设置日志审查
日志审查防护模块可帮助您确定隐藏在操作系统日志和应用程序日志中的重要事件。这些事件随后可以发送至安全信息和事件管理 (SIEM) 系统或集中式日志记录服务器,以进行关联、报告及归档。趋势科技服务器深度安全防护系统管理中心也会安全地收集所有事件。
有关将事件转发到 syslog 服务器或 SIEM 的信息,请参阅将事件转发到外部 Syslog 或 SIEM 服务器。
通过日志审查模块,您可以执行以下任务:
- 满足 PCI DSS 日志监控要求。
- 检测可疑行为。
- 在包含不同操作系统和多种应用程序的异构环境中收集事件。
- 查看事件,如错误事件和信息性事件(磁盘已满、服务启动、服务关闭等)。
- 创建和维护管理员活动的审计跟踪(管理员登录或注销、帐户锁定、策略更改等)。
本文档内容包括:
启用日志审查
以下是启用日志审查的典型过程:
1. 打开日志审查
您可以在计算机的设置中启用日志审查,或者也可以在策略中启用。要执行此操作,请打开策略编辑器或计算机编辑器,然后转至日志审查 > 常规。将配置设置为“打开”或“已继承 (打开)”,然后单击保存。
2. 运行“漏洞扫描 (推荐设置)”
在计算机上运行“漏洞扫描 (推荐设置)”,获取合适的规则建议。要执行此操作,请打开计算机编辑器,然后转至日志审查 > 常规。在“建议”部分,单击漏洞扫描 (推荐设置)。您也可指定趋势科技服务器深度安全防护系统实施它找到的规则建议。
有关“漏洞扫描 (推荐设置)”的更多信息,请参阅管理和运行“漏洞扫描 (推荐设置)”。
趋势科技编写的一些日志审查规则需要在本地进行配置才能正常运行。如果将这些规则之一分配给计算机或自动分配这些规则之一,则将发出警报以通知您需要进行配置。
规则需要经过设置后才能收集与您的要求有关的安全事件。如果设置不当,导致触发和存储的日志条目过多,此功能收集的事件可能会让趋势科技服务器深度安全防护系统不堪重负。
3. 应用日志审查规则
如前文所述,运行“漏洞扫描 (推荐设置)”时,您可以要求趋势科技服务器深度安全防护系统自动实施建议的规则。您也可以选择和手动分配规则。趋势科技服务器深度安全防护系统附有许多预定义的规则,涵盖了各种操作系统和应用程序。
在计算机编辑器或策略编辑器中,转至日志审查 > 常规。“已分配日志审查规则”部分会显示对此策略或计算机生效的规则。要添加或移除日志审查规则,请单击分配/取消分配。此时将出现一个窗口,显示可从中选择或取消选择规则的所有可用日志审查规则。
您可以在本地编辑日志审查规则,以便所做更改仅应用到所编辑的计算机或策略;或者也可以进行全局编辑,以便所做更改应用到使用该规则的所有其他策略或计算机。要在本地编辑规则,请右键单击该规则,然后单击属性。要在全局编辑规则,请右键单击该规则,然后单击属性 (全局)。
虽然趋势科技服务器深度安全防护系统附带用于许多常用操作系统和应用程序的日志审查规则,但您也可以选择创建自己的定制规则。要创建定制规则,您可以使用“基本规则”模板,也可以采用 XML 格式编写新规则。有关如何创建定制规则的信息,请参阅定义日志审查规则以在策略中使用。
处理日志审查事件
在趋势科技服务器深度安全防护系统管理中心中,由日志审查模块生成的事件会显示在事件和报告 > 日志审查事件下。事件标记有助于对事件进行排序,并确定哪些事件是正常事件,哪些需要作进一步调查。
您可以向事件手动应用标记,具体方法是右键单击事件,然后单击添加标记。您可以选择只将标记应用到选定的事件,或将标记应用到任何相似的日志审查事件。您也可使用自动标记功能对多个事件进行分组和标记。
有关详细信息,请参阅日志审查事件。
事件存储或事件转发阈值
“严重性剪辑”可让您将事件发送到 syslog 服务器(如果已启用)或根据日志审查规则的严重性级别存储事件。
在策略编辑器和计算机编辑器中,计算机或策略的详细信息窗口上的日志审查 > 高级下提供了以下两项“严重性剪辑”设置:
- 当客户端事件的严重性达到或超出以下级别时,将这些事件发送到 syslog:此设置决定了将这些规则触发的哪些事件发送到 syslog 服务器(如果已启用 syslog)。(要启用 syslog,请转至管理 > 系统设置 > 事件转发 > SIEM。)
- 当客户端事件的严重性达到或超出以下级别时,将这些事件存储在客户端中以供趋势科技服务器深度安全防护系统管理中心日后检索:此设置决定了哪些日志审查事件保存在数据库中并显示在日志审查事件页面中。