Агрегация логов
Что такое Агрегация логов?
Агрегация логовСбор, нормализация и централизованное хранение журналов событий со множества систем в единой платформе для поиска, анализа и хранения.
Агрегация логов — это практика передачи журналов с серверов, конечных устройств, облачных сервисов, сетевого оборудования и приложений в центральное хранилище, такое как SIEM или озеро логов. Агенты и syslog-релеи собирают исходные события, нормализуют их к общей схеме, обогащают метаданными и записывают в индексированное хранилище, чтобы аналитики могли выполнять запросы по всей инфраструктуре. Это основа для детектирования, охоты за угрозами, реагирования на инциденты и нормативного хранения. Операционно важны синхронизация времени, охват источников, корректность парсинга, стоимость хранения и защита целостности журналов.
● Примеры
- 01
Пересылка Linux auditd, журнала событий Windows и AWS CloudTrail в один индекс SIEM.
- 02
Использование syslog-релея для отправки логов межсетевого экрана в холодное хранилище сроком на год.
● Частые вопросы
Что такое Агрегация логов?
Сбор, нормализация и централизованное хранение журналов событий со множества систем в единой платформе для поиска, анализа и хранения. Относится к категории Защита и операции в кибербезопасности.
Что означает Агрегация логов?
Сбор, нормализация и централизованное хранение журналов событий со множества систем в единой платформе для поиска, анализа и хранения.
Как работает Агрегация логов?
Агрегация логов — это практика передачи журналов с серверов, конечных устройств, облачных сервисов, сетевого оборудования и приложений в центральное хранилище, такое как SIEM или озеро логов. Агенты и syslog-релеи собирают исходные события, нормализуют их к общей схеме, обогащают метаданными и записывают в индексированное хранилище, чтобы аналитики могли выполнять запросы по всей инфраструктуре. Это основа для детектирования, охоты за угрозами, реагирования на инциденты и нормативного хранения. Операционно важны синхронизация времени, охват источников, корректность парсинга, стоимость хранения и защита целостности журналов.
Как защититься от Агрегация логов?
Защита от Агрегация логов обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Агрегация логов?
Распространённые альтернативные названия: Централизованное логирование, Сбор логов.
● Связанные термины
- defense-ops№ 1039
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
- forensics-ir№ 627
Анализ журналов
Систематический разбор системных, прикладных и защитных журналов для обнаружения, расследования и восстановления событий, значимых для безопасности.
- defense-ops№ 628
Корреляция логов
Связывание событий из нескольких источников по общим полям, временным окнам или последовательности, чтобы выявить многошаговую активность, скрытую в отдельных логах.
- defense-ops№ 416
Мониторинг целостности файлов (FIM)
Контроль безопасности, обнаруживающий неожиданные изменения важных файлов ОС, приложений и конфигурации путём сравнения с эталонной криптографической базой.
- forensics-ir№ 524
Реагирование на инциденты
Организованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков.