1. windows系統中可以通過什麼進行系統日誌的審計
WindowsNT/2000的系統日誌文件有應用程序日誌AppEvent.Evt、安全日誌SecEvent.Evt、系統日誌SysEvent.Evt,根據系統開通的服務還會產生相應的日誌文件。例如,DNS伺服器日誌DNS Serv.evt,FTP日誌、WWW日誌等。
日誌文件默認存放位置:%systemroot%system32config,默認文件大小512KB。這些日誌文件在注冊表中的位置為HKEY_LOCAL_,可以修改相應鍵值來改變日誌文件的存放路徑和大小。
概述
查看系統日誌方法:開始→設置→控制面板→管理工具中找到的「事件查看器」,或者在【開始】→【運行】→輸入 eventvwr.msc 也可以直接進入「事件查看器」在「事件查看器」當中的系統日誌中包含了windows XP 系統組建記錄的事件,在啟動過程中載入驅動程序和其他一些系統組建的成功與否都記錄在系統日誌當中。
2. 日誌文件的寫志數據如何存儲
日誌記錄方式可以提供我們足夠多定位問題的依據。對於一些復雜系統,例如資料庫,日誌可以承擔數據備份、同步作用,很多分布式資料庫都採用「write-ahead」方案,在節點數據同步時通過日誌文件恢復數據。
日誌文件是不推薦和資料庫存儲在同一個硬碟的,因為一旦硬碟壞了就會一起死掉。當然,如果已經使用了帶容錯的RAID,甚至是盤櫃之類的設備,那麼可以放在一起沒有太大問題。
如果先寫資料庫,後寫日誌,但是在剛好寫了資料庫而未寫日誌的時候崩潰了,那麼根據日誌恢復出來的資料庫就少了一條記錄
3. 什麼是審計日誌 麻煩解答一下
審計日誌,就是所承接的審計項目工作日誌。
有時候,某些審計項目規模比較大,涉及的內容、細節較多,而且工作計劃、工作安排、審計過程中遇到的問題也較多。因此需要系統的記錄才能保證審計順利完成。
4. 傳輸日誌審計安全嗎
安全的。
採用高性能應用架構設計,滿足事件的實時分析、審計要求。日誌審計就是通過集中採集信息系統中的系統安全事件、用戶訪問記錄、系統運行日誌、系統運行狀態等各類信息,經過規范化、過濾、歸並和告警分析等處理之後,以統一格式的日誌形式及進行集中的存儲和管理,結合豐富的日誌統計匯總及關聯分析功能,實現對信息系統日誌的全面審計。
5. Oracle的日誌文件存儲在什麼位置
1、通過sqlplus命令連接資料庫,查看伺服器是否已經開啟歸檔。
6. linux審計日誌可以存多久
Linux的日誌文件根據需要,你可以一直保存都可以。
這取決於你的硬碟大小和是否設置定期清除一定日期之前的日誌文件。
7. windows系統中的審計日誌包括哪些
一.Windows日誌系統 WindowsNT/2000的系統日誌文件有應用程序日誌AppEvent.Evt、安全日誌SecEvent.Evt、系統日誌SysEvent.Evt,根據系統開通的服務還會產生相應的日誌文件。例如,DNS伺服器日誌DNS Serv.evt,FTP日誌、WWW日誌等。日誌文件默認存放位置:%systemroot%\system32\config,默認文件大小512KB。這些日誌文件在注冊表中的位置為HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog,可以修改相應鍵值來改變日誌文件的存放路徑和大小。
Windows NT/2000主要有以下三類日誌記錄系統事件:應用程序日誌、系統日誌和安全日誌。
1.應用程序日誌
記錄由應用程序產生的事件。例如,某個資料庫程序可能設定為每次成功完成備份後都向應用程序日誌發送事件記錄信息。應用程序日誌中記錄的時間類型由應用程序的開發者決定,並提供相應的系統工具幫助用戶查看應用程序日誌。
2.系統日誌
記錄由WindowsNT/2000操作系統組件產生的事件,主要包括驅動程序、系統組件和應用軟體的崩潰以及數據丟失錯誤等。系統日誌中記錄的時間類型由Windows NT/2000操作系統預先定義。
3.安全日誌
記錄與安全相關的事件,包括成功和不成功的登錄或退出、系統資源使用事件(系統文件的創建、刪除、更改)等。與系統日誌和應用程序日誌不同,安全日誌只有系統管理員才可以訪問。在WindowsXP中,事件是在系統或程序中發生的、要求通知用戶的任何重要事情,或者是添加到日誌中的項。事件日誌服務在事件查看器中記錄應用程序、安全和系統事件。通過使用事件查看器中的事件日誌,用戶可以獲取有關硬體、軟體和系統組件的信息,並可以監視本地或遠程計算機上的安全事件。事件日誌可幫助您確定和診斷當前系統問題的根源,還可以幫助用戶預測潛在的系統問題。WindowsNT/2000的系統日誌由事件記錄組成。每個事件記錄為三個功能區:記錄頭區、事件描述區和附加數據區,表14-3-1描述了事件記錄的結構。
