無論是駭客攻擊、資料外洩，或是系統異常，「沒有留下記錄」就是最大的資安風險。今天我們來談談資安防禦中不可或缺的一環：「日誌管理（Log Management）」與「稽核記錄（Audit Trail）」。

一、什麼是日誌（Log）？

日誌是系統、應用程式、裝置在運行過程中產生的紀錄檔，內容可能包括：

• 使用者登入/登出資訊
• 檔案存取與修改
• 系統錯誤與異常行為
• 安全事件（如防火牆阻擋、IPS警示）
• 管理者操作紀錄

這些記錄在 事件調查、威脅追蹤、合規審查 中都扮演關鍵角色。

二、常見日誌種類

三、日誌管理的重要性

1. 可稽性（Accountability）：確保操作行為有跡可循
2. 事件分析與回溯：事後調查駭客行為、找出入侵路徑
3. 法規合規：如 ISO 27001、個資法需保留存取紀錄
4. 行為異常偵測：搭配 SIEM 系統能進行即時告警

四、稽核記錄的關鍵原則

五、Log 管理技術與工具

六、防範日誌遭竄改的方式

• 限制存取權限（僅系統管理員可變更）
• 將日誌寫入唯讀媒體（如 WORM 磁碟）
• 將日誌加密或簽章（確保完整性）
• 將日誌備份到遠端伺服器（集中保存）