等保合规 — 设备日志留存时间不满足法律法规要求

admin
admin
admin
102621
文章
87
评论
2024年2月15日14:49:54评论26 views字数 2927阅读9分45秒阅读模式
在我们日常测评中,这条不符合项我们经常能碰到,设备日志留存时间不满足法律法规要求(未留存6个月以上),该问题属于高风险问题,必须要整改。
等保合规 — 设备日志留存时间不满足法律法规要求
或者你是甲方单位的安全运维人员或者安全责任人,那么要遵守《网络安全法》相关规定,自行进行整改,确保相关事件的可追溯性。
等保合规 — 设备日志留存时间不满足法律法规要求

下面就介绍一下,如何零成本满足该条法律法规要求。

一、同步时钟

要保证日志具有可追溯性,那么首先日志记录的时间必定是要准确的,一般以北京时间为准。
1. Windows 操作系统
打开控制面板
等保合规 — 设备日志留存时间不满足法律法规要求
等保合规 — 设备日志留存时间不满足法律法规要求
选择Internet时间→更改设置
等保合规 — 设备日志留存时间不满足法律法规要求
输入对应ntp服务器IP地址,确认即可

等保合规 — 设备日志留存时间不满足法律法规要求

2. Linux系统
服务名:ntpd(centos 6.x 自带)
配置文件:/etc/ntp.conf
在对应位置添加: server ip(域名)
等保合规 — 设备日志留存时间不满足法律法规要求
例如,修改成

等保合规 — 设备日志留存时间不满足法律法规要求

重启服务即可生效
服务名:chronyd(ceonts 7.x后)
配置文件:/etc/chrony.conf
在对应位置添加: server ip (域名)
等保合规 — 设备日志留存时间不满足法律法规要求
二、配置日志留存时间

当然,如果资金允许,买套综合日志审计设备,将设备日志实时发送过去是最简单的方法,一般在对应系统上安装相应服务,设备那头就可以接收到,这里我们仅考虑低成本的方式。

1. Windows 操作系统
控制面板→管理工具→事件查看器→Windows日志→右键属性
等保合规 — 设备日志留存时间不满足法律法规要求
将其调整为日志满时将其存档,不覆盖事件策略日志路径和大小可根据个人喜好配置
等保合规 — 设备日志留存时间不满足法律法规要求

注意:应用程序、安全、系统3个日志均需要配置。

2. Linux

2.1 本地日志轮替配置

1)syslog日志轮替

配置文件:/etc/logrotate.conf

等保合规 — 设备日志留存时间不满足法律法规要求

通用配置:
将weekly 修改为monthly
rotate 4 修改为 rotate 6
然后重启rsyslog服务即可生效
systemctl restart rsyslog.service
2)针对特定日志的配置
/etc/logrotate.d/ 目录下会有相应的特定日志记录配置文件
等保合规 — 设备日志留存时间不满足法律法规要求
我们关注的一般为syslog,文件位置:/etc/logrotate.d/syslog
等保合规 — 设备日志留存时间不满足法律法规要求
在大括号中加入monthly、rotate 6即可
等保合规 — 设备日志留存时间不满足法律法规要求
同理重启服务,然后在/var/log下将会保存6个月的日志

