《不花钱解决网络安全问题》摘记

这一系列文章是阅读《Secure Your Network for Free: Using NMAP, WIRESHARK, SNORT, NESSUS, and MRTG》时的摘要记录，并非原文翻译，仅供学习者参考。如果对部分技术内容的细节感兴趣，可以查阅原书或其他相关技术讨论文章。

第五章 管理事件日志

Windows 事件日志

Windows 事件日志分为六类：应用、安全、系统、目录服务，DNS，文件复制。Windows 提供事件查看器 eventvwr.exe 来帮助查看日志。

1. 利用组策略生成事件日志：可以在微软管理命令行（MMC）配置审计策略以生成事件日志。可以对用户登录、账户管理、目录服务接入、系统登录、目标（打印机、注册表、文件夹、文件等由 SACL 定义的内容）接入、策略更改、权限使用、进程追踪、系统时间等内容进行审计。可以将审计策略应用于域控制器以实现对所有用户的监测。
2. 生成定制的事件日志条目：logevent.exe 和 eventcreate.exe 可以协助你生成定制的事件日志条目。
3. 集中事件日志：当你想查看网络上多台主机的事件日志时，将它们统一收集会使分析工作更加便利。eventlog.pl 可以将日志导出到文本文件。eventquery.vbs 可以协助过滤事件。EventCombMT 是一款有 GUI 的工具，可以协助进行远程日志查询和导出。Log Parser 可以协助进行日志的解析。
4. 分析事件日志：除了导出日志 eventlog.pl 还可以清除日志、查询日志属性，结合 eventquery.vbs 可以列出大部分的安全事件。当你想在产生日志的主机上进行日志处理是，可以使用 eventtrigger.exe 来制定特定事件被日志记录后执行的操作。Event Log XP 可以支持日志的集中管理和查看。NTLast 是一款可以免费分析 IIS 日志的应用。可以将 Windows 日志转换为 syslog 软件支持的格式，并通过 Linux 系统下的免费软件进行分析。

Syslog 事件日志

Syslog 采用服务器-客户端的方式进行部署，服务器接收从客户端采集并传回的日志。在服务器端，syslog 监听 UDP 514端口，且在无特殊防护的情况下，采用明文传输日志内容。因此如 NGsniff 一类的嗅探软件可以用于截取 syslog 消息。

Windows Syslog

1. 创建 Syslog 事件：利用 Windows 的事件生成工具生成原生的 Syslog 存在诸多不便，直接将 Windows 的事件日志转换成 Syslog 格式的日志是不错的选择。Eventlog to Syslog Utility、NTsyslog，和 SNARE 都是可以免费实现这一功能。
2. 加密 Syslog 通信：
   1. 可以利用 DTLS （TLS 的一个扩展协议）加密 UDP；在客户端和服务器之间设置 IPsec 通道可以为 UDP 的传输提供安全环境。在 Windows 系统下，IPsec 相关设定由 IPsec 策略控制。
   2. 使用 TCP 替代 UDP 通信可以提高 syslog 通信的安全性。KiwiSyslog 是一款支持以 UDP 和 TCP 协议接收 syslog 消息的免费服务器程序。但很难找到支持将 Windows 事件日志转换成 Syslog 格式并通过 TCP 传递的免费客户端软件。当采用 TCP 传输 Syslog 消息时，可以利用 SSL 对 TCP 连接进行加密。
   3. 如果服务器和客户端都运行于 Windows 系统下，可以使用 Kiwi Enterprise 提供的一款免费的 syslog 隧道应用。该应用支持 TCP 和 UPD 协议。
3. 接收 Syslog 事件：当采用 Windows 系统作为 Syslog 服务器时，可以安装免费的 Kiwi Syslog Daemon 接收 Syslog 事件日志，该软件还可以配置以接收 SNMP 报警消息。

Linux Syslog

在 Linux 系统下，诸如 syslogd 或 syslog-ng 等支持 syslog 的后台服务程序随系统一同安装并启用。较新的 Linux 发行版本中常采用 syslog-ng，其可以支持基于 TCP 传输 syslog 信息，因此更便于加密。

1. 创建 Syslog 事件：Linux 下可使用 man syslog 打开查看使用手册。
2. 加密 Syslog 通信：利用 syslog_ng 可以通过 TCP 发送 syslog 信息，从而便于进行加密。
3. 配置 Stunnel： 可以提供全局的 TLS/SSL 加密服务。
4. 配置 OpenSSH：可以利用 SSH 的端口转发功能实现类似 Stunnel 的加密作用。
5. 配置 IPsec：随 Linux 系统自带对 IPsec 的支持，可以用于建立安全的通信通道。
6. 接收 Syslog 事件：针对标准的 syslog 服务，可以编辑 /etc/sysconfig/syslog/syslog 文件来配置服务。在文件的 SYSLOG_OPTIONS 清单内增加 -r 并重启 syslog 服务，则系统开始舰艇 UPD 514 端口的 syslog 消息。使用 syslog-ng 则需要编辑 /etc/syslog-ng/syslog-ng.conf 文件。

在 Windows 和 Linux 下分析 Syslog 日志

实时分析对系统要求较高，相对的离线分析因为对计算资源和完成时间的要求较低，被更广泛的应用。

1. Windows 日志分析：

   软件名称	说明	授权版本
   Kiwi Logfile Viewer		免费
   EventLog Analyzer 4	用 Java 编写	免费
   Kiwi Syslog Daemon	支持过滤规则	免费

   为了接收日志分析产生的预警邮件，可以用以下软件设置 SMTP 服务。

   软件名称	说明	授权版本
   Blat	命令行 SMTP	免费
   Vmailer	命令行 SMTP	免费
   Bmail	命令行 SMTP	免费

2. Linux 日志分析：swatch 和 logwatch 可以提供通用目的的日志分析功能。

   1. Swatch：支持实时分析日志并根据设定的规则执行操作。
   2. Logwatch：用于离线分析日志并报告。

保护事件日志

为保证监管连续性和日志完整性，需要采取措施，保护生成的日志不被非法删除或意外丢失。

1. 保障监管连续性：对设备/系统/网络的监管连续性指的是掌握所有时刻的资源使用情况和相关用户。
   1. 利用文件访问授权，严格限制只有必要的用户具有访问日志文件的权限。
   2. 在物理防护方面，要限制可以访问到存储日志文件的物理介质的用户。
   3. 记录所有对日志文件的访问行为。
2. 保障日志完整性：
   1. 在日志生成时计算文件的 hash 值，并存入仅可读的位置，便于有效的验证日志完整性。
   2. Fsum 可以计算日志的 hash 值，提供免费个人版，但商用版需付费。
   3. openSSL 系列软件也可以用于计算日志的 hash 值。

专家知识的作用

1. 制定监管实施策略：列出进行日志管理的主机，监管事件范围，估算其产生日志的数量和速度，确定日志收集服务器的部署位置。
2. 制定日志管理策略：明确日志的管理方案，日志审计的目标，预警的处理规则，如何保障日志数据的保密性，如何进行备份等。相关管理策略需要符合所在单位的工作规范。