综合日志审计平台的主要功能

●采集器：全面支持Syslog、SNMP日志协议，可以覆盖主流硬件设备、主机及应用，保障日志信息的全面收集。实现信息资产（网络设备、安全设备、主机、应用及数据库）的日志获取，并通过预置的解析规则实现日志的解析、过滤及聚合，同时可将收集的日志通过转发功能转发到其它网管平台等。

●通信服务器：实现采集器与平台间的通信，将格式统一后的日志直接写入数据库并且同时提交给关联分析模块进行分析处理。通信服务器可以接收多个采集器的日志；在平台尚未支持统一日志格式时，能够根据要求，将定义的统一日志转换为所需要的日志格式。

●关联引擎:实现全维度、跨设备、细粒度关联分析，内置众多的关联规则，支持网络安全攻防检测、合规性检测，客户可轻松实现各资产间的关联分析。

●平台管理器：实现所监控的信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。通过各种事件的归一化处理，实现高性能的海量事件存储和检索优化功能，提供高速的事件检索能力、事后的合规性统计分析处理，可对数据进行二次挖掘分析。

●集中配置管理：系统支持分布式部署，可以在中心平台进行各种管理规则，各种配置策略自动分发，支持远程自动升级等，极大的降低了分布式部署的难度，提高了可管理性。

●灵活的可扩展性：提供多种定制接口，实现强大的二次开发能力，及与第三方平台对接和扩展的能力。

●其他功能：支持各种网络部署需要，包括日志聚合、日志过滤、事件过滤、日志转发、特殊日志格式支持(如单报文多事件)等。

推荐企业安装专业的防泄密软件 域之盾系统  可以针对日常办公文档/文字编辑/编辑/图纸编辑进行一键加密，加密后的文件只有在安装了域之盾客户端的电脑上可以正常打开，其他任何形式的非法外发拷贝传输打开都是乱码 可有效避免你说的这个隐患问题 

1  透明加解密

      系统根据管理策略对相应文件进行加密，用户访问需要连接到服务器，按权限访问，越权访问会受限，通过共享、离线和外发管理可以实现更多的访问控制。

      2  泄密控制

      对打开加密文档的应用程序进行打印、内存窃取、拖拽和剪贴板等操作管控，用户不能主动或被动地泄漏机密数据。

      3  审批管理

      支持共享、离线和外发文档，管理员可以按照实际工作需求，配置是否对这些操作进行强制审批。用户在执行加密文档的共享、离线和外发等操作时，将视管理员的权限许可，可能需要经过审批管理员审批。

      4  离线文档管理

      对于员工外出无法接入网络的情况可采用系统的离线管理功能。通过此功能授权指定用户可以在一定时间内不接入网络仍可轻松访问加密数据，而该用户相应的安全策略仍然生效，相应数据仍然受控，文档权限也与联网使用一样。

      5  外发文档管理

      本功能主要是解决数据二次泄密的威胁，目的是让发出的文档仍然受控。通过此功能对 需要发出的文件进行审批和授权后，使用者不必安装加密客户端即可轻松访问受控文件，且可对文件的操作权限及生命周期予以管控。

      6  审计管理

      对加密文档的常规操作，进行详细且有效的审计。对离线用户，联网后会自动上传相关日志到服务器。

      7  自我保护

      通过在操作系统的驱动层对系统自身进行自我保护，保障客户端不被非法破坏，并且始终运行在安全可信状态。即使客户端被意外破坏，客户端计算机里的加密文档也不会丢失或泄漏。

　在UNIX系统遭受入侵后，确定损失及入侵者的攻击源地址相当重要。虽然在大多数入侵者懂得使用曾被攻陷的计算机作为跳板来攻击你的服务器，但是他们发动正式攻击前所做的目标信息收集工作（试探性扫描）常常是从他们的工作计算机开始的，下面介绍如何从遭受入侵的系统的日志中分析出入侵者的IP并加以确定的。

1 messages

/var/adm是UNIX的日志目录（Linux下则是/var/log）。其中有相当多ASCII格式的日志文件，当然 ，让我们把焦点首先集中在messages个文件上，这一般也是入侵者所关注的文件，它记录了来自系统级别的信息。下面是显示版权或者硬件信息的记录信息：

Apr 29 19：06：47 www login[28845]： FAILED LOGIN 1 FROM xxxxxxxxxxxx ，User not known to the underlying authentication module

这是登录失败的记录信息： Apr 29 22：05：45 game PAM_pwdb[29509]： (login) session opened for user ncx by (uid=0)。

