鑒于linux和Unix設備在組織中很流行,保護它們的安全需要一個可靠的策略。任何組織的安全策略中的必要組成部分之一就是審核系統日志。實時審核可以清楚地顯示網絡活動,并提前提醒管理員任何潛在的違規嘗試。
系統日志
使用像EventLog Analyzer這樣的自動化工具,可以使Unix和Linux設備上的系統日志審計高效,連續和即時。
一、使用EventLog Analyzer審核syslog設備
EventLog Analyzer提供的優點包括:
- 支持所有帶有大量預定義報告的Unix和Linux設備。
- 通過無代理技術收集系統日志,并根據需要選擇安裝代理。
- 集中歸一化和存儲日志。
- 通過靈活的歸檔選項保護和加密日志檔案。
- 有關重要事件的通知,例如嚴重錯誤和登錄失敗,以及實時電子郵件和SMS警報。
- 具有靈活的日志搜索選項的深入日志取證。
日志審計系統
二、EventLog Analyzer預定義的系統日志報告
EventLog Analyzer為來自Unix和Linux設備的系統日志提供了大量預定義的報告。Syslog報告可幫助管理員保護Unix和Linux設備免受內部威脅和外部突破嘗試的侵害。
EventLog Analyzer
EventLog Analyzer提供以下報告:
嚴重性:根據事件的嚴重性級別對所有事件進行分類。警告,嚴重和緊急事件可能表示嚴重的網絡問題。如果不及時糾正,攻擊者可能會利用其中的一些問題,例如網絡基礎設施中的缺陷,以獲取優勢。
系統事件:列出各種系統事件的發生,這對于識別需要進一步調查的異常事件很有用,例如意外關閉關鍵服務器或在奇數小時下載應用程序。
登錄和用戶帳戶監視:顯示成功和失敗的用戶登錄,用戶組更改以及密碼更改嘗試,這些嘗試可能表明存在惡意的內部威脅或受損的用戶帳戶。
數據保護:審核所有數據系統,例如可移動媒體,網絡文件系統和FTP操作。
審核sudo命令的使用:監視sudo命令的使用,該命令允許用戶利用其他用戶(通常是超級用戶或其他受限用戶)的安全特權。
郵件服務器審核:審核郵件服務器的活動,顯示有趣的趨勢或異常以進行進一步的調查,例如當特定域拒絕了幾封電子郵件時。
網絡錯誤:突出顯示網絡上的幾種錯誤,例如反向查找錯誤或無效的連接錯誤。這些錯誤對于確定網絡上的薄弱環節很有用。
