Entry № 701
日志聚合
日志聚合 是什么?
日志聚合将多个系统的事件日志收集、规范化并集中存储到统一平台,以便检索、分析和长期保留。
日志聚合是指将服务器、终端、云服务、网络设备和应用程序的日志统一发送到中心存储中,例如 SIEM 或日志湖。代理或 syslog 转发器采集原始事件,将其规范化为统一模式,补充元数据并写入有索引的存储,使分析人员能够跨整个环境进行查询。聚合是检测、威胁狩猎、事件响应以及合规留存的基础。运营上需要关注时间同步、数据源覆盖率、解析准确度、存储成本,以及保护日志的完整性,以防止攻击者篡改证据。
● 示例
- 01
将 Linux auditd、Windows 事件日志与 AWS CloudTrail 转发到同一 SIEM 索引。
- 02
使用 syslog 转发器将防火墙日志写入冷存储桶并保留一年。
● 常见问题
日志聚合 是什么?
将多个系统的事件日志收集、规范化并集中存储到统一平台,以便检索、分析和长期保留。 它属于网络安全的 防御与运营 分类。
日志聚合 是什么意思?
将多个系统的事件日志收集、规范化并集中存储到统一平台,以便检索、分析和长期保留。
如何防御 日志聚合?
针对 日志聚合 的防御通常结合技术控制与运营实践,详见上方完整定义。
日志聚合 还有哪些其他名称?
常见的别称包括: 集中日志, 日志收集。