1. windows系统中可以通过什么进行系统日志的审计
WindowsNT/2000的系统日志文件有应用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系统日志SysEvent.Evt,根据系统开通的服务还会产生相应的日志文件。例如,DNS服务器日志DNS Serv.evt,FTP日志、WWW日志等。
日志文件默认存放位置:%systemroot%system32config,默认文件大小512KB。这些日志文件在注册表中的位置为HKEY_LOCAL_,可以修改相应键值来改变日志文件的存放路径和大小。
概述
查看系统日志方法:开始→设置→控制面板→管理工具中找到的“事件查看器”,或者在【开始】→【运行】→输入 eventvwr.msc 也可以直接进入“事件查看器”在“事件查看器”当中的系统日志中包含了windows XP 系统组建记录的事件,在启动过程中加载驱动程序和其他一些系统组建的成功与否都记录在系统日志当中。
2. 日志文件的写志数据如何存储
日志记录方式可以提供我们足够多定位问题的依据。对于一些复杂系统,例如数据库,日志可以承担数据备份、同步作用,很多分布式数据库都采用“write-ahead”方案,在节点数据同步时通过日志文件恢复数据。
日志文件是不推荐和数据库存储在同一个硬盘的,因为一旦硬盘坏了就会一起死掉。当然,如果已经使用了带容错的RAID,甚至是盘柜之类的设备,那么可以放在一起没有太大问题。
如果先写数据库,后写日志,但是在刚好写了数据库而未写日志的时候崩溃了,那么根据日志恢复出来的数据库就少了一条记录
3. 什么是审计日志 麻烦解答一下
审计日志,就是所承接的审计项目工作日志。
有时候,某些审计项目规模比较大,涉及的内容、细节较多,而且工作计划、工作安排、审计过程中遇到的问题也较多。因此需要系统的记录才能保证审计顺利完成。
4. 传输日志审计安全吗
安全的。
采用高性能应用架构设计,满足事件的实时分析、审计要求。日志审计就是通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理之后,以统一格式的日志形式及进行集中的存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。
5. Oracle的日志文件存储在什么位置
1、通过sqlplus命令连接数据库,查看服务器是否已经开启归档。
6. linux审计日志可以存多久
Linux的日志文件根据需要,你可以一直保存都可以。
这取决于你的硬盘大小和是否设置定期清除一定日期之前的日志文件。
7. windows系统中的审计日志包括哪些
一.Windows日志系统 WindowsNT/2000的系统日志文件有应用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系统日志SysEvent.Evt,根据系统开通的服务还会产生相应的日志文件。例如,DNS服务器日志DNS Serv.evt,FTP日志、WWW日志等。日志文件默认存放位置:%systemroot%\system32\config,默认文件大小512KB。这些日志文件在注册表中的位置为HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog,可以修改相应键值来改变日志文件的存放路径和大小。
Windows NT/2000主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。
1.应用程序日志
记录由应用程序产生的事件。例如,某个数据库程序可能设定为每次成功完成备份后都向应用程序日志发送事件记录信息。应用程序日志中记录的时间类型由应用程序的开发者决定,并提供相应的系统工具帮助用户查看应用程序日志。
2.系统日志
记录由WindowsNT/2000操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
3.安全日志
记录与安全相关的事件,包括成功和不成功的登录或退出、系统资源使用事件(系统文件的创建、删除、更改)等。与系统日志和应用程序日志不同,安全日志只有系统管理员才可以访问。在WindowsXP中,事件是在系统或程序中发生的、要求通知用户的任何重要事情,或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志,用户可以获取有关硬件、软件和系统组件的信息,并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源,还可以帮助用户预测潜在的系统问题。WindowsNT/2000的系统日志由事件记录组成。每个事件记录为三个功能区:记录头区、事件描述区和附加数据区,表14-3-1描述了事件记录的结构。
8. oracle日志文件存储在哪个表空间
日志文件分为重做日志文件(redo log file)和归档日志文件(archive log file)。<br><br>SQL> select group#, status, member from v$logfile;<br><br> GROUP# STATUS MEMBER<br>---------- ------- --------------------------------------------------------------------------------<br> 3 C:\ORACLE\ORADATA\ORCL\REDO03.LOG<br> 2 C:\ORACLE\ORADATA\ORCL\REDO02.LOG<br> 1 C:\ORACLE\ORADATA\ORCL\REDO01.LOG<br><br>redo log fiel有多个组group构成。一个group中能包括不止一个log file,日志信息是写到group的每个logfile中,所以一个group中的log file存储着一样的信息。当一个group写满之后就转到下一个group中,称之为日志切换。<br><br>当所有group都写满了后,就重头开始从第一个group开始,原来的内容将被覆盖丢失。