日志不是出了事才翻的救火手册
公司路由器突然断了,IT小李急得满头大汗,翻了一圈系统日志,发现关键时间段的数据早被覆盖了。这种场景在中小公司太常见了——设备开着日志功能,但没人管格式、保存时间、访问权限,真出问题时,日志反而成了摆设。
企业网络日志不是“有就行”,它得规范、能查、可追溯。一套靠谱的日志记录规范,其实不靠多高级的系统,而是靠清晰的规则和日常执行。
记录什么?别漏掉关键节点
很多人以为日志就是防火墙和服务器的事,其实从员工连Wi-Fi开始,链条上的每个环节都该留痕。典型的记录对象包括:
- 核心交换机和路由器的配置变更
- 防火墙的访问控制与拦截行为
- 员工终端接入时间与IP分配(DHCP日志)
- 代理服务器的网页访问请求
- VPN登录尝试与会话记录
比如销售部的小王上周用手机连内网传文件,结果第二天电脑中了木马。如果当时没有记录无线接入日志,根本没法回溯是从哪个设备引入的风险。
格式统一,才能快速定位
不同设备打出来的日志五花八门,有的时间戳是本地时间,有的用UTC;有的字段用英文缩写,有的干脆是中文。一出事,排查起来像破译电报。
建议统一使用Syslog标准,并强制所有设备同步NTP时间。日志条目至少包含:时间戳、设备类型、IP地址、事件类型、操作详情。
<14>Jan 15 09:23:11 FW-01 firewall DENY src=192.168.10.22 dst=10.1.5.8 proto=TCP sport=50432 dport=3389 msg="Blocked RDP attempt from untrusted zone"</code>这样的格式,谁来看都清楚发生了什么。
存多久?合规和实际要平衡
有人图省事只保留三天,硬盘满了就自动覆盖。这等于把监控录像设成循环录制,贼都跑了,视频早就没了。
一般建议:
- 安全类日志(如登录失败、策略变更)至少保留180天
- 常规运行日志保留30天
- 涉及金融、医疗等行业的,按监管要求延长至一年以上
某制造企业曾因一次内部数据泄露被查,监管部门直接调取日志审计。幸好他们保留了半年的访问记录,才证明不是系统漏洞而是员工误操作,避免了高额罚款。
谁能看?权限不能“一刀切”
日志本身也是敏感数据。让所有人可读,可能被篡改或外泄;锁得太死,真正需要排查的人又调不出来。
合理做法是分级授权:普通运维只能看本职相关设备的日志,安全管理员可全局检索,且所有查看行为本身也要记日志。就像保险柜,谁开过,什么时候开的,都得留记录。
定期抽查,别等出事才验证
很多公司年检时才想起日志系统,结果发现几个月前就已经没采集数据了。建议每月抽一次典型事件做回溯演练,比如模拟一次异常登录,看能否通过日志链完整还原路径。
日志规范不是贴在墙上的制度,而是跑在系统里的习惯。设备会老化,人员会流动,但只要日志持续、规范地记录下来,问题就有迹可循。