标签： 日志管理

由《信息安全与通信保密》杂志社主办的"中国信息安全发展趋势与战略"高层研讨会在北京梅地亚中心召开，思福迪公司参会，且思福迪的Logbase日志管理综合审计系统一举夺得最受用户欢迎的安全审计品牌奖。 本次大会作为信息安全界年内最为权威、知名的高端会议，来自国家有关部委、各级政府、军队、公安、金融、证券、社保、教育、电信、电力、能源、媒体等单位以及国内外从事信息安全研究、开发的科研单位及大专院校代表参...

游侠点评：由于APT的增多，而此类攻击多数针对数据库，因此数据库成了防护重点，包括数据库扫描评估、数据库加固、数据库审计、数据库权限分配、数据库加密等，开始日益盛行；同样的，针对APT攻击，普通的单设备防护很难及时发现。因此SIEM的“联动”方案，成为发现APT攻击的首选解决方案。还好，游侠公司就做这个，是不是以后会更忙？哈。 迈克菲最新发布的《2012年风险与合规展望》报告 (Risk and ...

游侠点评：此前SIEM在国外应用比较多，如今国内一些信息化建设较好的单位（如电力、运营商、银行等）也开始加大了SIEM类产品的建设力度。当然有的选择了SOC、MSS，不过还是属于SIEM的大范畴。而针对众多企业，显然SIEM更加合适，因为更轻量级、部署更快捷。 迈克菲推出一套独创的具备出色状态感知和准确性的创新安全信息与事件管理 (Security Information and Event Ma...

你的应用程序代码已经经过了审查和漏洞扫描，同时，在线的应用程序都是经过渗透测试并放置在防火墙后端的。纵深防御策略意味着你的网络上也会有各种安全控制措施，从而加强全面保护。 随着时间的推移，网络在不断扩大，它需要更多的保护措施，因此随着技术的出现或改善，你已经添加了新的安全措施。但你如何监控你的应用程序环境，以确保它仍然是兼容的？ 在运行多个对策过程中很容易出现的一个问题是，每个安全产品通常会产生一...

　　在大型网络中，我们需要对各类设备，如路由器、交换机、防火墙、Windows/Linux服务器、数据库等进行统一的运维日志管理，以及时了解网络的运维状况。

　　有朋友问：VMware支持syslog外发吗？这个——当然支持！

　　VMware ESXi 5默认支持syslog的转发。用VMware vSphere Client（当然，你登录的账号要有响应权限，默认root是有的）登录

　　昨天游侠的 [常见Windows日志转SYSLOG工具使用] 被网界网转载并推荐。

随着信息技术的高速发展，网络中的设备越来越多，渐渐的我们发现依赖传统手段去一台台分析设备的日志已经严重影响了我们的工作效率，并无法对业务系统的可用性提供保障，是时候对运维日志进行集中管理了。

随着信息化应用的深入，面对日益严重的安全威胁，为了保障业务连续性和安全性，信息安全管理者需要动态可视的整体安全监管解决方案。在这一背景下，基于新一代内容安全技术核心的LOGBASE日志管理综合审计系统应运而生。

演示环境： 

 Windows 2003 Server(服务器端)，Windows Xp(客户端)

 Kiwi Syslog 9.2（30天试用版），Evtsys 4.4.0（evetlog to syslog）

Kiwi Syslog 9.2 可到官方（http://www.kiwisyslog.com/）下载免费受限版本和注册版本

我这里提供 Kiwi Syslog8.3.7破解版的下载地址：http://dl.dbank.com/c0e2703bog

安装过程

　　因为公司业务的关系（思福迪，LogBase），最近走访用户几乎关注点都是日志管理、数据库审计、运维审计（堡垒机）。

　　在和客户沟通的过程中，发现运维审计一般都用的非常好，数据库审计用的一般，日志管理审计（包括SOC）用的非常差！下面针对用的最差的产品简单说几句吧：

　　在比较大规模的网络应用或者对安全有一定要求的应用中，通常需要对系统的日志进行记录分类并审核，默认情况下，每个系统会在本地硬盘上记录自己的日志，这样虽然也能有日志记录，但是有很多缺点：首先是管理不便，当服务器数量比较多的时候，登陆每台服务器去管理分析日志会十分不便，其次是安全问题，一旦有入侵者登陆系统，他可以轻松的删除所有日志，系统安全分析人员不能得到任何入侵信息。

　　因此，在网络中安排

　　如今各式各样的Windows漏洞层出不穷，五花八门的入侵工具更是令人眼花缭乱，稍微懂点网络知识的人都可以利用各种入侵工具进行入侵，这可给我们的网管带来了很大的麻烦，虽然经过精心配置的服务器可以抵御大部分入侵，但随着不断新出的漏洞，再高明的网管也不敢保证一台务器长时间不会被侵入，所以，安全配置服务器并不能永远阻止黑客入侵，而如何检测入侵者行动以保证服务器安全性就在这样的情况下显得非常重要。

　　美国时间2011年5月12日，Gartner发布了最新的《Magic Quadrant for Security Information and Event Management》报告。报告指出：在安全与合规需求的双重驱动下，SIEM技术获得了更广泛的应用。发现被攻击目标需要更有效的用户行为监控、数据访问监控和应用行为监控。厂商们正在寻求满足更广泛客户需求的解决方案。报告调查显示，2010年S

　　2011年4月25日，SANS正式发布了第七次（2011年度）日志管理调查报告。目前，SANS尚未正式公布下载链接。如有公布我会及时更新。

　　这份采访了747个涵盖大中小规模的组织后得出的报告摘要显示：日志管理系统在业界已经成熟，超过89%的受访者都收集了日志。根据报告，检测可疑行为与故障处理、取证分析与事件关联、合规性依然是三大日志管理的需求驱动力。与2010年相比，排名第二和第三位的驱动力发生了调换。此外，企业和组织开始收集更多的日志，包括工厂的SCADA系统、移动平台、PoS终端，等等。在受访者被问及日志管理的最大挑战是什么的时候，得到的回答如下图所示：
...

　　有网管朋友问：如何知道Windows下，用户通过终端服务（RDP）对服务器进行了什么操作？——好，问到点子上了！游侠为您推荐思福迪LogBase运维安全审计系统（内控堡垒主机），不仅可以做RDP审计，还可以针对常用的PCAnywhere、RAdmin等进行审计。并且支持操作授权与阻断，强大的不行。

　　Linux、Unix、AIX、各种路由器、交换机，通过telnet进行管理，部分IDS支持