如果不想被丢失,可以采用归档模式,即将数据保存到archive log file中。归档模式会给系统带来一定的性能问题。<br><br>查看database采用哪种模式:<br>SQL> select dbid,name,log_mode from v$database;<br><br> DBID NAME LOG_MODE<br>---------- --------- ------------<br>1232416663 ORCL NOARCHIVELOG<br><br>归档日志路径由SPFILE的log_archive_dest参数确定。<br><br>SQL> show parameter log_archive_dest;<br><br>NAME TYPE VALUE<br>------------------------------------ ----------- ------------------------------<br>log_archive_dest string <br>log_archive_dest_1 string <br>log_archive_dest_10 string <br>log_archive_dest_2 string <br>log_archive_dest_3 string <br>log_archive_dest_4 string <br>log_archive_dest_5 string <br>log_archive_dest_6 string <br>log_archive_dest_7 string <br>log_archive_dest_8 string <br>log_archive_dest_9 string <br>log_archive_dest_state_1 string enable<br>log_archive_dest_state_10 string enable<br>log_archive_dest_state_2 string enable<br>log_archive_dest_state_3 string enable<br>log_archive_dest_state_4 string enable<br>log_archive_dest_state_5 string enable<br>log_archive_dest_state_6 string enable<br>log_archive_dest_state_7 string enable<br>log_archive_dest_state_8 string enable<br>log_archive_dest_state_9 string enable<br><br>警告日志文件alert_sid.log保存着例行的信息和错误信息,它的路经是:<br><br>SQL> select value from v$parameter where name='background_mp_dest';<br><br>VALUE<br>--------------------------------------------------------------------------------<br>c:\oracle\diag\rdbms\orcl\orcl\trace<br><br>SQL> show parameter background_mp_dest;<br><br>NAME TYPE VALUE<br>------------------------------------ ----------- ------------------------------<br>background_mp_dest string c:\oracle\diag\rdbms\orcl\orcl\trace<br><br>用户跟踪文件是oracle出现异常时自动创建的文本文件,它与警告文件一起构成了完整的故障信息描述体系。<br><br>SQL> select value from v$parameter where name='user_mp_dest';<br><br>VALUE<br>--------------------------------------------------------------------------------<br>c:\oracle\diag\rdbms\orcl\orcl\trace<br><br>SQL> show parameter user_mp_dest;<br><br>NAME TYPE VALUE<br>------------------------------------ ----------- ------------------------------<br>user_mp_dest string c:\oracle\diag\rdbms\orcl\orcl\trace
9. 如何选择日志审计系统
您好,很高兴为您解答。
日志审计系统的需求分析
日志很早就有,日志对于信息安全的重要性也早已众所周知,但是对日志的真正重视却是最近几年的事情。
当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击,也有来自于企业和组织内部的违规和泄漏。
为了不断应对新的安全挑战,企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM,等等。这些安全系统都仅仅防堵来自某个方面的安全威胁,形成了一个个安全防御孤岛,无法产生协同效应。更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。
另一方面,企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求,也对当前日志审计提出了严峻的挑战。下表简要列举了部分相关法律法规对于日志审计的要求:
尤其是国家信息系统等级保护制度的出台,明确要求二级以上的信息系统必须对网络、主机和应用进行安全审计。
综上所述,企业和组织迫切需要一个全面的、面向企业和组织IT资源(信息系统保护环境)的、集中的安全审计平台及其系统,这个系统能够收集来自企业和组织IT资源中各种设备和应用的安全日志,并进行存储、监控、审计、分析、报警、响应和报告。
日志审计系统的基本组成:
对于一个日志审计系统,从功能组成上至少应该包括信息采集、信息分析、信息存储、信息展示四个基本功能:
1)日志采集功能:系统能够通过某种技术手段获取需要审计的日志信息。对于该功能,关键在于采集信息的手段种类、采集信息的范围、采集信息的粒度(细致程度)。
2)日志分析功能:是指对于采集上来的信息进行分析、审计。这是日志审计系统的核心,审计效果好坏直接由此体现出来。在实现信息分析的技术上,简单的技术可以是基于数据库的信息查询和比较;复杂的技术则包括实时关联分析引擎技术,采用基于规则的审计、基于统计的审计、基于时序的审计,以及基于人工智能的审计算法,等等。
3)日志存储功能:对于采集到原始信息,以及审计后的信息都要进行保存,备查,并可以作为取证的依据。在该功能的实现上,关键点包括海量信息存储技术、以及审计信息安全保护技术。
4)信息展示功能:包括审计结果展示界面、统计分析报表功能、告警响应功能、设备联动功能,等等。这部分功能是审计效果的最直接体现,审计结果的可视化能力和告警响应的方式、手段都是该功能的关键。
日志审计系统的选型指南:
那么,我们如何选择一款合适的日志审计系统呢?评价一款日志审计系统需要关注哪些方面呢?笔者认为至少应该从以下几个方面来考虑:
1、由于一款综合性的日志审计系统必须能够收集网络中异构设备的日志,因此日志收集的手段应要丰富,建议至少应支持通过Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA等协议采集日志,支持从Log文件或者数据库中获取日志。
2、日志收集的性能也是要考虑的。一般来说,如果网络中的日志量非常大,对日志系统的性能要求也就比较高,如果因为性能的问题造成日志大量丢失的话,就完全起不到审计的作用的了。目前,国际上评价一款日志审计产品的最重要指标叫做“事件数每秒”,英文是Event per Second,即EPS,表明系统每秒种能够收集的日志条数,通常以每条日志0.5K~1K字节数为基准。一般而言,EPS数值越高,表明系统性能越好。
3、应提供精确的查询手段,不同类型日志信息的格式差异非常大,日志审计系统对日志进行收集后,应进行一定的处理,例如对日志的格式进行统一,这样不同厂家的日志可以放在一起做统计分析和审计,必须注意的是,统一格式不能把原始日志破坏,否则日志的法律效力就大大折扣了。
4、要让收集的日志发挥更强的安全审计的作用,有一定技术水平的管理员会希望获得对日志进行关联分析的工具,能主动挖掘隐藏在大量日志中的安全问题。因此,有这方面需求的用户可以重点考查产品的实时关联分析能力。
5、应提供大容量的存储管理方法,用户的日志数据量是非常庞大的,如果没有好的管理手段,不仅审计查询困难,占用过多的存储空间对用户的投资也是浪费。
6、日志系统存储的冗余非常重要,如果集中收集的日志数据因硬件或系统损坏而丢失,损失就大了,如果选购的是软件的日志审计系统,用户在配备服务器的时候一定要保证存储的冗余,如使用RAID5,或专用的存储设备,如果选购的是硬件的日志审计系统,就必须考查硬件的冗余,防止出现问题。
7、应提供多样化的实时告警手段,发现安全问题应及时告警,还要提供自定义报表的功能,能让用户做出符合自身需求的报表。
以上是笔者针对日志审计系统的选型提出的几个建议,但在实际中,还有一些其他的问题需要考虑,像厂商的支持服务能力、产品案例的应用等等,这里就不一一列举了。
总之,信息安全基础设施的日趋复杂,使得我们已经从简单的日志管理时代迈入了系统性的日志综合审计时代,日志对于网络与信息安全的价值和作用必将越发重要。
如若满意,请点击右侧【采纳答案】,如若还有问题,请点击【追问】
希望我的回答对您有所帮助,望采纳!
~ O(∩_∩)O~
10. 请教:针对SAP系统应该如何进行年报审计
SAP审计功能主要包括:
1)用户登陆及进程监控
2)文件类型已经文件变更纪录
3)开发纪录
4)系统日志文件审计
(从CCA安全意义来讲,由于SAP将AUDIT LOG以文件形式存储在SAP服务器上,所以原则上更应该将SAP管理员与OS管理员真正意义上分开来控制)
因此为了配合系统安全控制,SAP严谨的采用了自身的AUDIT 工具,系统内TRACE工具,可控制型TRACE工具,通过这些来进一步完善和加强系统安全。
系统安全控制策略如下:
1)通过ST03,ST03N来设置系统内TRACE的时间小于等于3天。
2)手工用SM19设置TRACE内容与时间段,将系统的每一步操作都控制起来。
基本监控策略:
1)每天作一次日常检查,通过ST22,SM21,OY18,ST02,ST04查看系统内的动作,控制每日的运行状态。
2)系统管理员通过STAT 监控每三天用户的系统动作,配合以SM20监控更详细的内容,并且对于用户的一些不恰当的操作可以通过SUIM来完成监控。
3)对于系统管理员的任何动作SM20也能够详细地反馈出来,每两周可以列出系统管理员的动作列表。
关于SAP审计:
广义其实指SAP basis security以及其OS,DB的audit,而狭义就是SAP FI/CO, MM, SD等提供的系统控制的审计。是吧。
SAP自带的审计功能有两个,一个是event level的audit log,参数 rsau/enable = 1开启该功能,再用SM19 configure 要审计的event,SM20来做audit log analysis。
另外一个是对table的审计,也就是对重要的数据参数表的变动进行审计,参数rec/client开启功能,根据管理层定义的SAP系统关键的数据表列表,使用SE13配置数据表的属性,启动这些数据表变更日志的功能。再用SCU3查看这些关键数据表的变更日志。
audit log 在操作系统上以文件形式存储的,因此没有sap_all却有操作系统root权限的一样可以删除日志.
所以OS admin 一定要进可能与 SAP admin 分开。
如果能做到这个SOD的话,即使有SAP_ALL在SAP上删除了audit log,但这个删除audit log这个动作是可以被SAP记录下来的。所以audit log依然可以起一定作用。