上一节我们学习了系统漏洞与补丁管理,筑牢了主机的 “事前防护” 防线;而主机日志与审计配置,则是主机安全的 “事后溯源” 核心 —— 当攻击发生后,日志是唯一能还原攻击路径、定位攻击入口、追踪攻击者行为的依据,也是等保 2.0、ISO27001 等合规标准的强制要求。本节我们将拆解 Windows/Linux 主机的日志配置、审计策略、日志留存与外发方法,帮你构建主机安全的 “溯源防线”。
一、先搞懂:日志与审计为什么是主机安全的 “最后一道防线”?
- 主机日志:系统和应用程序生成的事件记录,包括登录事件、进程创建、文件修改、服务启停等,是攻击行为的 “黑匣子”。
- 主机审计:通过配置系统策略,记录用户操作、权限变更、对象访问等关键行为,是内部威胁和权限滥用的监控依据。
- 核心价值:
- 攻击溯源:还原攻击者从入侵到横向移动的完整路径,定位漏洞入口和被篡改的文件
- 事件处置:确定攻击影响范围,恢复被破坏的系统和数据
- 合规审计:满足等保 2.0 对日志留存不少于 6 个月的要求
- 威胁预警:通过日志分析发现异常行为,提前预警潜在攻击
二、Windows 主机日志配置与审计
1. Windows 核心日志类型(必须启用)
表格
| 日志类型 | 作用 | 关键事件 |
|---|---|---|
| 安全日志 | 记录登录、账户管理、策略更改等安全事件 | 登录事件(成功 / 失败)、账户锁定、权限变更 |
| 系统日志 | 记录系统服务启停、驱动加载、系统组件事件 | 服务异常、系统崩溃、驱动加载失败 |
| 应用程序日志 | 记录第三方应用程序事件 | Web 服务、数据库等应用的错误和访问事件 |
| 转发事件 | 接收其他主机发送的日志 | 用于日志集中管理 |
2. 日志基础配置(企业落地标准)
- 启用安全日志:通过组策略(
secpol.msc)的 “本地策略→审计策略”,启用以下审计:- 审计登录事件(成功 + 失败)
- 审计账户管理(账户创建 / 修改 / 删除)
- 审计对象访问(文件 / 注册表修改)
- 审计策略更改(组策略 / 安全配置修改)
- 审计特权使用(管理员权限使用)
- 日志留存配置:
- 日志文件大小上限:≥100MB
- 留存方式:设置为 “按需要覆盖事件” 或 “保留事件不小于 180 天”(满足等保要求)
- 配置方法:事件查看器→日志属性,设置文件大小和留存策略
3. 高级审计配置(关键行为监控)
- 通过
auditpol.exe命令配置详细审计策略,记录进程创建、文件删除、注册表修改等行为:cmd:: 启用进程创建审计(记录所有新进程的命令行) auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable :: 启用文件删除审计(监控敏感目录文件删除) auditpol /set /subcategory:"File System" /success:enable /failure:enable - 启用 PowerShell 日志记录,防止恶意脚本执行:
- 启用 PowerShell 模块日志和脚本块日志,记录所有执行的 PowerShell 命令
三、Linux 主机日志配置与审计
1. Linux 核心日志类型与位置
表格
| 日志文件 | 作用 | 关键事件 |
|---|---|---|
/var/log/secure(CentOS/RHEL)//var/log/auth.log(Ubuntu) | 记录登录、SSH 认证、账户管理事件 | SSH 登录成功 / 失败、sudo 权限使用 |
/var/log/messages | 记录系统服务、内核事件 | 服务启停、内核模块加载、系统错误 |
/var/log/cron | 记录定时任务执行事件 | 定时任务创建 / 修改 / 执行 |
Web 服务日志(/var/log/nginx///var/log/apache2/) | 记录 Web 访问、错误事件 | 异常请求、SQL 注入尝试 |
2. 日志基础配置(企业落地标准)
- 启用 rsyslog 服务:确保系统日志服务正常运行,配置日志文件权限为
600,防止普通用户读取 - 日志留存配置:修改
/etc/logrotate.conf,设置日志留存时间不少于 180 天,日志文件大小上限≥100MB - 关键日志权限加固:
/var/log/secure:权限设置为600,仅 root 可读取/var/log/messages:权限设置为640,仅管理员可读取
3. 高级审计配置(auditd)
- 启用
auditd服务,记录用户操作、文件修改、系统调用等关键行为,是 Linux 主机审计的核心工具 - 配置审计规则(
/etc/audit/rules.d/audit.rules):bash运行# 监控/etc/passwd文件修改(账户变更) -w /etc/passwd -p rwxa -k passwd_change # 监控/root目录文件访问(敏感文件读取) -w /root -p rwxa -k root_dir_access # 监控sudo命令使用(权限提升) -w /usr/bin/sudo -p x -k sudo_exec - 查看审计日志:
ausearch命令查询事件,aureport生成审计报告
四、日志外发与集中管理(防止日志被篡改 / 删除)
1. 为什么必须做日志外发?
- 攻击者攻陷主机后,通常会删除本地日志,销毁攻击痕迹,本地日志无法作为溯源依据
- 集中管理日志,便于统一查询、分析和告警,避免在多台主机间切换查看
- 满足合规要求,日志必须异地留存,防止被篡改
2. 企业常用日志外发方案
表格
| 系统 | 外发工具 | 目标平台 |
|---|---|---|
| Windows | 事件转发、Syslog 代理 | ELK Stack、Splunk、企业日志平台 |
| Linux | rsyslog/syslog-ng | ELK Stack、Splunk、企业日志平台 |
配置示例(Linux rsyslog 外发):
修改/etc/rsyslog.conf,添加以下配置,将所有日志发送到日志服务器:
*.* @@log-server-ip:514
五、企业日志与审计配置完整落地流程
- 评估阶段:梳理企业所有主机,标记核心业务主机,明确合规要求的日志留存时间
- 配置阶段:
- Windows:通过组策略批量配置审计策略和日志留存
- Linux:启用 rsyslog 和 auditd,配置日志规则和留存策略
- 外发阶段:将所有主机日志外发到统一日志服务器,配置异地备份
- 监控阶段:定期检查日志是否正常生成和外发,监控日志篡改 / 删除行为
- 定期审计:每季度审计主机日志,检查是否存在异常登录、权限变更等行为
六、企业落地常见误区(避坑指南)
- 误区 1:日志只存本地,不做外发:主机被攻陷后,日志被删除,无法溯源
- 误区 2:日志留存时间不足:未满足等保 2.0 不少于 6 个月的要求,无法通过合规审计
- 误区 3:只启用日志,不配置审计:日志只记录事件,不记录关键操作,无法追踪权限滥用
- 误区 4:不监控日志生成状态:日志服务停止、日志文件损坏无法及时发现,导致日志丢失
- 误区 5:日志权限配置过松:普通用户可读取敏感日志,泄露账户信息和系统配置
📝 本节小结
主机日志与审计配置,是主机安全的 “溯源防线”。它的核心价值,不在于预防攻击,而在于攻击发生后,还原真相、定位问题、降低损失。只有配置好日志和审计,做好留存与外发,才能在攻击发生后,有迹可循、有据可查。
No responses yet