们常说的日志记录服务器。

备注:RFC 5424文档中定义originator来代替Device,定义transport sender将采用特定的传输协议发送syslog消息,定义transport receiver将采用特定的传输协议接收syslog消息。Relay和Collector保持不变。

Syslog服务端口

Syslog采用UDP作为其底层传输层机制,默认通信端口UDP 514。RFC文档建议Device采用源端口514发送日志,以此表明日志消息来自发送方的syslog进程。

备注:RFC 5424文档中未指定任何传输层协议,而是以独立于传输层的方式描述syslog消息的格式。

Syslog组成

完整的syslog消息由3部分组成,分别是PRI,HEADER和MSG,其中PRI字段包含Facility和严重性(Severity),HEADER包含了时间戳、主机名或设备IP等,MSG是日志消息主体。Syslog消息总长度数据包必须小于等于1024字节,未定义最小长度的syslog消息数据包。

备注:RFC 5424文档中定义syslog格式如下所示,详情参见RFC文档。

SYSLOG-MSG = HEADER SP STRUCTURED-DATA [SP MSG]

Facility值、Severity值和Priority值

备注:关于Facility值、Severity值和Priority在RFC 3164和RFC 5424文档中描述基本一致。

Facility值和Severity值以十进制进行编码。通常情况,一些操作系统守护进程和进程已分配Facility值,而守护进程和进程未分配Facility值的则采用“local use”或者“user-level”方式。已分配Facility值如下表所示。

Numerical Code

Facility

0

kernel messages

1

user-level messages

2

mail system

3

system daemons

4

security/authorization messages (note 1)

5

messages generated internally by syslogd

6

line printer subsystem

7

network news subsystem

8

UUCP subsystem

9

clock daemon

10

security/authorization messages

11

FTP daemon

12

NTP subsystem

13

log audit

14

log alert

15

clock daemon

16

local use 0  (local0)

17

local use 1  (local1)

18

local use 2  (local2)

19

local use 3  (local3)

20

local use 4  (local4)

21

local use 5  (local5)

22

local use 6  (local6)

23

local use 7  (local7)

每个syslog消息Priority由Severity值表示,常见Severity值如下表所示。

Numerical Code

           Severity

0

Emergency: system is unusable

1

Alert: action must be taken immediately

2

Critical: critical conditions

3

Error: error conditions

4

Warning: warning conditions

5

Notice: normal but significant condition

6

Informational: informational messages

7

Debug: debug-level messages

Priority值= Facility值*8+Severity值;

例如:Facility是“local use 4”对应20,Severity是Notice对应5,那么Priority值=20*8+5=165。

参考连接

RFC 3164

http://www.faqs.org/rfcs/rfc3164.html

RFC 5424

http://www.faqs.org/rfcs/rfc5424.html

总结

本期本章就网络安全审计概念、依据和syslog协议进行总结,不足之处,欢迎各位小伙伴留言指正。

 

 