8. oracle日誌文件存儲在哪個表空間
日誌文件分為重做日誌文件(redo log file)和歸檔日誌文件(archive log file)。<br><br>SQL> select group#, status, member from v$logfile;<br><br> GROUP# STATUS MEMBER<br>---------- ------- --------------------------------------------------------------------------------<br> 3 C:\ORACLE\ORADATA\ORCL\REDO03.LOG<br> 2 C:\ORACLE\ORADATA\ORCL\REDO02.LOG<br> 1 C:\ORACLE\ORADATA\ORCL\REDO01.LOG<br><br>redo log fiel有多個組group構成。一個group中能包括不止一個log file,日誌信息是寫到group的每個logfile中,所以一個group中的log file存儲著一樣的信息。當一個group寫滿之後就轉到下一個group中,稱之為日誌切換。<br><br>當所有group都寫滿了後,就重頭開始從第一個group開始,原來的內容將被覆蓋丟失。如果不想被丟失,可以採用歸檔模式,即將數據保存到archive log file中。歸檔模式會給系統帶來一定的性能問題。<br><br>查看database採用哪種模式:<br>SQL> select dbid,name,log_mode from v$database;<br><br> DBID NAME LOG_MODE<br>---------- --------- ------------<br>1232416663 ORCL NOARCHIVELOG<br><br>歸檔日誌路徑由SPFILE的log_archive_dest參數確定。<br><br>SQL> show parameter log_archive_dest;<br><br>NAME TYPE VALUE<br>------------------------------------ ----------- ------------------------------<br>log_archive_dest string <br>log_archive_dest_1 string <br>log_archive_dest_10 string <br>log_archive_dest_2 string <br>log_archive_dest_3 string <br>log_archive_dest_4 string <br>log_archive_dest_5 string <br>log_archive_dest_6 string <br>log_archive_dest_7 string <br>log_archive_dest_8 string <br>log_archive_dest_9 string <br>log_archive_dest_state_1 string enable<br>log_archive_dest_state_10 string enable<br>log_archive_dest_state_2 string enable<br>log_archive_dest_state_3 string enable<br>log_archive_dest_state_4 string enable<br>log_archive_dest_state_5 string enable<br>log_archive_dest_state_6 string enable<br>log_archive_dest_state_7 string enable<br>log_archive_dest_state_8 string enable<br>log_archive_dest_state_9 string enable<br><br>警告日誌文件alert_sid.log保存著例行的信息和錯誤信息,它的路經是:<br><br>SQL> select value from v$parameter where name='background_mp_dest';<br><br>VALUE<br>--------------------------------------------------------------------------------<br>c:\oracle\diag\rdbms\orcl\orcl\trace<br><br>SQL> show