【it168 资讯】摘要：传统运维管理中，日志管理存在不规范，易删除，不方便使用等问题，企业如果没有专业的日志管理/日志分析工具，很难满足网络安全法的合规要求。本文以日志易为例，总结了日志分析产品的选用思路，对企业cio、信息管理者、it运维团队等有一定参考价值。
关键字：日志分析、合规审计、安全审计、网络安全、运维管理
《中华人民共和国网络安全法》于2017年6月1日正式实施，对业务系统安全审计提出了新的要求。
“第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;”
按照新法规的要求，传统的运维做法及日志分析方式，很难满足合规要求。传统的运维及日志分析方法存在以下弊端：
1、运维方面
l需要登陆每一台服务器，使用脚本命令或程序查看，操作繁琐，容易出错。
l数据是孤立分散的，无法进行关联，无法提取出其中的共性。
l只能做简单搜索和统计，无法满足分析要求。
l没有实时监控和报警，如程序出错日志。
2、安全方面
l黑客入侵后往往会删除/修改日志，抹除入侵痕迹，导致无法通过日志分析攻击行为。
l海量的ids/waf报警，根本无法辨别是否是误报。
3、存储日志性能方面
l数据库的schema无法适应千变万化的日志格式。
l没有日志生命周期管理手段。
l无法提供海量日志全文检索和字段统计功能。
总结起来，就是日志数据复杂，管理难度大，难以集中管理，因此更无法进行关联分析。那么该法规所涉及的行业和企业，尤其是需要满足网络安全等级保护第三级要求的企业，专业的日志审计产品成为其满足合规的必然选择。
那么选择什么样的日志分析产品才能满足审计合规?
(1)提供数据脱敏功能。满足网络安全法要求，对用户数据进行脱敏处理。
(2)有数据备份/还原功能。按安全法要求，数据至少备份6个月，同时能够还原指定时间范围的日志数据，以便监管部门调取。
(3)有灵活的查询搜索功能。可以对数据进行实时搜索，历史数据还原搜索，满足监管部门的查询需求。
(4)网络安全事件实时预警，防控。可以对网络设备节点故障进行实时告警及故障快速分析溯源，发现传统安全设备没有发现或阻断的安全威胁，对线上故障及威胁快速响应。
(5)符合国家标准，并通过了具备资格机构的安全认证。
日志易作为国内领先的日志分析产品，能够帮助用户很好的满足日志审计合规要求。
第一，日志易对日志数据提供了脱敏功能，而且下载后的数据也是脱敏的。
日志分析日志脱敏(日志易)
日志易支持日志全生命周期管理，支持配置不同种类日志的生命周期，支持索引备份，支持界面化日志恢复，支持全文检索。
这样，使用日志易产品，用户可以：
1.满足网络安全法要求。
2.满足监管部门日志查询要求。
3.实现数据生命周期管理，既提供明文数据查询，也提供脱敏数据查询，既能实现实时数据快速搜索，也能实现历史数据还原搜索。
第二，日志易能够实现对网络设备、安全设备的日志审计。
(1)网络设备审计。
实时监控所有网络设备日志：包括每台网络设备的日志量趋势，日志等级分布，通过ip地址和日志等级过滤，可以联动统计和查询某台异常网络设备的事件趋势，日志等级分别和日志详情，方便快速定位故障。
(2)防火墙日志审计。
提供日志级别、事件代码，五元组(源地址、目的地址、源端口、目的端口、访问协议)供用户搜索过滤，用户可以根据源ip、日志级别等快速进行日志溯源。
输出防火墙日志五元组巡检日报。
通过分析防火墙日志，识别可疑的扫描源ip信息，以及被扫描可疑目的ip和目的端口信息。
(3)ips日志审计
实时攻击概况分析
另外，还有攻击明细分析、邮件攻击分析、sql注入攻击分析、web攻击分析等。
(4)安全设备日志分析场景
日志易可实现上百种安全设备事件统计规则，例如恶意软件访问信息的统计，包括恶意软件源ip分布、恶意软件目的ip分布、恶意软件服务分布、恶意软件名、服务、事件数及百分比等，每种统计可以自定义统计周期。
通过对网络设备、安全设备的这些审计功能，日志易可以让用户：
1.通过日志手段对网络设备进行实时健康度监控，有效补充网管软件的不足;
2.满足国家等级保护要求，对网络设备，安全设备日志进行集中收集和存储;
3.自动输出日常安全日报/周报/月报，提供安全运维人员工作效率;
4.通过对安全设备日志分析，有效实现安全日志和攻击溯源分析，加大加强网络安全管理，提供网络安全等级。
最后，合规并不仅是应对监管的事情，安全无小事，用户安全防御往往集中在外网，内网安全防范往往比较薄弱，2015年的fortscale调查反馈85%的数据泄露是来于内部威胁，内部人员相对外部攻击更容易接近重要信息或系统，并且内部人员也会有更大动力或倾向利用他们的职权去让自己获得利益，正所谓“祸起萧墙”，攻破堡垒往往都是“自己人”，因为对内网各环节的用户行为审计(uba)就显得愈发重要。
日志易通过系统用户登录行为分析、用户操作行为分析、文件访问行为分析、用户登录域控日志分析、dns&dhcp日志分析等全方位的内容用户行为分析，不仅能实现安全行为审计，还能协助内网运维分析，及时发现内网网络隐患。有效补充内网安全防御薄弱环节，从内到外构建立体化安全防护堡垒，是安全运营中心(soc)的重要组成部分。