第一步应该是 Kill －HUP cat `/var/run/syslogdpid`，当然，有可能入侵者已经做过了。

2 wtmp，utmp logs，FTP日志

你可以在/var/adm，/var/log，/etc目录中找到名为wtmp，utmp的文件，这些文件记录着用户是何时、何地远程登陆到主机上的，在黑客软件中有一个最老也是最流行的zap2（编译后的文件名一般叫做z2，或者叫wipe），也是用来“抹”掉在这两个文件中用户登录的信息的，然而由于懒惰或者网络速度过于缓慢，很多入侵者没有上载或编译这个文件。管理员可以使用lastlog这个命令来获得入侵者上次连接的源地址（当然，这个地址有可能是他们的一个跳板）。FTP日志一般是/var/log/xferlog，该文件详细的记录了以FTP 方式上传文件的时间、来源、文件名等等，不过由于该日志太明显，所以稍微高明些的入侵者几乎不会使用FTP来传文件，他们一般使用的是RCP。

3 sh_history

获得 root 权限后，入侵者就可以建立他们自己的入侵帐号，更高级的技巧是给类似 uucp，lp 等不常使用的系统用户名加上密码。在遭受入侵后，即使入侵者删除了sh_history 或者bash_hi－story 这样的文件，执行kill －HUP `cat /var/run/inetdconf`即可将保留在内存页中的bash命令记录重新写回到磁盘，然后可执行find / －namesh_historyprint，仔细查看每个可疑的 shell 命令日志。你可在/usr/spool/lp(lp home dir)，/usr/lib/uucp/等目录下找到sh_history 文件，还有可能在其中发现类似 FTP xxxxxxxxxxxx 或者rcpnobody@xxxxxxxxxxxx：/tmp/backdoor /tmp/backdoor这样能显示出入侵者IP或域名的命令。

4 HTTP服务器日志

这是确定入侵者的真实攻击发源地址的最有效方法了。以最流行的Apache服务器为例，在${prefix}/logs/目录下你可以发现accesslog这个文件，该文件记载了访问者的IP，访问的时间和请求访问的内容。在遭受入侵后，我们应该可以在该文件中发现类似下面的信息： record：xxxxxxxxxxxx[28/Apr/2000：00：29：05 －0800] "GET/cgi－bin/rguestexe"404 －xxxxxxxxxxxx[28/Apr/2000：00：28：57 －0800] "GET /msads/Samples/SELECTOR/showcodeasp" 404

这表明是来自 IP 为 xxxxxxxxxxxx的入侵者在 2000 年 4 月 28 号的 0 点 28 分试图访问/msads/Samples/SELECTOR/showcodeasp文件，这是在使用web cgi扫描器后遗留下的日志。大部分的web扫描器的入侵者常选择离自己最近的服务器。结合攻击时间和IP，我们就可以知道入侵者的大量信息。

5 核心dump

一个安全稳定的守护进程在正常运行的时候是不会“dump”出系统的核心的，当入侵者利用远程漏洞攻击时，许多服务正在执行一个getpeername的socket 函数调用，因此入侵者的IP也保存在内存中。

6 代理服务器日志

代理服务器是大中型企业网常使用来做为内外信息交换的一个接口，它忠实地记录着每一个用户所访问

的内容，当然也包括入侵者的访问信息。以最常用的squid代理为例，通常你可以在/usr/local/squid/logs/下找到 accesslog 这个庞大的日志文件。你可以在以下地址获得 squid 的日志分析脚本：http：//wwwsquid－cacheorg/Doc/Users－Guide/added/st html 通过对敏感文件访问日志的分析，可以知道何人在何时访问了这些本该保密的内容。

7 路由器日志

默认方式下路由器不会记录任何扫描和登录，因此入侵者常用它做跳板来进行攻击。如果你的企业网被划分为军事区和非军事区的话，添加路由器的日志记录将有助于日后追踪入侵者。更重要的是，对于管理员

来说，这样的设置能确定攻击者到底是内贼还是外盗。当然，你需要额外的一台服务器来放置routerlog文件。

注意！

对于入侵者来说，在实施攻击的整个过程中不与目标机试图建立TCP连接是不太可能的，这里有许多入侵者主观和客观原因，而且在实施攻击中不留下日志也是相当困难的。

如果我们花上足够的时间和精力，是可以从大量的日志中分析出入侵者的信息。就入侵者的行为心理而言， 们在目标机上取得的权限越大，他们就越倾向于使用保守的方式来建立与目标机的连接。仔细分析早期的日志，尤其是包含有扫描的部分，我们能有更大的收获。

