日志聚合
日志聚合 是什么?
日志聚合将多个系统的事件日志收集、规范化并集中存储到统一平台,以便检索、分析和长期保留。
日志聚合是指将服务器、终端、云服务、网络设备和应用程序的日志统一发送到中心存储中,例如 SIEM 或日志湖。代理或 syslog 转发器采集原始事件,将其规范化为统一模式,补充元数据并写入有索引的存储,使分析人员能够跨整个环境进行查询。聚合是检测、威胁狩猎、事件响应以及合规留存的基础。运营上需要关注时间同步、数据源覆盖率、解析准确度、存储成本,以及保护日志的完整性,以防止攻击者篡改证据。
● 示例
- 01
将 Linux auditd、Windows 事件日志与 AWS CloudTrail 转发到同一 SIEM 索引。
- 02
使用 syslog 转发器将防火墙日志写入冷存储桶并保留一年。
● 常见问题
日志聚合 是什么?
将多个系统的事件日志收集、规范化并集中存储到统一平台,以便检索、分析和长期保留。 它属于网络安全的 防御与运营 分类。
日志聚合 是什么意思?
将多个系统的事件日志收集、规范化并集中存储到统一平台,以便检索、分析和长期保留。
日志聚合 是如何工作的?
日志聚合是指将服务器、终端、云服务、网络设备和应用程序的日志统一发送到中心存储中,例如 SIEM 或日志湖。代理或 syslog 转发器采集原始事件,将其规范化为统一模式,补充元数据并写入有索引的存储,使分析人员能够跨整个环境进行查询。聚合是检测、威胁狩猎、事件响应以及合规留存的基础。运营上需要关注时间同步、数据源覆盖率、解析准确度、存储成本,以及保护日志的完整性,以防止攻击者篡改证据。
如何防御 日志聚合?
针对 日志聚合 的防御通常结合技术控制与运营实践,详见上方完整定义。
日志聚合 还有哪些其他名称?
常见的别称包括: 集中日志, 日志收集。
● 相关术语
- defense-ops№ 1039
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
- forensics-ir№ 627
日志分析
对系统、应用和安全日志进行系统化审查,以检测、调查和重建与安全相关的事件。
- defense-ops№ 628
日志关联
依据共享字段、时间窗口或事件顺序,将来自多个日志源的事件关联起来,以呈现单条日志无法显示的多阶段活动。
- defense-ops№ 416
文件完整性监控 (FIM)
通过将关键操作系统、应用与配置文件与可信加密基线进行对比,检测异常变更的安全控制。
- forensics-ir№ 524
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。