下面就介绍一下,如何零成本满足该条法律法规要求。
一、同步时钟
当然,如果资金允许,买套综合日志审计设备,将设备日志实时发送过去是最简单的方法,一般在对应系统上安装相应服务,设备那头就可以接收到,这里我们仅考虑低成本的方式。
注意:应用程序、安全、系统3个日志均需要配置。
2. Linux
2.1 本地日志轮替配置
1)syslog日志轮替
2)针对特定日志的配置
3)audit日志轮替
无按时间的轮替配置,只能设置文件大小和文件个数
文件位置:/etc/audit/auditd.conf
2.2 rsyslog日志服务器搭建
由于网络、安全设备自带存储空间可能较小,日志留存时间往往达不到要求,我们就可以安装一台Linux服务器来收集对应网络、安全设备、Linux操作系统的系统日志,使其达到6个月的存储时间。但是这种方法仅是满足了日志留存时间的要求,本身收集到的日志可读性较差,对溯源来说并不友好。
1)服务端配置
我们选择一台Linux操作系统,作为服务端
将上述配置写入作为服务端的/etc/rsyslog.conf 内,之后重启该台rsyslog服务,systemctl restart rsyslog.service。此时,rsyslog服务器服务端就已搭建完毕。
例如进入 172.17.200.18,产生的方式为每日产生一个日志文件
此时我登录172.17.200.18这台服务器,接着我们查看日志信息,找到了对应登录的IP地址与时间。
所以这种方式是几乎零成本的满足了我们等保与法律关于留存日志时间的要求,但是可读性(当然可以配置得更细致,分类存储,但那太复杂了,人工成本可能都比直接买台设备要贵)还是一般,需要自己翻找相应的日志信息。当然这种方法最主要的目的还是:
省钱!
原文始发于微信公众号(等保不好做啊):等保合规 — 设备日志留存时间不满足法律法规要求
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论