parameter background_mp_dest;<br><br>NAME TYPE VALUE<br>------------------------------------ ----------- ------------------------------<br>background_mp_dest string c:\oracle\diag\rdbms\orcl\orcl\trace<br><br>用戶跟蹤文件是oracle出現異常時自動創建的文本文件,它與警告文件一起構成了完整的故障信息描述體系。<br><br>SQL> select value from v$parameter where name='user_mp_dest';<br><br>VALUE<br>--------------------------------------------------------------------------------<br>c:\oracle\diag\rdbms\orcl\orcl\trace<br><br>SQL> show parameter user_mp_dest;<br><br>NAME TYPE VALUE<br>------------------------------------ ----------- ------------------------------<br>user_mp_dest string c:\oracle\diag\rdbms\orcl\orcl\trace
9. 如何選擇日誌審計系統
您好,很高興為您解答。
日誌審計系統的需求分析
日誌很早就有,日誌對於信息安全的重要性也早已眾所周知,但是對日誌的真正重視卻是最近幾年的事情。
當今的企業和組織在IT信息安全領域面臨比以往更為復雜的局面。這既有來自於企業和組織外部的層出不窮的入侵和攻擊,也有來自於企業和組織內部的違規和泄漏。
為了不斷應對新的安全挑戰,企業和組織先後部署了防病毒系統、防火牆、入侵檢測系統、漏洞掃描系統、UTM,等等。這些安全系統都僅僅防堵來自某個方面的安全威脅,形成了一個個安全防禦孤島,無法產生協同效應。更為嚴重地,這些復雜的IT資源及其安全防禦設施在運行過程中不斷產生大量的安全日誌和事件,安全管理人員面對這些數量巨大、彼此割裂的安全信息,操作著各種產品自身的控制台界面和告警窗口,顯得束手無策,工作效率極低,難以發現真正的安全隱患。
另一方面,企業和組織日益迫切的信息系統審計和內控、以及不斷增強的業務持續性需求,也對當前日誌審計提出了嚴峻的挑戰。下表簡要列舉了部分相關法律法規對於日誌審計的要求:
尤其是國家信息系統等級保護制度的出台,明確要求二級以上的信息系統必須對網路、主機和應用進行安全審計。
綜上所述,企業和組織迫切需要一個全面的、面向企業和組織IT資源(信息系統保護環境)的、集中的安全審計平台及其系統,這個系統能夠收集來自企業和組織IT資源中各種設備和應用的安全日誌,並進行存儲、監控、審計、分析、報警、響應和報告。
日誌審計系統的基本組成:
對於一個日誌審計系統,從功能組成上至少應該包括信息採集、信息分析、信息存儲、信息展示四個基本功能:
1)日誌採集功能:系統能夠通過某種技術手段獲取需要審計的日誌信息。對於該功能,關鍵在於採集信息的手段種類、採集信息的范圍、採集信息的粒度(細致程度)。
2)日誌分析功能:是指對於採集上來的信息進行分析、審計。這是日誌審計系統的核心,審計效果好壞直接由此體現出來。在實現信息分析的技術上,簡單的技術可以是基於資料庫的信息查詢和比較;復雜的技術則包括實時關聯分析引擎技術,採用基於規則的審計、基於統計的審計、基於時序的審計,以及基於人工智慧的審計演算法,等等。
3)日誌存儲功能:對於採集到原始信息,以及審計後的信息都要進行保存,備查,並可以作為取證的依據。在該功能的實現上,關鍵點包括海量信息存儲技術、以及審計信息安全保護技術。
4)信息展示功能:包括審計結果展示界面、統計分析報表功能、告警響應功能、設備聯動功能,等等。這部分功能是審計效果的最直接體現,審計結果的可視化能力和告警響應的方式、手段都是該功能的關鍵。
日誌審計系統的選型指南:
那麼,我們如何選擇一款合適的日誌審計系統呢?評價一款日誌審計系統需要關注哪些方面呢?筆者認為至少應該從以下幾個方面來考慮:
1、由於一款綜合性的日誌審計系統必須能夠收集網路中異構設備的日誌,因此日誌收集的手段應要豐富,建議至少應支持通過Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA等協議採集日誌,支持從Log文件或者資料庫中獲取日誌。
