無論是駭客攻擊、資料外洩,或是系統異常,「沒有留下記錄」就是最大的資安風險。今天我們來談談資安防禦中不可或缺的一環:「日誌管理(Log Management)」與「稽核記錄(Audit Trail)」。
日誌是系統、應用程式、裝置在運行過程中產生的紀錄檔,內容可能包括:
這些記錄在 事件調查、威脅追蹤、合規審查 中都扮演關鍵角色。
類型 | 說明 |
---|---|
系統日誌 | OS 的開機、關機、登入、帳號變動等 |
安全性日誌 | 防火牆、IDS/IPS、AV 等的告警或異常資訊 |
應用程式日誌 | 網頁伺服器、資料庫等的存取或錯誤紀錄 |
稽核記錄 | 重要帳號或敏感操作的完整存取流程紀錄 |
原則 | 說明 |
---|---|
✅ 完整性 | 日誌不得遭任意修改或刪除 |
✅ 可讀性 | 格式需清晰明確,利於查閱 |
✅ 時間同步 | 所有日誌需採統一時間標準(如 NTP) |
✅ 保存期限 | 須依法規或政策保存(如 6 個月以上) |
工具/技術 | 用途 |
---|---|
syslog | Linux/UNIX 常見日誌傳輸協定 |
Windows Event Log | Windows 系統事件管理機制 |
SIEM(如 Splunk、ELK、Wazuh) | 集中分析、偵測與告警日誌事件 |
日誌輪替(Log Rotation) | 控制日誌大小,定期備份或壓縮 |