在需要集中日志的时候,我们select了syslog作为收集器,Splunk(现在是免费的)作为分析工具,但总是有哪些事件应该到达中央存储库以及哪些系统。
从安全的angular度来看,select应该只处理那些感兴趣的日志。
你集中了哪些日志,你如何select它们?
答案应该指出设备types,系统或软件,日志/事件types以及select它们的原因。
视窗:
在Linux上:
一般你想监视:
这些将是监视最重要的日志,并使用splunk最有说服力。
日志系统和时间源一样好。 使用NTP并确保将所有服务器设置为相同的时区将使您的工作轻松十倍。 我喜欢将我的BIOS时钟设置为UTC,然后将操作系统设置为当地时区。
编辑:这是现在的维基。 添加您自己的build议!
出于安全目的,所有日志都是有意义的。 至less他们在unix / lnx机器上。
在Linux上,你也可以把所有的东西从syslog发送到中央采集器,并分析模式。 你永远不知道你会提前需要什么,如果你只包括某些服务,你可能会发现自己错过了一些信息。 尽pipe对于哪种设备应该logging哪种设备有一般的指导原则,但没有硬性规定。
如果感兴趣的应用程序写入自己的日志文件,我通常会将这些日志文件吸收到syslog守护进程中,并将它们转发给中央收集器。
这不仅用于安全目的,还用于查找configuration错误以及硬件和软件故障。
这真的取决于你想要检测的东西。
如果您正在查找资源访问权限(例如工资单文件,产品文档):
如果你正在寻找外部访问,那么:
再次,首先确定你想要检测的东西,然后去找可以告诉你哪些信息/资源被访问的信息的日志。 然后去下一个。 从经验,如果你只是想要的一切,你将无法得到你需要的任何东西的检测。
这是一个普遍的问题。
您应该已经知道需要将哪些日志input到splunk中。 在寻找安全事件时,您手工search哪些日志? 那些是你需要投入的东西。