Logs的保存

Log就是紀錄的意思,一般來說當我們防火牆建置好之後當然是可以正常運作,可是當有狀況的時候,比方說駭客入侵竊取資料,或是說誰跟惡意IP連線,這時候我們就必須要查過往的紀錄,但是這些紀錄會存在哪呢?




一般來說在設備的Log設定裡面預設會丟到記憶體裡,比較大台的機器可能還會內建硬碟存放資料,或是說廠商會提供另一個裝置,比方說紀錄報表伺服器,這可能是實體或是虛擬的,最近還有一種就是丟在廠商的雲端紀錄報表伺服器上。

由於記憶體空間不可能很大,然後關機之後記憶體就揮發了,Log就消失了,一般不建議使用,唯一的好處就是買來就可以了,因此還是建議往外丟,就算整台機器出了問題還是可以查詢紀錄。



我們知道Log是用純文字的方式純放,以上只是一段Log的紀錄,大概可以看出這個是一個流量的紀錄,從 192.168.4.155 到 45.32.102.139,NAT 成 111.243.49.41,那有沒有更快查詢的方式呢?



就算你的Syslog伺服器真的支援搜尋好了,用起來也是綁手綁腳,未經整理的log丟出來頂多只能查一筆資料,而且都是沒有經過整理的資訊,非常難用。



我們來看一下,一般廠商的紀錄報表伺服器做到哪些功能,他可以根據你限定的時間給你一個目前流量概況。



目前的連線數或傳輸量已來源IP排序。



目前的連線數或傳輸量已目標IP排序



你也可以設定時間或欄位條件來查連線紀錄。



最後定期產生報表寄到你的電子郵件裡。

結論:
Logs紀錄保存上都是非常重要的,而且資安相關法規也有規範,你可以丟到免費的syslog伺服器存檔,但就是一筆一筆的文字檔,沒有經過整理非常不方便使用,頂多就是查一筆紀錄而已,廠商都有提供自己的商用的配套方案紀錄報表伺服器,就看公司怎麼選擇。

留言

  1. 能否請教您這套分析介面是用哪個軟體或硬體?
    謝謝

    回覆刪除
    回覆
    1. 我是用fortigate實體機60D 和 fortianalzyer 虛擬機做的。

      刪除

張貼留言

這個網誌中的熱門文章

FortiGate 網路基本設定

Windows AD 架設

電腦的路由表設定