日志审计基础概念

日志审计是指对系统、网络设备、应用程序等产生的日志信息进行收集、存储、分析和报告的过程。其主要目的包括：

• 安全事件检测与响应
• 合规性审计
• 故障排查
• 操作行为追踪

日志审计系统配置步骤

1. 系统准备工作

在开始配置前，需要确保：

• 服务器资源充足（建议4核CPU/8GB内存起步）
• 存储空间规划合理（至少保留90天日志）
• 网络连接稳定

2. 日志源配置

常见的日志源包括：

# Windows系统日志
配置步骤：控制面板 → 管理工具 → 事件查看器 → 订阅

# Linux系统日志
配置rsyslog：
$ sudo vim /etc/rsyslog.conf
*.* @192.168.1.100:514

3. 日志收集器部署

主流日志收集方案：

• ELK Stack（Elasticsearch+Logstash+Kibana）
• Splunk
• Graylog
• 商业SIEM系统

4. 日志解析规则设置

典型正则表达式示例：

# SSH登录失败日志匹配
/sshd.*Failed password for (invalid user )?(\S+) from (\S+) port (\d+)/

日志查看与分析技巧

1. 基础查询方法

• 时间范围筛选
• 关键词搜索
• 日志级别过滤

2. 高级分析功能

利用Kibana的Dashboard功能：

3. 告警规则配置

典型告警场景：

最佳实践建议

1. 实施日志分级存储策略
2. 定期测试日志恢复流程
3. 建立日志保留策略（建议关键日志保留1年以上）
4. 配置多因素认证访问控制