课程进度 46% · 第4/7章第4/7章 · 标签 1/4
— 1 —
日志分析概述
日志分析是安全运维的重要环节,通过对系统、应用、网络等各类日志的收集、分析和处理,可以及时发现安全威胁、追踪安全事件、满足合规要求。日志分析不仅依赖于工具,更需要合理的分析方法和规范的日志管理流程。
日志分析的目的
- 发现安全威胁和异常行为
- 追踪和溯源安全事件
- 分析系统和业务性能
- 满足合规和审计要求
— 2 —
日志类型与采集
常见日志类型
- 系统日志:如/var/log/syslog、/var/log/messages、/var/log/auth.log
- 应用日志:Web服务器、数据库、中间件等应用产生的日志
- 安全日志:防火墙、IDS/IPS、WAF等安全设备日志
- 审计日志:操作审计、访问审计、合规审计
- 自定义业务日志:接口调用、异常、业务流程等
日志采集工具与配置
yaml
1
# Filebeat采集系统和应用日志
2
filebeat.inputs:
3
- type: log
4
enabled: true
5
paths:
6
- /var/log/*.log
7
- /var/log/syslog
8
- /var/log/auth.log
9
output.elasticsearch:
10
hosts: ["localhost:9200"]
bash
1
# rsyslog集中采集配置
2
# /etc/rsyslog.conf
3
*.* @@192.168.1.100:514