什么是日志保留？

日志不必是冗長(zhǎng)、復(fù)雜的文本文件。日志是臨時(shí)數(shù)據(jù)事件，可以來自任何地方——客戶端更新事件、網(wǎng)絡(luò)流數(shù)據(jù)、Web 服務(wù)器日志等等。所有數(shù)字操作都會(huì)創(chuàng)建日志。然而，即使收集了所有日志，也并非全部都被存儲(chǔ)。 

日志收集和集中式日志聚合過程之后是日志保留。保留日志是任何成功的網(wǎng)絡(luò)安全策略的關(guān)鍵組成部分。 

日志保留是指事件日志的歸檔，特別是與安全相關(guān)的事件日志，涉及存儲(chǔ)這些日志條目的持續(xù)時(shí)間。這些條目通常指所有網(wǎng)絡(luò)安全，允許公司保存有關(guān)安全相關(guān)活動(dòng)的信息。通過保存記錄，IT 團(tuán)隊(duì)可以深入了解網(wǎng)絡(luò)上發(fā)生的活動(dòng)。

例如，系統(tǒng)上執(zhí)行了哪些活動(dòng)以及何時(shí)執(zhí)行？該活動(dòng)涉及哪些用戶賬戶或軟件以及結(jié)果是什么？

什么是日志保留策略？

在遵循最佳實(shí)踐時(shí)，您需要考慮的步驟之一是創(chuàng)建和管理日志保留策略。在此策略中，您將概述日志存儲(chǔ)要求。

其他考慮因素包括：

• 您將存儲(chǔ)什么類型的信息以及存儲(chǔ)多長(zhǎng)時(shí)間
• 數(shù)據(jù)保密性 
• 線上與線下數(shù)據(jù) 

一個(gè)關(guān)鍵的起點(diǎn)是存儲(chǔ)防火墻日志（主機(jī)或網(wǎng)絡(luò)）、入侵檢測(cè)系統(tǒng) (IDS) 日志和審核日志的壓縮副本。 

以下是布法羅大學(xué)日志保留政策的示例。例如，日志文件保留時(shí)間在此策略的日志文件保留指南中指定。默認(rèn)日志保留時(shí)間為 30 天，除非日志文件類型屬于三個(gè)類別之一，例如 IDM 審核或 UNIX 身份驗(yàn)證/登錄。在這些情況下，保留時(shí)間為六個(gè)月。策略中概述了有關(guān)如何處理日志文件的說明。根據(jù)您的組織和基礎(chǔ)設(shè)施，您的策略可能會(huì)更復(fù)雜。 

您還可以為每個(gè)系統(tǒng)創(chuàng)建多個(gè)保留策略，然后根據(jù)其重要性確定優(yōu)先級(jí)。任何與安全相關(guān)的內(nèi)容都應(yīng)該成為擴(kuò)展日志保留策略的一部分。例如，與用戶身份驗(yàn)證或信用卡授權(quán)相關(guān)的數(shù)據(jù)。會(huì)計(jì)和稅務(wù)合規(guī)軟件也可能需要更長(zhǎng)的保留策略，因?yàn)楣緦徲?jì)師和政府當(dāng)局可以要求追溯分析。 

應(yīng)用程序的使用頻率也是需要考慮的因素。如果您不經(jīng)常使用某個(gè)應(yīng)用程序（例如每月一次），您將需要考慮延長(zhǎng)保留策略，以防開發(fā)人員需要驗(yàn)證問題的根源。較低的使用頻率將需要開發(fā)人員進(jìn)一步回溯以進(jìn)行有效調(diào)試。 

對(duì)業(yè)務(wù)記錄進(jìn)行分類

在日志保留策略中，您必須根據(jù)不同的類別對(duì)日志進(jìn)行分類。其中包括以下內(nèi)容。 

• “必須保留”日志— 這些是法律要求您存儲(chǔ)的文件和事件。此類別還應(yīng)優(yōu)先考慮可能與潛在法律問題相關(guān)的日志。根據(jù)與您所在行業(yè)相關(guān)的法規(guī)和法律要求的時(shí)間長(zhǎng)度存儲(chǔ)這些日志，或者直到它們不再與潛在的法律糾紛相關(guān)。 
• “想要保留”日志— 這些日志對(duì)您的業(yè)務(wù)有價(jià)值，但法律不要求存儲(chǔ)。您的策略應(yīng)規(guī)定這些記錄的適當(dāng)日志保留期限。您還應(yīng)該說明審查這些日志的頻率，以確定它們是否仍然具有任何重要性。 
• “銷毀”日志- 正如您會(huì)粉碎不再需要的任何硬拷貝文檔一樣，刪除過時(shí)的日志或您的公司未使用但構(gòu)成潛在安全威脅的日志也很重要。

