對(duì)于VDI環(huán)境中的審計(jì)來說，最好的防守方式就是進(jìn)攻。如果你已經(jīng)制定并合理部署了完善的日志文件監(jiān)控策略，那么你的過程就會(huì)更加輕松，并且為審計(jì)需求做好了準(zhǔn)備。

完善的準(zhǔn)備和計(jì)劃能夠讓日志文件監(jiān)控滿足任何審計(jì)申請(qǐng)或需求。如果你現(xiàn)在沒有使用日志文件或者用戶行為監(jiān)控工具，那么應(yīng)該開始考慮部署了。在現(xiàn)在或者將來需要進(jìn)行審計(jì)的時(shí)候可以提出完整的解決方案，并且不會(huì)缺失以前的數(shù)據(jù)。審計(jì)部門甚至?xí)兄x你。需要注意的是，要選擇可以滿足所有需求的日志文件和用戶行為監(jiān)控工具。

日志文件是核心

對(duì)于虛擬桌面基礎(chǔ)設(shè)施（VDI）環(huán)境說，部署日志文件監(jiān)控和整合系統(tǒng)是審計(jì)的強(qiáng)制性要求。需要使用那些支持環(huán)境中所有操作系統(tǒng)和平臺(tái)的日志監(jiān)控工具。

為了應(yīng)對(duì)任何可能的審計(jì)需求，你應(yīng)該定期對(duì)服務(wù)器、存儲(chǔ)設(shè)備和用戶桌面進(jìn)行監(jiān)控和日志文件整合。你還需要對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控以便能夠了解環(huán)境中的所有情況。對(duì)于那些運(yùn)行常用操作系統(tǒng)，比如Linux或者Windows的網(wǎng)絡(luò)設(shè)備，你可以使用常規(guī)的日志監(jiān)控工具進(jìn)行監(jiān)控。除此之外，對(duì)于那些運(yùn)行嵌入式系統(tǒng)的網(wǎng)絡(luò)設(shè)備，還需要使用系統(tǒng)日志syslog進(jìn)行監(jiān)控，所以需要確保你選擇的日志文件監(jiān)控系統(tǒng)能夠接收系統(tǒng)日志syslog信息。

為了制定和部署一套綜合的日志文件監(jiān)控系統(tǒng)，首先需要制定策略來將所有日志文件存儲(chǔ)在一個(gè)集中的、具有容錯(cuò)功能的存儲(chǔ)系統(tǒng)當(dāng)中。如果你的環(huán)境中有幾百甚至數(shù)千臺(tái)服務(wù)器，就應(yīng)該以一種能夠輕松讀取的方式收集和存儲(chǔ)大規(guī)模的日志數(shù)據(jù)。大多數(shù)的綜合性日志監(jiān)控工具都針對(duì)日志文件數(shù)據(jù)提供了集中式存儲(chǔ)系統(tǒng)，但是一些低端系統(tǒng)可能只包含了日志文件數(shù)據(jù)自動(dòng)收集功能。

如果你購買了一個(gè)不具有集中數(shù)據(jù)整合以及檢索功能的日志監(jiān)控工具，那么就需要自己想方法來針對(duì)這些功能進(jìn)行自動(dòng)化。所以需要認(rèn)真考慮選擇低端日志文件監(jiān)控工具節(jié)省下來開支，是否足夠構(gòu)建自己的數(shù)據(jù)整合流程。部署沒有自動(dòng)整合以及日志數(shù)據(jù)存儲(chǔ)的日志文件管理工具的成本價(jià)格分析顯示，購買具有日志數(shù)據(jù)整合功能的工具更加容易和劃算。

確保你選擇的日志監(jiān)控系統(tǒng)可以搜索常見的重要錯(cuò)誤信息。它還應(yīng)該允許你依據(jù)自定義日志文件錯(cuò)誤信息進(jìn)行搜索、創(chuàng)建報(bào)警。獲得最高評(píng)價(jià)的日志監(jiān)控工具包括ManageEngine EventLog Analyzer、Paessler PRTG Network Monitor、Splunk 和LogMeister。如果你已經(jīng)運(yùn)行了支持日志文件監(jiān)控的計(jì)算監(jiān)控工具，在選擇另外一款工具時(shí)就需要注意避免購買同樣的功能。

鍵盤記錄器和用戶行為監(jiān)控

針對(duì)VDI環(huán)境進(jìn)行審計(jì)的下一步是考慮在VDI桌面上部署鍵盤記錄器和用戶行為監(jiān)控工具。它們都是非常有用的工具，可以記錄員工在公司的計(jì)算資源上執(zhí)行了哪些操作。

鍵盤記錄器將每個(gè)用戶的鍵盤輸入記錄都存儲(chǔ)在一個(gè)日志文件當(dāng)中，你可以搜索關(guān)鍵錯(cuò)誤。它們可以讓你監(jiān)控員工是否遵守企業(yè)或監(jiān)管規(guī)定。作為IT或監(jiān)管審計(jì)的一部分，在滿足其對(duì)用戶日志數(shù)據(jù)的審查時(shí)，這種信息是至關(guān)重要的。

相比于鍵盤記錄，用戶行為監(jiān)控的功能更進(jìn)一步，其收集的日志數(shù)據(jù)包含了日常的用戶截圖、文件傳輸、活動(dòng)和非活動(dòng)時(shí)間段、在線搜索、瀏覽的網(wǎng)站等信息。用戶行為監(jiān)控是監(jiān)控員工行為最為深入的方式，但是相比于標(biāo)準(zhǔn)的日志文件監(jiān)控，用戶行為監(jiān)控工具所產(chǎn)生的數(shù)據(jù)可能十分龐大，所以需要確保對(duì)用戶行為監(jiān)控?cái)?shù)據(jù)進(jìn)行恰當(dāng)?shù)卣弦约按鎯?chǔ)。

用戶行為監(jiān)控工具的主要使用場(chǎng)景是合規(guī)性審計(jì)和刑事調(diào)查。ObserveIT、Dell Quest One和SpectorSoft Spector 360都是綜合性用戶行為監(jiān)控工具。

關(guān)聯(lián)日志、鍵盤記錄和用戶行為

日志文件監(jiān)控流程的最后一步就是在不同的系統(tǒng)和平臺(tái)上，設(shè)計(jì)實(shí)現(xiàn)日志文件關(guān)聯(lián)的方式。

日志數(shù)據(jù)關(guān)聯(lián)可以在收集數(shù)據(jù)的所有平臺(tái)上，實(shí)現(xiàn)相關(guān)日志信息的自動(dòng)鏈接。比如，你可以將網(wǎng)絡(luò)設(shè)備的緩存區(qū)溢出錯(cuò)誤和服務(wù)器以及用戶桌面上顯示性能下降的日志文件錯(cuò)誤相關(guān)聯(lián)。如果沒有進(jìn)行關(guān)聯(lián)，你需要對(duì)這三種錯(cuò)誤信息進(jìn)行分別調(diào)查，而不知道其他錯(cuò)誤信息可能與此相關(guān)。通過在集中日志數(shù)據(jù)存儲(chǔ)中運(yùn)行關(guān)聯(lián)工具，就可以輕松地找出網(wǎng)絡(luò)緩存溢出是這三種錯(cuò)誤信息的根本原因。

CorreLog、Logscape 和Tenable的日志關(guān)聯(lián)引擎是日志文件關(guān)聯(lián)工具的主要代表，可以幫助你在解決VDI問題時(shí)節(jié)省時(shí)間和金錢。