2、日誌收集的性能也是要考慮的。一般來說,如果網路中的日誌量非常大,對日誌系統的性能要求也就比較高,如果因為性能的問題造成日誌大量丟失的話,就完全起不到審計的作用的了。目前,國際上評價一款日誌審計產品的最重要指標叫做「事件數每秒」,英文是Event per Second,即EPS,表明系統每秒種能夠收集的日誌條數,通常以每條日誌0.5K~1K位元組數為基準。一般而言,EPS數值越高,表明系統性能越好。
3、應提供精確的查詢手段,不同類型日誌信息的格式差異非常大,日誌審計系統對日誌進行收集後,應進行一定的處理,例如對日誌的格式進行統一,這樣不同廠家的日誌可以放在一起做統計分析和審計,必須注意的是,統一格式不能把原始日誌破壞,否則日誌的法律效力就大大折扣了。
4、要讓收集的日誌發揮更強的安全審計的作用,有一定技術水平的管理員會希望獲得對日誌進行關聯分析的工具,能主動挖掘隱藏在大量日誌中的安全問題。因此,有這方面需求的用戶可以重點考查產品的實時關聯分析能力。
5、應提供大容量的存儲管理方法,用戶的日誌數據量是非常龐大的,如果沒有好的管理手段,不僅審計查詢困難,佔用過多的存儲空間對用戶的投資也是浪費。
6、日誌系統存儲的冗餘非常重要,如果集中收集的日誌數據因硬體或系統損壞而丟失,損失就大了,如果選購的是軟體的日誌審計系統,用戶在配備伺服器的時候一定要保證存儲的冗餘,如使用RAID5,或專用的存儲設備,如果選購的是硬體的日誌審計系統,就必須考查硬體的冗餘,防止出現問題。
7、應提供多樣化的實時告警手段,發現安全問題應及時告警,還要提供自定義報表的功能,能讓用戶做出符合自身需求的報表。
以上是筆者針對日誌審計系統的選型提出的幾個建議,但在實際中,還有一些其他的問題需要考慮,像廠商的支持服務能力、產品案例的應用等等,這里就不一一列舉了。
總之,信息安全基礎設施的日趨復雜,使得我們已經從簡單的日誌管理時代邁入了系統性的日誌綜合審計時代,日誌對於網路與信息安全的價值和作用必將越發重要。
如若滿意,請點擊右側【採納答案】,如若還有問題,請點擊【追問】
希望我的回答對您有所幫助,望採納!
~ O(∩_∩)O~
10. 請教:針對SAP系統應該如何進行年報審計
SAP審計功能主要包括:
1)用戶登陸及進程監控
2)文件類型已經文件變更紀錄
3)開發紀錄
4)系統日誌文件審計
(從CCA安全意義來講,由於SAP將AUDIT LOG以文件形式存儲在SAP伺服器上,所以原則上更應該將SAP管理員與OS管理員真正意義上分開來控制)
因此為了配合系統安全控制,SAP嚴謹的採用了自身的AUDIT 工具,系統內TRACE工具,可控制型TRACE工具,通過這些來進一步完善和加強系統安全。
系統安全控制策略如下:
1)通過ST03,ST03N來設置系統內TRACE的時間小於等於3天。
2)手工用SM19設置TRACE內容與時間段,將系統的每一步操作都控制起來。
基本監控策略:
1)每天作一次日常檢查,通過ST22,SM21,OY18,ST02,ST04查看系統內的動作,控制每日的運行狀態。
2)系統管理員通過STAT 監控每三天用戶的系統動作,配合以SM20監控更詳細的內容,並且對於用戶的一些不恰當的操作可以通過SUIM來完成監控。
3)對於系統管理員的任何動作SM20也能夠詳細地反饋出來,每兩周可以列出系統管理員的動作列表。
關於SAP審計:
廣義其實指SAP basis security以及其OS,DB的audit,而狹義就是SAP FI/CO, MM, SD等提供的系統控制的審計。是吧。
SAP自帶的審計功能有兩個,一個是event level的audit log,參數 rsau/enable = 1開啟該功能,再用SM19 configure 要審計的event,SM20來做audit log analysis。
另外一個是對table的審計,也就是對重要的數據參數表的變動進行審計,參數rec/client開啟功能,根據管理層定義的SAP系統關鍵的數據表列表,使用SE13配置數據表的屬性,啟動這些數據表變更日誌的功能。再用SCU3查看這些關鍵數據表的變更日誌。
audit log 在操作系統上以文件形式存儲的,因此沒有sap_all卻有操作系統root許可權的一樣可以刪除日誌.
所以OS admin 一定要進可能與 SAP admin 分開。
如果能做到這個SOD的話,即使有SAP_ALL在SAP上刪除了audit log,但這個刪除audit log這個動作是可以被SAP記錄下來的。所以audit log依然可以起一定作用。