iT邦幫忙

2025 iThome 鐵人賽

DAY 21
1
佛心分享-IT 人自學之術

每天一點點資安黑魔法系列 第 21

Day21 | 日誌與稽核記錄管理:留痕是資安的第一步!

  • 分享至 

  • xImage
  •  

無論是駭客攻擊、資料外洩,或是系統異常,「沒有留下記錄」就是最大的資安風險。今天我們來談談資安防禦中不可或缺的一環:「日誌管理(Log Management)」與「稽核記錄(Audit Trail)」。


一、什麼是日誌(Log)?

日誌是系統、應用程式、裝置在運行過程中產生的紀錄檔,內容可能包括:

  • 使用者登入/登出資訊
  • 檔案存取與修改
  • 系統錯誤與異常行為
  • 安全事件(如防火牆阻擋、IPS警示)
  • 管理者操作紀錄

這些記錄在 事件調查、威脅追蹤、合規審查 中都扮演關鍵角色。


二、常見日誌種類

類型 說明
系統日誌 OS 的開機、關機、登入、帳號變動等
安全性日誌 防火牆、IDS/IPS、AV 等的告警或異常資訊
應用程式日誌 網頁伺服器、資料庫等的存取或錯誤紀錄
稽核記錄 重要帳號或敏感操作的完整存取流程紀錄

三、日誌管理的重要性

  1. 可稽性(Accountability):確保操作行為有跡可循
  2. 事件分析與回溯:事後調查駭客行為、找出入侵路徑
  3. 法規合規:如 ISO 27001、個資法需保留存取紀錄
  4. 行為異常偵測:搭配 SIEM 系統能進行即時告警

四、稽核記錄的關鍵原則

原則 說明
✅ 完整性 日誌不得遭任意修改或刪除
✅ 可讀性 格式需清晰明確,利於查閱
✅ 時間同步 所有日誌需採統一時間標準(如 NTP)
✅ 保存期限 須依法規或政策保存(如 6 個月以上)

五、Log 管理技術與工具

工具/技術 用途
syslog Linux/UNIX 常見日誌傳輸協定
Windows Event Log Windows 系統事件管理機制
SIEM(如 Splunk、ELK、Wazuh) 集中分析、偵測與告警日誌事件
日誌輪替(Log Rotation) 控制日誌大小,定期備份或壓縮

六、防範日誌遭竄改的方式

  • 限制存取權限(僅系統管理員可變更)
  • 將日誌寫入唯讀媒體(如 WORM 磁碟)
  • 將日誌加密或簽章(確保完整性)
  • 將日誌備份到遠端伺服器(集中保存)


上一篇
Day20 | 零信任架構(Zero Trust):資安不能靠信任!
下一篇
Day22 | 災難復原與備份策略:當系統壞掉,你該怎麼救?
系列文
每天一點點資安黑魔法30
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言