等保合规 — 设备日志留存时间不满足法律法规要求

3)audit日志轮替

无按时间的轮替配置,只能设置文件大小和文件个数

文件位置:/etc/audit/auditd.conf

等保合规 — 设备日志留存时间不满足法律法规要求
max_log_file = 6
#以兆字节表示的最大日志文件容量。当达到这个容量时,会执行max_log_file _action指定的动作
max_log_file_action = ROTATE
#当达到max_log_file的日志文件大小时采取的动作。值必须是IGNORE、SYSLOG、SUSPEND、ROTATE和KEEP_LOGS之一。
#如果设置为IGNORE,则在日志文件达到max_log_file后不采取动作。
#如果设置为SYSLOG,则当达到文件容量时会向系统日志/var /log/messages中写入一条警告。
#如果设置为SUSPEND,则当达到文件容量后不会向日志文件写入审计消息。
#如果设置为ROTATE,则当达到指定文件容量后会循环日志文件,但是只会保存一定数目的老文件,这个数目由num_logs参数指定。老文件的文件名将为audit.log.N,其中 N是一个数字。这个数字越大,则文件越老。
#如果设置为KEEP_LOGS,则会循环日志文件,但是会忽略num_logs参数,因此不会删除日志文件。
num_logs = 5
#max_log_file_action设置为ROTATE时要保存的日志文件数目。必须是0~99之间的数。如果设置为小于2,则不会循环日志。如果递 增了日志文件的数目,就可能有必要递增/etc/audit/audit.rules中的内核backlog设置值,以便留出日志循环的时间。如果没有设 置num_logs值,它就默认为0,意味着从来不循环日志文件。

2.2 rsyslog日志服务器搭建

于网络、安全设备自带存储空间可能较小,日志留存时间往往达不到要求,们就可以安装一台Linux服务来收集对应网络、安全设备Linux操作系统统日志,使其达到6个月的存储时间。但是这种方法仅是满足了日志留存时间的要求,本身收集到的日志可读性较差,对溯源来说并不友好

1)服务端配置

我们选择一台Linux操作系统,作为服务端

vim /etc/rsyslog.conf 修改相关配置
等保合规 — 设备日志留存时间不满足法律法规要求
修改配置文件只需开启两个模块和协议支持的端口
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog # provides kernel logging support (previously done by rklogd)
$ModLoad imudp #开启支持upd的模块
$UDPServerRun 514 #允许接收udp 514的端口传来的日志
$ModLoad imtcp #开启支持tcp的模块
$InputTCPServerRun 514 #允许接收tcp 514的端口传来的日志
$template  IpTemplate,"/var/log/syslog/%FROMHOST-IP%/%$year%-%$month%-%$day%.log.log# $template ipTemplate(这里的"Template"字符串可以为任何其他的描述性的名称)指令使rsyslog后台进程将日志写到/var/log的单独本地日志文件中,后面具体日志生成的格式。
*.* ?IpTemplate #将RemoteLogs模版应用到所有接收到的日志上

将上述配置写入作为服务端的/etc/rsyslog.conf 内,之后重启该台rsyslog服务,systemctl restart rsyslog.service。此时,rsyslog服务器服务端就已搭建完毕。

2)客户端配置
命令:echo "*.* @(日志服务器地址)" >> /etc/rsyslog.conf
示例:echo "*.* @172.17.200.17" >> /etc/rsyslog.conf

等保合规 — 设备日志留存时间不满足法律法规要求

然后重启该台的rsyslog 服务。网络安全设备同理,一般都支持syslog协议,可以将日志发送到服务器上。
3)服务端查看
根据我们上述服务端的配置,我们会在/var/log/syslog/ 目录下接收到对应目标发送过来的日志信息
等保合规 — 设备日志留存时间不满足法律法规要求

例如进入 172.17.200.18,产生的方式为每日产生一个日志文件

等保合规 — 设备日志留存时间不满足法律法规要求

此时我登录172.17.200.18这台服务器,接着我们查看日志信息,找到了对应登录的IP地址与时间。

等保合规 — 设备日志留存时间不满足法律法规要求

所以这种方式是几乎零成本的满足了我们等保与法律关于留存日志时间的要求,但是可读性(当然可以配置得更细致,分类存储,但那太复杂了,人工成本可能都比直接买台设备要贵)还是一般,需要自己翻找相应的日志信息。当然这种方法最主要的目的还是:

省钱!

原文始发于微信公众号(等保不好做啊):等保合规 — 设备日志留存时间不满足法律法规要求

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月15日14:49:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   等保合规 — 设备日志留存时间不满足法律法规要求http://cn-sec.com/archives/2193046.html

发表评论

匿名网友 填写信息