盡管對(duì)您的組織來說最重要的日志會(huì)根據(jù)您的業(yè)務(wù)和整個(gè)行業(yè)的范圍而有所不同，但大多數(shù)組織都會(huì)優(yōu)先考慮以下日志類型。

• 用戶 ID 和憑據(jù) 
• 訪問關(guān)鍵資產(chǎn)的數(shù)據(jù)和時(shí)間（例如防火墻的激活和停用、重要安全事件等）
• 失敗和成功的登錄嘗試 
• 對(duì)系統(tǒng)配置進(jìn)行的更改 
• 事件詳情 

什么是日志保留期？

日志保留期是保留日志的時(shí)間長(zhǎng)度。例如，您可以將審核日志和防火墻日志保留兩個(gè)月。但是，如果您的組織必須遵守嚴(yán)格的法律和法規(guī)，您可以將最重要的日志保留六個(gè)月到七年。該時(shí)間范圍就是日志保留期。 

長(zhǎng)時(shí)間保留日志對(duì)于安全和合規(guī)性措施來說是最佳選擇。然而，這可能會(huì)變得昂貴。這就是為什么您需要?jiǎng)?chuàng)建概述設(shè)置日志保留期限的日志保留策略。 

考慮一個(gè)典型的漏洞發(fā)現(xiàn)時(shí)間表來證明日志保留期的合理性。發(fā)現(xiàn)事件的平均時(shí)間為100 到 200 天，具體取決于來源。從這個(gè)意義上說，保留日志一年是明智的。 

日志數(shù)據(jù)應(yīng)該存儲(chǔ)多長(zhǎng)時(shí)間？

這個(gè)問題的答案是視情況而定。 

雖然有些公司將日志數(shù)據(jù)存儲(chǔ)一年或更短時(shí)間，但有些組織必須遵守監(jiān)管要求。在這種情況下，您可能需要將安全日志保留幾年。每個(gè)組織都在不同的業(yè)務(wù)環(huán)境中運(yùn)作。一個(gè)組織可能會(huì)將日志保留六個(gè)月，而另一組織可能會(huì)將日志保留 18 個(gè)月以上。而我國(guó)在日志留存方面，通過《網(wǎng)絡(luò)安全法》進(jìn)行了明確，要求不低于六個(gè)月，這點(diǎn)與根據(jù)VISA 持卡人信息安全計(jì)劃 (CISP) 的規(guī)定是一致的。

關(guān)鍵是根據(jù)您的業(yè)務(wù)性質(zhì)了解您的組織需要遵守的要求。 

大多數(shù)組織發(fā)現(xiàn)至少一年可以滿足大多數(shù)監(jiān)管要求。但是，您必須注意組織的行業(yè)標(biāo)準(zhǔn)、法規(guī)和法律，以及公司的網(wǎng)絡(luò)安全問題。

例如，根據(jù)巴塞爾 II 協(xié)議，國(guó)際銀行必須保留其活動(dòng)日志3至7年。相比之下，根據(jù)VISA 持卡人信息安全計(jì)劃 (CISP) 的規(guī)定，電子商務(wù)公司必須將審核日志保存至少六個(gè)月。如果您從事醫(yī)療保健行業(yè)，則需要考慮《健康保險(xiǎn)流通與責(zé)任法案》(HIPAA)，該法案保護(hù)患者數(shù)據(jù)并將日志保留長(zhǎng)達(dá)六年。 

以下是一些主要考慮因素：

• 合規(guī)性— 出于哪些監(jiān)管原因需要保留日志消息以及保留多長(zhǎng)時(shí)間？網(wǎng)絡(luò)安全等級(jí)保護(hù)、GDPR、PCI、NISPOM和公司政策都在這里發(fā)揮作用。例如，您是否應(yīng)該將包含個(gè)人身份信息的特定日志保留較短的時(shí)間？這些日志的某些字段是否應(yīng)該加密？
• 運(yùn)營(yíng)需求——是否存在日志在事后有用的用例？例如，關(guān)于第三方版權(quán)主張或其他潛在的合法性問題？
• 成本——日志占用空間，而空間又要花錢?？傆幸惶?，存儲(chǔ)某些日志的時(shí)間會(huì)超過它們帶來的好處。 