onme0
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
日志审计系统、事件日志审计syslog审计
weixin_42434696的博客
08-10 1万+
日志审计系统、事件日志审计syslog审计 任何IT机构中的Windows机器每天都会生成巨量日志数据。这些日志包含可帮助您的有用信息: · 获取位于各个Windows事件日志严重性级别的所有网络活动的概述。 · 识别网络异常和潜在的安全漏洞。 · 识别多次登录失败、尝试访问未经授权的站点或文件等等事件。 · 跟踪任何事件的根本原因。 尽管审计Windows事件日志是保护机构免受潜在安全威胁时所...
华为、Cisco、H3C、中兴网络设备如何配置syslog日志采集
weixin_40239644的博客
08-17 6817
华为、Cisco、H3C、中兴网络设备如何配置syslog日志采集
Linux 之 rsyslog 系统日志转发
05-05 363
一、rsyslog 介绍   ryslog 是一个快速处理收集系统日志的程序,提供了高性能、安全功能和模块化设计。rsyslogsyslog 的升级版,它将多种来源输入输出转换结果到目的地,据官网介绍,现在可以处理100万条信息。   特性:1.多线程      2.支持加密协议:ssl,tls,relp      3.mysql、oracle、postgreSQL    ...
sudo+syslog日志审计+登陆用户操作统计
weixin_33747129的博客
04-02 144
rpm –qa | egrep “sudo|rsyslog”yum –y install sudo syslogecho "Defaults logfile=/var/log/sudo.log" >>/etc/sudoerstail -l /etc/sudoersvisudo -c #检查sudoers文件语法echo"local2.debug /var/...
syslog日志发送给日志审计
最新发布
Zoho_Manager的博客
04-17 643
系统日志协议 (syslog) 旨在标准化网络设备用于与日志服务器通信的消息格式。网络中的路由器、交换机、防火墙、Unix/Linux 服务器等众多设备都支持它,更容易管理这些设备生成的日志。
网络安全审计.pdf
06-09
网络安全审计是保障互联网网络安全和信息安全的关键手段,旨在加强和规范互联网安全技术防范,促进网络健康发展。审计过程涉及记录、系统活动审查以及用户活动检查,旨在发现潜在的安全风险、入侵行为,以及改善系统...
安全审计基础知识.pptx
10-03
安全审计网络安全领域中的关键环节,它主要涉及对系统活动的记录、监控和分析,旨在确保系统的安全性和完整性。审计技术起源于非计算机时代,但随着计算机技术的发展,它已成为保护网络资源免受恶意攻击和不当使用...
网御安全管理系统-日志审计系统-v3.0.0.01002-设备配置手册.pdf
11-30
被动接收是指日志审计系统通过网络或其他方式从设备和应用程序中收集事件信息,而主动接收是指设备和应用程序主动将事件信息发送到日志审计系统中。 日志采集 日志采集是日志审计系统的另一个核心组件,负责将事件...
网络信息系统安全体系-综合审计系统.pptx
06-10
网络信息系统安全体系-综合审计系统 网络信息系统安全体系-综合审计系统是一种基于综合IT系统运维审计解决方案,旨在满足企业审计要求,特别是SOX审计要求。该系统由数据接口层、核心业务层和展示层组成,提供了...
操作系统安全:var log syslog分析.docx
06-01
2. `/var/log/auth.log`或`/var/log/secure`:记录与认证相关的事件,如SSH登录尝试、密码更改等,对审计和安全监控特别有用。 3. `/var/log/kern.log`:专门记录内核消息,有助于诊断内核级别的问题。 4. `/var/log...
日志审计-syslog日志外发
有小小的远大抱负
11-23 1万+
不同的 Linux 版本,syslog 服务名可能为 syslog,也可能为 rsyslog;以下以 syslog为例说明。Linux 主机所有的日志文件一般都在/var/log 下,默认只是不记录 FTP 的 活 动 ,Linux系统的日志文件是可以配置的,Linux syslog设备依据两个重要的文件:/etc/syslogd守护进程和/etc/syslog.conf 配置文件。通过将需要处理的日志发送到 日志审计日志审计中心就可以采集到 Linux 主机的日志信息了。
关于syslog
热门推荐
smstong的成长轨迹
05-13 3万+
syslog架构 Unix/Linux系统中的大部分日志都是通过一种叫做syslog的机制产生和维护的。syslog是一种标准的协议,分为客户端和服务器端,客户端是产生日志消息的一方,而服务器端负责接收客户端发送来的日志消息,并做出保存到特定的日志文件中或者其他方式的处理。 在Linux中,常见的syslog服务器端程序是syslogd守护程序。这个程序可以从三个地方接收日志消息:(1
【elk】网络设备syslog日志收集
机智的埃努
11-15 5918
文章目录概述日志源配置防火墙开启日志交换机开启日志日志主机配置rsyslogdocker、filebeat 概述 本文描述将网络日志(会话日志,操作日志等)以syslog方式保存到elk日志服务器集群中及日志展示的实现。 日志源配置 首先对日志源即网络设备进行配置,以下列举华为防火墙及交换设备 防火墙开启日志 防火墙日志配置(另在策略中也要开启日志记录功能,图略) 交换机开启日志 info-center source default channel 4 log level error info-cente
Syslog、WMI、Windows日志、FTP、SFTP、SCP、NetFlow、JMS、ActiveMQ采集协议
敲代码的彭于晏
08-01 2322
采集协议
网络设备日志级别
Jian Sun_的博客
07-01 7043
每个日志消息被关联一个严重级别,用来分类消息的严重等级:数字越低,消息越严重。严重级别的范围从0(最高)到7(最低)。使用logging命令可以用数字或者名称来指定严重性。 日志消息的严重级别 参数 级别 系统日志描述 描述 emergencies 0 LOG_EMERG 系统不可用 a...
Linux syslog进程退出日志审计
u010705742的博客
01-03 5350
Linux syslog进程退出日志审计 一、syslog正常关闭 二、syslog正常启动   三、syslog正常重启   四、kill掉sylsog进程(没有产生任何日志)     五、nessus扫描产生的日志 Jan  9 15:17:36 localhost sshd[4838]: Did not receive identification str...
如何选择日志审计系统
weixin_33807284的博客
08-04 1176
【摘要】本文分析了日志审计的需求,并针对日志审计系统的选型给出了一套基本的评价指标。 日志审计系统的需求分析 日志很早就有,日志对于信息安全的重要性也早已众所周知,但是对日志的真正重视却是最近几年的事情。 当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的***和***,也有来自于企业和组织内部的违规和泄漏。 为了不断应对新的安全挑战,企业和...
syslog日志服务
LLZK_的博客
04-10 6918
syslog介绍 syslog是一种标准工业协议, 也可以说它是一款服务,它可以用来记录UNIX主机系统设备的日志信息,也可以检测网络设备,如交换机,路由器等。syslog协议也可以实现机器间通信,继而分析这些网络日志行为,追踪和掌握设备与网络的状况。 syslog所产生的日志不仅可以写往本地,也可以通过网络发送到接受syslog的服务器,实现统一的监控,接受syslog的服务器可以对
Unix系统日志介绍和集中采集思路
5Love
08-26 6108
一 日志作用1、运行情况      反映系统当前运行情况,系统发生了那些动作等。2、故障预警      预报可能发生的故障或已经发生的故障,便于及时处理。3、故障分析处理      对已发生故障的原因、经过,便于故障分析处理。4、安全、审计      记录系统登录情况、命令执行情况等。二 常用UNIX系统日志文件1、solaris   /var/adm/   /var/adm/messages
综合审计系统:网络信息系统安全解决方案
日志采集确保了各种事件的完整记录,而日志审计则通过对这些事件的分析,发现潜在的风险和问题,提高网络安全防护能力。 综合审计系统是网络信息系统安全的基石,它通过全面监控、详尽记录和智能分析,帮助企业遵循...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

onme0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值