日志是对机构系统和网络内发生的事件的记录。日志由日志条目组成;每个条目都包含了与一个系统或网络内发生的某一具体事件相关的信息。机构内的许多日志包含了与计算机安全相关的记录。这些计算机安全记录由许多来源生成,其中包括安全软件,如防病毒软件、防火墙、入侵检测和预防系统,服务器、工作站和联网设备上的操作系统,以及应用程序。
计算机安全日志的数量、规模和种类有了大幅度增加,是的计算机安全日志管理应运而生。所谓计算机安全日志管理,是指生成、传输、存储、分析和销毁计算机安全日志数据的过程。日志管理是确保计算机安全记录按充分的详细程度保存适当时间所不可或缺的。例行日志分析有益于识别安全事故、策略违规情况、诈骗活动和操作问题。当进行审计和犯罪取证分析、支持内部调查、建立基限以及识别运行趋势和长期问题的时候,日志也会有用。机构还可能会在联邦立法和法规的要求下保存和分析某些日志,其中包括2002年《联邦信息安全管理法案》(FISMA)、1996年《医疗保险流通和责任法案》(HIPAA)、2002《萨班斯-奥克斯利法案》(SOX)、《格雷姆-里奇-比利雷法案》(GLBA)和《支付卡业数据安全标准》(PCI DSS)。
许多机构在日志管理上都会遇到这样一个基本问题:如何在日志管理的有限资源与日志数据的持续供应之间保持有效平衡。日志的生成和存储由于多种因素而十分复杂,其中包括日志源数量繁多,各日志源间日志内容、格式和时间戳不一致,日志数据规模不断增大。日志管理还涉及保护日志的保密性、完整性和可用性。日志管理的另一个问题是确保安全、系统和网络管理员可以定期对日志数据进行有效分析。本文为如何应对这些日志管理挑战提供了指南。
