概述网络安全审计是指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。网络安全审计的作用在于建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便于发现潜在的网络安全威胁行为,开展网络安全风险分析及管理。常见的网络安全审计方式,采用日志记录服务器统一集中存储系统、设备产生的日志信息,本期就日志记录服务器中的syslog协议向各位小伙伴分享一篇文章。参考依据GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》,网络安全审计日志需集中收集存储,即:应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。《中华人民共和国网络安全法》 第三章 第二十一条明确规定:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。RFC标准:RFC 3164、RFC 5424关键词网络安全审计、Syslog、UDP 514、Facility、Severity和PrioritySyslog参考RFC 3164对syslog定义设备、通信端口、数据包组成以及Facility值、Severity值和Priority值进行说明。定义设备产生日志的设备被定义为Device,接收日志并转发日志给另外一台设备的设备被定义为Relay,接收日志并且不转发日志的设备被定义为Collector,就是我们常说的日志记录服务器。备注:RFC 5424文档中定义originator来代替Device,定义transport sender将采用特定的传输协议发送syslog消息,定义transport receiver将采用特定的传输协议接收syslog消息。Relay和Collector保持不变。Syslog服务端口Syslog采用UDP作为其底层传输层机制,默认通信端口UDP 514。RFC文档建议Device采用源端口514发送日志,以此表明日志消息来自发送方的syslog进程。备注:RFC 5424文档中未指定任何传输层协议,而是以独立于传输层的方式描述syslog消息的格式。Syslog组成完整的syslog消息由3部分组成,分别是PRI,HEADER和MSG,其中PRI字段包含Facility和严重性(Severity),HEADER包含了时间戳、主机名或设备IP等,MSG是日志消息主体。Syslog消息总长度数据包必须小于等于1024字节,未定义最小长度的syslog消息数据包。备注:RFC 5424文档中定义syslog格式如下所示,详情参见RFC文档。SYSLOG-MSG = HEADER SP STRUCTURED-DATA [SP MSG]Facility值、Severity值和Priority值备注:关于Facility值、Severity值和Priority在RFC 3164和RFC 5424文档中描述基本一致。Facility值和Severity值以十进制进行编码。通常情况,一些操作系统守护进程和进程已分配Facility值,而守护进程和进程未分配Facility值的则采用“local use”或者“user-level”方式。已分配Facility值如下表所示。Numerical CodeFacility0kernel messages1user-level messages2mail system3system daemons4security/authorization messages (note 1)5messages generated internally by syslogd6line printer subsystem7network news subsystem8UUCP subsystem9clock daemon10security/authorization messages11FTP daemon12NTP subsystem13log audit14log alert15clock daemon16local use 0 (local0)17local use 1 (local1)18local use 2 (local2)19local use 3 (local3)20local use 4 (local4)21local use 5 (local5)22local use 6 (local6)23local use 7 (local7)每个syslog消息Priority由Severity值表示,常见Severity值如下表所示。Numerical CodeSeverity0Emergency: system is unusable1Alert: action must be taken immediately2Critical: critical conditions3Error: error conditions4Warning: warning conditions5Notice: normal but significant condition6Informational: informational messages7Debug: debug-level messagesPriority值= Facility值*8+Severity值;例如:Facility是“local use 4”对应20,Severity是Notice对应5,那么Priority值=20*8+5=165。参考连接RFC 3164http://www.faqs.org/rfcs/rfc3164.htmlRFC 5424http://www.faqs.org/rfcs/rfc5424.html总结本期本章就网络安全审计概念、依据和syslog协议进行总结,不足之处,欢迎各位小伙伴留言指正。
本文出自快速备案,转载时请注明出处及相应链接。