日誌審計與分析

本書共分為7章，分別介紹了日誌、日誌審計和日誌收集與分析系統的相關基礎知識，日誌收集階段的對象和方式，日誌存儲階段的存儲策略和方法，事件過濾和歸一化使用的方法及效果，關聯分析中的實時關聯分析、事件關聯分析、告警回響分析和實時統計分析，查詢與報表等日誌的處理方式，最後結合具體案例對背景需求和解決方案進行了討論和解讀，幫助讀者更好地掌握日誌審計與分析。

本書每章後均附有思考題總結本章知識點，以便為讀者進一步閱讀提供思路。

本書由360企業安全集團針對高校網路空間安全專業的教學規劃組織編寫，既適合作為網路空間安全、信息安全等相關專業的教材，也適合負責網路安全運維的網路管理人員和對網路空間安全感興趣的讀者作為基礎讀物。

第1章日誌基本知識1

1.1日誌概述1

1.1.1日誌設備產生的原因1

1.1.2日誌管理設備的定義2

1.1.3日誌的作用3

1.2日誌審計5

1.2.1信息系統審計概念5

1.2.2日誌審計概念7

1.2.3日誌審計法律法規9

1.2.4日誌審計面臨挑戰11

1.3日誌收集與分析系統11

1.3.1日誌收集與分析系統介紹11

1.3.2系統功能13

1.3.3日誌旁路部署17

1.3.4日誌全生命周期管理17

1.3.5合規性要求19

思考題21

第2章日誌收集22

2.1概述22

2.2收集對象22

2.2.1作業系統22

2.2.2網路設備25

2.2.3安全設備26

2.2.4套用系統27

2.2.5資料庫27

2.3收集方式29

2.3.1Syslog29

2.3.2SNMP Trap30日誌審計與分析2.3.3JDBC/ODBC32

2.3.4FTP37

2.3.5文本38

2.3.6Web Service39

2.3.7第三方系統39

2.4日誌收集器39

思考題41

第3章事件歸一化42

3.1事件過濾42

3.1.1事件過濾介紹42

3.1.2事件過濾使用的方法43

3.2歸一化的原因46

3.3歸一化的方法及效果47

3.3.1歸一化的方法47

3.3.2歸一化的效果54

思考題56

第4章日誌存儲57

4.1概述57

4.2日誌存儲策略57

4.2.1日誌存儲格式57

4.2.2關係資料庫存儲策略58

4.2.3鍵值資料庫存儲策略60

4.2.4Hadoop分散式存儲策略63

4.3存儲方式66

4.3.1線上存儲66

4.3.2近線存儲68

4.3.3離線存儲70

4.3.4日誌存儲的實際套用72

思考題73

第5章關聯分析74

5.1概述74

5.2實時關聯分析75

5.3事件關聯方式76

5.3.1遞歸關聯76

5.3.2統計關聯77

5.3.3時序關聯79

5.3.4跨設備事件關聯80

5.4告警回響80

5.4.1告警回響介紹80

5.4.2告警方式81

5.4.3回響方式82

5.4.4告警查詢85

5.5實時統計分析86

5.5.1事件全球定位系統86

5.5.2動態雷達圖86

5.5.3事件行為分析87

5.5.4主動事件圖88

思考題89

第6章查詢與報表90

6.1概述90

6.2事件查詢90

6.2.1普通條件查詢90

6.2.2模糊查詢91

6.2.3查詢場景92

6.2.4查詢任務93

6.3日誌報表的分類93

6.3.1報表概述93

6.3.2預定義報表93

6.3.3自定義審計報表94

6.3.4中間表98

思考題100

第7章典型案例101

7.1高校日誌審計解決方案101

7.1.1背景及需求101

7.1.2解決方案及分析102

7.2金融行業日誌審計解決方案104

7.2.1背景及需求104

7.2.2解決方案及分析106

7.3航空公司日誌審計解決方案109

7.3.1背景及需求109

7.3.2解決方案及分析110

7.4政府日誌審計解決方案112

7.4.1背景及需求112

7.4.2解決方案及分析113

7.5日誌的高級套用： 如何通過日誌溯源114

7.5.1某企業的撞庫事件分析114

7.5.2某企業簡訊平台事件分析116

思考題117

附錄A英文縮略語118

參考文獻121