【网安合规】从零开始，落实企业网络审计日志采集留存！

[ 知识是人生的灯塔，只有不断学习，才能照亮前行的道路。]

大家好，我是【WeiyiGeek/唯一极客】一个正在向全栈工程师(SecDevOps)前进的技术爱好者  

作者微信：WeiyiGeeker  
公众号/知识星球：全栈工程师修炼指南  
主页博客: https://weiyigeek.top - 为者常成，行者常至

0x00 前言简述

网络空间作为继陆地、海洋、天空及太空之外的第五维空间，其安全问题已经上升到国家安全的高度，随着《网络安全法》2017年6月1日正式实施，我国网络安全法律法规体系基本法缺位的问题得到了彻底解决。

根据《信息安全技术网络安全等级保护基本要求[GB/T 22239-2019]》以及《中华人民共和国网络安全法》、《公安部82号令》安全日志审计的要求，网络运营者和网络服务提供者必须能够对上网行为日志做留存，时间不得小于180天，否则相关责任人将被处于行政罚款。所以说在企业网络安全建设时，各项业务系统一定要做到三同步（同步规划、同步建设、同步使用）以保障相关业务系统安全以及等保合规，针对相关产生的网络日志企业应要配置日志审计系统将网络日志进行集中存储。

作者抽取自身企业中正在使用的网络日志采集审计平台中，网络设备、安全设备、Linux，Windows主机审计等日志采集部分，以深入浅出的实践流程操作，让有所需要朋友可以根据作者实践，使用云原生环境下开源免费软件（kuernetes+MinIO+Loki+Promtail+Rsyslog+Grafana）快速为自己企业搭建一套日志审计系统，作者使用了国产操作系统 Kylin Server V10 SP3 、Kubernetes 云原生容器编排平台为基础，在此基础上使用rsyslog 日志收集各类设备日志、minio 日志持久化对象存储、loki + Promati （日志采集和过滤）和 Grafana 等技术进行搭建部署，并针对 Loki 收集到的网络日志进行可视化查询展示，希望能帮助到正在完成或需要完成相关日志审计系统搭建的朋友，让企业安全合规更加高效。

俗话说，实践出真知，先来看看实现效果吧！

图1.minio 日志持久化对象存储部分

图2.rsyslog 日志收集服务器采集部分，作者在实践中只有Windows 审计日志以及Nginx访问日志是直接上传到Loki中的，没采用syslog方式传输。

图3.Grafana 针对Loki收集到的网络日志进行可视化查询展示部分

例如，查询全部安全设备的审计日志，执行 {category="sec"} ，若要查询指定安全设备的日志可执行{ip="192.168.11.1"}

weiyigeek.top-安全设备的审计日志图

例如，查询指定的网络设备的审计日志，执行 {category="net"} |= `10.10.212.253` 语句。

weiyigeek.top-网络设备的审计日志图

例如，查询IPMI带外管理设备的审计日志，执行 {category="ipmi"} 语句

weiyigeek.top-IPMI带外管理设备的审计日志图

例如，查询Linux系统审计日志，执行 {category="server", app="audit"} 语句

weiyigeek.top-Linux系统审计日志图

例如，查询Windows系统审计日志并筛选指定服务，执行 {job="rsyslog/win"} |= `Network Setup Service` 语句

weiyigeek.top-Windows系统审计日志图

例如，查询Nginx应用访问的日志，执行 {category="app"} 语句。

weiyigeek.top-查询Nginx应用访问的日志图

温馨提示：由于作者花费大多时间和精力总结归纳，为避免爬虫恶意转发，所以此《#网络安全攻防实践》专栏文章象征性收费9.9元（付费此专栏后一定要加入作者答疑群哟），我相信收获一定大于付出，希望各位看友多多【理解、点赞、转发、赞赏】支持，并且一起学习，一起进步！

温馨提示：由于文章篇幅的原因，不可能贴上完整的资源配置清单，只是将部分重要配置进行贴出讲解，所以如有需要完整配置清单的可在文末获取下载地址。

weiyigeek.top-配置清单下载图

0x01 前置知识

描述: 在进行日志审计搭建部署之前，若零基础的朋友、存在部分知识短板的朋友可以查看如下文章进行入门学习，里面涵盖了作者大量心血总结而来，通过一个个实践案例让您快速掌握相关技能，让你在后续的部署实践中，知其然知其所以然。

KylinOS 国产操作系统:

• 运维实践 | 国产操作系统银河麒麟KylinOS安装部署及符合等保主机安全的安全加固脚本

CloudNative 云原生

• 云原生 | 从零开始：快速在国产操作系统中搭建高可用K8S(V1.28)集群落地实践

• 云原生 | 从零开始，MinIO 高性能分布式对象存储快速入手指南

• 云原生 | 从零开始，搭建云原生环境下企业监控预警可视化平台

• 云原生 | 如何使用Grafana+Loki+Promtail日志聚合系统针对Kubernetes集群中Pods应用日志采集

温馨提示：Kubernetes 系列入门学习文章请关注公众号，回复【kubernetes】获取专栏链接，或者访问[https://blog.weiyigeek.top/2018/1-1-1.html#Kubernetes学习之路汇总]获取。

weiyigeek.top-kubernetes学习之路图

Rsyslog 日志服务

• 网安合规 | Rsyslog 开源日志服务器 - 快速收集企业网络日志，合规利器!

Audit 审计服务

• 网安合规 | Audit 审计系统服务 - 快速监控检索系统安全事件，合规利器！

至此，若掌握的看友可以skip，此步骤直接进入下一个实践章节，考虑到一部分看友的基础，作者后续也记录了快速部署 MinIO（持久化存储Loki收集的数据）、Loki、Promtail、Grafana、Linux( Rsyslog、Audit)、Windows 日志等环境实践步骤。

---

0x02 实践环境

描述：下述实践环境均在国产操作系统 KylinOS V10 SP3 上，在《#云原生落地实践》系列专栏中在可能看到作者依赖服务实操配置顺序，基础较差的建议从第一篇进行阅档实践。

环境说明: