企业安全管理的六个关键实践

    每个操作系统、设备和应用程序可以提供大量的日志记录活动。不过，管理员这样做必须做出记录多少活动的决定。默认登录信息的范围各不相同，什么东西可记录，应该用来记录什么，这没有明确的答案。答案取决于活动和日志记录的原因。

    当检查日志文件时，了解哪些内容需要被记录，而哪些内容不重要。日志中包含的信息因日志的类型、事件的类型、操作系统和产品、是否可以选择额外的事情以及数据的类型而变化。此外，如果你正在寻找"谁"参加了此次活动，或者他们使用了"什么"机器，这些信息可能会或可能不会是日志的一部分。Windows Server 2003之前的Windows事件日志，例如，不包括计算机的IP地址，只有主机名。和Web服务器日志不包括确切信息，无论它们是什么品牌。很多Web活动通过代理服务器，所以你会发现，虽然你知道网络来源，但不知道来自具体的哪个系统。

    在确定是什么日志的时候，一般情况下，你必须回答以下问题：

    · 什么是默认登录？这不仅包括典型的安全信息，如成功和不成功登录或访问文件，而且还包括在系统上运行服务和应用程序的行为。

    · 信息被记录哪里在？这可能会记录到多个位置。

    · 随着添加的信息，日志文件的大小是无限的增长还是应当设置文件大小？如果是后者，那么日志文件已满的时候又怎么办？

    · 可以记录哪些类型的附加信息？你又怎么选择这些选项呢？

    · 什么时候需要特定的日志活动？在一些环境下，记录特定的项目是合适的，但对其他环境却不合适？适合某些服务器，但不适合其他服务器？适合服务器，但却不适合桌面系统？

    · 应归档哪些日志和应归档保存多长时间？

    · 如何让记录免受意外或恶意修改或篡改？

    不是每一个操作系统或应用程序日志记录相同类型的信息。知道配置什么，在哪里可以找到日志，日志中的哪些信息在需要了解具体的系统时是有用的。综观在一个系统中的示例日志是非常有用的，然而，因为它赋予问题类型许多含义，所以这些问题你需要问和回答。Windows和Unix日志是不同的，但是对于二者，你可能要能够识别谁、什么、何时、何地以及为什么事情会发生。下面的例子讨论Windows日志。

（编辑：网站开发网_盐城站长网 ）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!