終於進入IT產業,但是一到公司救被指派日誌管理,因為公司目前要導入ISMS,所以要全面的蒐集與管理日誌,可是我一個新鮮人如何懂那麼多阿,從網路設備、伺服器到應用程式,如何收集都不懂,而且具前輩說的,應該要買很多管理工具才能符合需求,問老闆預算又支支吾吾的說不出所以然,看來要自立自強,不知到各位大大是否有良藥,可以建議一入IT就遇到瓶頸的新鮮人。先說明我們公司的環境之一(Server):Windows 2000, 2003, Redhat, SuSE, FreeBSD 其他乒不出來,作業系統就是聯合國了 請各位建議了,最好可以符合 ISMS 的需求 謝謝 謝謝
已邀請的邦友 {{ invite_list.length }}/5
分2部分:
1 日誌收集主機
建議直接使用 Kiwi Syslog Server 付費版本來收集,
免費版無法滿足您的需要,
要不要錢差別在哪裡:
http://www.kiwisyslog.com/kiwi-syslog-server-compare-versions/
2 設備日誌傳送設定
這部份比較雜,
每一種設備及作業平台設定方式都不一樣,
而且還要根據您自己訂定的事件標準來決定哪些要傳送,
網路設備還比較好處裡,
OS 日誌的設定建議請SI廠商協助!
感謝大大的回應,kiwi與syslog-ng 都評估過,但是無法對所有日誌格式的支援是問題,既使可以自行定義,困難度很高(對不懂程式與相關知識的人來說),而且問題日誌的警報,很像要使用 script ,有沒有其他的選擇,是可以對事件發生,方便的定義警報,又有執行變更或變更查詢,而且法規與稽核單位的要求,又如此具有彈性。ISMS的本意很好,但是只是為了收集日誌而做,似乎沒有很好的ROI,如果可以符合法規,又可以進行管理,是不是可以一舉兩得,還請各位大大幫忙 萬分感謝
1 Log 的收集,Kiwi 的 C/P 應該是最好的!
2 又簡單,又好用,又可收集各種紀錄...我找不到這種東西!
3 您所提的 ISMS 就是 ISO 27001 嗎?
如果是,
我倒是要提醒您,
是不是所有設備或主機的日誌都要收集,
是由貴公司自行訂定的,
通常是根據風險評估結果來決定哪些要收集,哪些不要收集!
實務上全部收集其實意義不大!
我們都是用 syslog-ng, 請參考
http://forum.icst.org.tw/phpbb/viewtopic.php?t=348
Kiwi +1
我歷經三家公司都是用 Kiwi
作業系統是聯合國並沒關係,因為大多會吐Syslog 的系統都會依照 RFC5424 規範來走
http://www.rfc-editor.org/rfc/rfc5424.txt
而Kiwi 可以收Windows 系統(2000/2003/2003R2/2008) Linux 是依照RFC5424 來走
甚至我們還用Kiwi來收 cisco 網路設備的 Log
Log收集並不困難,重點是收到以後的動作
Kiwi 可以幫忙做Key word 關鍵字分類 ,又有GUI圖形介面可以設定,比較好上手
但後續的反應作業才是比較困難一點,因為太多不同的事件要反應
光一個Windows Event Log 就讓微軟寫了一個網站。
下列是小弟每天看的 Kiwi Syslog mail
可以很簡單看到一天裡收了幾個message,記錄到HDD的有多少
大多是哪一部主機發出來,等級是什麼?
Kiwi 還蠻穩定的,你可以發現我這一部主機已經開了超過1年的時間~
<pre class="c" name="code">
/// Kiwi Syslog Daemon Statistics ///
---------------------------------------------------
24 hour period ending on: Mon, 22 Jun 2009 00:00:03 +0800
Syslog Daemon started on: Fri, 13 Jun 2008 08:12:23
Syslog Daemon uptime: 373 days, 15 hours, 45 minutes
---------------------------------------------------
+ Messages received - Total: 14109
+ Messages received - Last 24 hours: 24
+ Messages received - Since Midnight: 15
+ Messages received - Last hour: 0
+ Messages received - This hour: 0
+ Messages per hour - Average: 1
+ Messages forwarded: 0
+ Messages logged to disk: 15
+ Errors - Logging to disk: 0
+ Errors - Invalid priority tag: 0
+ Errors - No priority tag: 0
+ Errors - Oversize message: 0
+ Disk space remaining on drive C: 16005 MB
---------------------------------------------------
Breakdown of Syslog messages by sending host
+--------------------+------------+------------+
| Top 20 Hosts | Messages | Percentage |
+--------------------+------------+------------+
| 192.168.1.1 | 15 | 100.00% |
+--------------------+------------+------------+
Breakdown of Syslog messages by severity
+--------------------+------------+------------+
| Message Level | Messages | Percentage |
+--------------------+------------+------------+
| 0 - Emerg | 0 | 0.00% |
| 1 - Alert | 9 | 60.00% |
| 2 - Critical | 0 | 0.00% |
| 3 - Error | 0 | 0.00% |
| 4 - Warning | 0 | 0.00% |
| 5 - Notice | 5 | 33.33% |
| 6 - Info | 1 | 6.67% |
| 7 - Debug | 0 | 0.00% |
+--------------------+------------+------------+
我之前再雜誌有看過一個軟體是收集log檔的軟體,他是叫做splunk這套軟體
他有免費的版本可以供你使用,我自己也有抓來用過,可以跨平台收尋和整合,中文和簡體都能搜尋,出來的log也能做成圖表,好分析時間表發生的事件
就跟樓上的大大說的,抓log不難,難的事之後的分析
而它可把自己在意的或公司要注意的事件做警告,警告降說有點不清楚,簡單來講就是,可以讓這個的事件發生後,寄mail給管理者,或是發生事件電腦自動開啟其他程式之類的....
但加密的檔案和有些二進位的檔案好像還有一些問題存在,還在摸索當中
下面這個連結你可以進去看看,介紹splunk這軟體的大概
http://viml.nchc.org.tw/blog/paper_info.php?CLASS_ID=1&SUB_ID=1&PAPER_ID=88
而下面這個是splunk的專屬論壇
http://www.splunklab.net/
有同好在裡面.....大家多多交流囉
iThome鐵人賽
看影片追技術