什么是日志保留最佳實(shí)踐？

更好地保留安全日志的關(guān)鍵是遵循最佳實(shí)踐，從第一天起就實(shí)施主動(dòng)策略。當(dāng)涉及到公司的安全時(shí)，您始終希望保持主動(dòng)，而不是被動(dòng)。如果發(fā)生了一些事情而你沒有適當(dāng)?shù)南到y(tǒng)，那么你前進(jìn)的努力可能會(huì)太少、太晚。 

在組織大型 IT 環(huán)境時(shí)，日志管理可能具有挑戰(zhàn)性，這更有理由遵循最佳實(shí)踐。成功維護(hù)關(guān)鍵日志不僅僅是良好的安全態(tài)勢(shì)，采取以下步驟將在發(fā)生問題時(shí)提高您的安心感和持續(xù)的業(yè)務(wù)運(yùn)營(yíng)。您需要保護(hù)整個(gè) IT 基礎(chǔ)架構(gòu)，同時(shí)獲得寶貴的見解。 

集中歸檔數(shù)據(jù) 

如果發(fā)生問題，您的安全日志將充當(dāng)您需要調(diào)查的證據(jù)。如果沒有這些日志，您就無法進(jìn)行分析。建議您集中歸檔日志，以確保其完整性和合規(guī)性。 

歸檔這些日志時(shí)，您需要對(duì)其進(jìn)行加密和時(shí)間戳。其他技術(shù)（例如散列）也是增強(qiáng)安全性的最佳技術(shù)。您還應(yīng)該監(jiān)控日志，實(shí)施一個(gè)工具來識(shí)別問題并發(fā)送警報(bào)。 

最大化安全日志大小

根據(jù)您組織的要求，您應(yīng)該設(shè)置最大安全日志大小。這樣，您就可以通過向網(wǎng)絡(luò)添加更多數(shù)據(jù)來有效擴(kuò)展。您最不想看到的就是由于空間不足而丟失數(shù)據(jù)，尤其是當(dāng)您認(rèn)為自己保持合規(guī)性時(shí)。 

創(chuàng)建日志保留策略

與應(yīng)用程序日志數(shù)據(jù)相比，安全日志應(yīng)保留更長(zhǎng)的時(shí)間。如果您遇到違規(guī)或攻擊，您的日志就是證據(jù)。然而，永久保存日志并沒有什么好處，這正是日志保留策略發(fā)揮作用的地方，如前所述。創(chuàng)建日志保留策略為您的團(tuán)隊(duì)制定了需要遵循的關(guān)鍵準(zhǔn)則。

創(chuàng)建策略時(shí)，請(qǐng)重點(diǎn)關(guān)注日志安全性和日志保留。例如，您是否存儲(chǔ)客戶的數(shù)據(jù)或 API 的內(nèi)部訪問密鑰？這些示例是您要加密的數(shù)據(jù)類型。 

日志保留準(zhǔn)則很重要，但日志監(jiān)控也很重要。實(shí)施警報(bào)并自動(dòng)進(jìn)行日志監(jiān)控以提高安全性。您可以通過利用簡(jiǎn)化此過程的工具或平臺(tái)來實(shí)現(xiàn)這一目標(biāo) - 不要低估日志分析的價(jià)值。提供人工智能和機(jī)器學(xué)習(xí)能力的工具可以篩選日志以確定基線并檢測(cè)異常。 

不要使日志記錄過程過于復(fù)雜

如果您記錄太多事件，最關(guān)鍵的日志可能會(huì)變得難以查找。記錄最關(guān)鍵的事件，以免丟失或忽視重要信息。這些事件包括賬戶鎖定、登錄失敗和文件訪問。同樣，采取這一步驟將確保網(wǎng)絡(luò)安全和最佳的法規(guī)遵從性。此外，請(qǐng)確保所有系統(tǒng)時(shí)鐘同步以獲得更準(zhǔn)確的時(shí)間戳。 

確保日志記錄過程不過分復(fù)雜的最佳方法是投資一個(gè)能夠無縫執(zhí)行此步驟的平臺(tái)。此外，參與該過程的人員越多，出現(xiàn)錯(cuò)誤的可能性就越大。統(tǒng)一的平臺(tái)將使您能夠利用更高的自動(dòng)化程度。當(dāng)您可以輕松訪問調(diào)查整個(gè)技術(shù)生態(tài)系統(tǒng)中的問題所需的所有信息時(shí)，這將顯著加快該過程。

日志留存的重要性，是多方面的。在應(yīng)對(duì)內(nèi)部違規(guī)操作、外部攻擊方面，日志是溯源的第一手材料，是單位自己落實(shí)追究責(zé)任制的有力支撐，也是監(jiān)管部門破案的強(qiáng)有力的基礎(chǔ)。