日志审计只是作为入侵后的被动防御手段，主动的是加强自身的学习，及时升级或更新系统，做到有备无患才是最有效的防止入侵的方法。

我们自己用的是聚铭日志审计系统，日志解析采用脚本化定义，除内置主流设备/

系统日志

解析脚本外，用户可以自定义脚本。满足多种响应需求，如邮件、执行外部程序、Syslog等。

这两个是完全不同的概念，日志审计是收集网络设备，安全设备，服务器的，应用的，所产生日志，数据库安全审计是对操作数据库的行为进行监控，分析，如果发现高危风险会告警，最后还 会形成丰富的报表。安华金和审计做的算行业里能使的产品里比较靠前的，在误报率与漏报率上都很低，精准度够，审计产品这个也最主要，合规的不算，具体可以咨询厂商，如安华金和，望采纳~

创建审计日志目录

代码如下:

mkdir -p /var/log/user_audit

创建用户审计日志文件;

代码如下:

touch /var/log/user_audit/user_auditlog

将文件赋予低权限用户

代码如下:

chown nobody:nobody /var/log/user_audit/user_auditlog

赋予所有人写权限

代码如下:

chmod 002 /var/log/user_audit/user_auditlog

赋予所有用户追加权限

代码如下:

chattr +a /var/log/user_auditlog

编辑/etc/profile 增加以下内容;

代码如下:

export HISTORY_FILE=/var/log/user_audit/user_auditlog

export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print /$1/" /"/$2/" /"/$5}")

实例

多人共同使用的服务器权限确实不好管理，误操作等造成故障，无法追究，最好的办法就是将用户操作实时记录到日志，并推送到远程日志服务器上。包括(用户登陆时间，目录，操作命令及时间戳等)。以便事后追查。

环境：centos55 X86_64 2台 #备注：把两台主机的防火墙和selinux关闭。在进行操作。

(一)日志服务器IP:1002164

(二)客户端服务器IP：1002165

1先在日志服务器1002164主机上操作：

代码如下:

[root@MySQL-B ~]# echo "info /var/log/client" /etc/syslogconf

#配置日志保存文件，把该文件第一行的info 提出来。单独放一行。

[root@MySQL-B ~]# service syslog restart #重启syslog日志服务。

Shutting down kernel logger: [ OK ]

Shutting down system logger: [ OK ]

Starting system logger: [ OK ]

Starting kernel logger: [ OK ]

[root@MySQL-B ~]# vim /etc/sysconfig/syslog #接收客户端写入。

把SYSLOGD_OPTIONS="-m 0" 更改为：SYSLOGD_OPTIONS="-m 1 -r"

2然后在客户端服务器1002165主机上操作：

代码如下:

[root@MySQL-A ~]# vim /etc/profile #添加如下行。

export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'

[root@MySQL-A ~]# source /etc/profile #重新手动source更新。

21客户机修改日志服务器1002165主机上操作：

代码如下:

[root@MySQL-A ~]# echo "1002164 logserver" /etc/hosts #日志服务器地址。

[root@MySQL-A ~]# echo "info @logserver" /etc/syslogconf

#将info日志推送到日志服务器，把该文件第一行的info 提出来。单独放一行。

[root@MySQL-A ~]# /etc/initd/syslog restart #重启syslog日志。

Shutting down kernel logger: [ OK ]

Shutting down system logger: [ OK ]

Starting system logger: [ OK ]

Starting kernel logger: [ OK ]

3测试，在客户端主机上1002165主机上测试并操作：

代码如下:

[root@MySQL-A ~]# test

[root@MySQL-A ~]# echo "this is a test 1"

this is a test 1

[root@MySQL-A ~]# echo "this is a test 2"

this is a test 2

[root@MySQL-A ~]# echo "this is a test 3"

this is a test 3

[root@MySQL-A ~]# echo "this is a test 4"

this is a test 4

[root@MySQL-A ~]# echo "this is a test 5"

this is a test 5

4返回日志服务器1002164主机上看结果，是否记录下来客户端主机执行的操作

代码如下:

[root@MySQL-B ~]# cat /var/log/client

Apr 6 10:37:55 1002165 root: [euid=root]:root pts/1 Apr 6 10:37 (1002188):[/root]echo "this is a test1"

Apr 6 10:37:59 1002165 root: [euid=root]:root pts/1 Apr 6 10:37 (1002188):[/root]echo "this is a test2"

Apr 6 10:38:01 1002165 root: [euid=root]:root pts/1 Apr 6 10:37 (1002188):[/root]echo "this is a test3"

Apr 6 10:38:04 1002165 root: [euid=root]:root pts/1 Apr 6 10:37 (1002188):[/root]echo "this is a test4"

Apr 6 10:38:06 1002165 root: [euid=root]:root pts/1 Apr 6 10:37 (1002188):[/root]echo "this is a test5"

返回参数分别为：#操作时间 #操作IP #有效用户 #实际登陆时间 #路径 #使用的命令