snmp获取交换机日志_日志审计系统和数据库审计系统的区别
01、日志審計系統
?系統日志
系統日志是記錄系統中硬件、軟件和系統問題的信息,同時還可以監視系統中發生的事件。用戶可以通過它來檢查錯誤發生的原因,或者尋找受到攻擊時攻擊者留下的痕跡。系統日志包括系統日志、應用程序日志和安全日志,這就是為什么在工程師排查系統故障時,經常會說“查查系統日志,看有什么錯誤信息”。
系統日志作為審計過程中的有力依據,但為何還需開發獨立的審計系統呢,是因為審計的本質特性是獨立性,系統日志由系統生成,及系統本身為一體,主要用來幫助維護人員進行故障排查與定位,極易發生日志篡改事件,因此系統日志自身無法達到審計的最基本條件,其公正性、權威性更無從談起。日志審計系統技術特點:
i.日志審計系統發展于日志服務器,其本質并未有革命性的改變與革新。其原始信息仍來源于系統日志,并未解決審計過程中對于獨立性的要求。
ii.日志服務器的產生源自于信息技術發展的一定程度后,所面對的信息系統已經不再以個位計算,而是十位、百位,甚至千位。基于傳統的單系統日志排查方式來檢查系統運行的狀態已捉襟見肘。如若能對所有系統的日志實現集中管理,并對其歸類、分析、抽取,按不同的風險級別通過可視化展現,實現實時、智能的告警,將極大提升系統運維效率。因此,Syslog日志協議被廣泛應用,并由此產生基于Syslog協議的日志服務器用于日志的集中管理與分析。Syslog存在的主要問題
長期以來,Syslog格式未進行規范化處理,且極端情況下或許沒有任何格式,因此,程序不能對Syslog消息進行解析;另一方面,Syslog協議使用UDP協議(無連接協議)在網絡中傳輸,內容的完整性與可靠性無法有效保障。對于系統的運維而言,Syslog已足夠滿足操作需求,卻不能滿足審計要求。
現在再分析日志審計,無非是在日志服務的基礎上再增加SNMP(簡單網管協議)使其可對路由器、交換機等網絡設備的運行狀況進行管理,再增加個性化的報表功能,便形成日志審計系統,但其本質仍脫離不了日志服務器。02、數據庫審計系統
數據庫審計系統,能夠實時記錄網絡上的數據庫活動,對數據庫操作進行細粒度審計的合規性管理,對數據庫遭受到的風險行為進行告警,對攻擊行為進行阻斷,最初此產品是為了解決核心數據的內控與審計需求而研發的,不采用其自帶的日志進行審計,主要因為:
i.數據庫系統自身日志極易被篡改,缺乏獨立性與公正性;
ii.數據庫訪問的實時性要求極高,而龐大的數據庫事件日志會消耗大量系統資源,嚴重影響數據庫的性能及穩定性,往往并不開啟,僅保留錯誤日志以便于系統排障。數據庫審計系統的技術特點
數據庫審計系統借鑒了防火墻的報文解析與重組技術(DPI/DFI),通過在底層傳輸過程中截取報文流,并將其深度解析重組為完整的數據流,再利用語法解析與詞法(YACC+LEX)解析技術解析成我們可識別的數據庫操作語言,整個過程獨立于數據庫,且不會對數據庫有任何影響,其設計天生即是為審計而生。
日志審計系統是在原有日志服務器基礎上進一步發展與加強,很好的實現了日志的統一管理與分析,有效的提升了系統故障的檢測與排查效率,但其設計的初衷與技術手段決定了其無法適用于審計要求。
數據庫審計系統的設計初衷便基于數據庫內控與審計要求,規避了日志與數據庫本身的一些不足與缺陷。
最后引用一句話總結:一個完整的審計體系,可滿足所有審計對象的安全審計需求。就目前而言,實現的產品類型有:日志審計系統、數據庫審計系統、桌面管理系統、網絡審計系統、入侵檢測和防護系統等,這些產品都實現了安全審計的一部分功能,只有實現全面的網絡安全審計體系,安全審計才是完整的。?
關注:CISA信息系統審計公眾號,了解更多CISA相關內容聲明:除發布的文章無法追溯到作者并獲得授權外,我們均會注明作者和文章來源。我們重在分享,尊重原創。如作者見到請及時聯系我們,我們在得到您的授后重新發布或第一時間刪改,謝謝!
總結
以上是生活随笔為你收集整理的snmp获取交换机日志_日志审计系统和数据库审计系统的区别的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: javascript --- 实战中体
- 下一篇: windows 修改nginx端口号_分