日志审计与分析业务学习笔记

日志审计流程

一般包含4部分:日志获取、日志筛选、日志整合、日志分析

日志分析是系统核心,主要涉及系统的关联规则联动机制

日志审计的实现方式

主要有两种:基于规则库数理统计方法

【1】基于规则库

对已知攻击的特征进行分析,并从中提取规则,进而由各种规则组合成为规则库,系统在运行过程中匹配规则库中的规则信息,从而生成告警。

【2】数理统计方法

给网络流量、中央处理器(CPU)占用率等相关数据设置一个阈值,当超过这个阈值就发出告警。

日志审计面临的挑战

  • 数据量大
  • 日志输出方式多种多样
  • 日志格式复杂,可读性差
  • 分析备份工作繁杂
  • 日志数据易被篡改或删除