21、日志收集、存储与分析：保障系统安全的关键

日志收集、存储与分析：保障系统安全的关键

日志收集与存储的重要性

日志是系统运行的重要记录，对于安全调查和服务监控至关重要。即便成本高昂，也应尽量保留日志。早期删除日志虽能节省成本，但在发生安全漏洞时，缺失的日志数据会使调查陷入困境。若预算有限，可选择如 grep 服务器这样的低成本存储方案，因为大量无序存储的日志也比少量有序存储在昂贵数据库中的日志更有价值。当然，若预算充足，使用昂贵数据库能在日志访问方面提供显著优势。

日志访问层的设计

访问层的位置与功能

日志访问层位于日志管道的末端，为操作人员、开发人员和其他有需求的人员提供日志数据访问。它可以是简单的 SSH 堡垒主机，用于从存储服务器访问日志；也可以是复杂的 Apache Spark 集群，用于处理大规模数据集的分析任务。

安全保护

日志通常包含组织及其客户的敏感信息，如内部凭证、用户密码和 API 密钥等。因此，访问层必须防止欺诈性访问，保护原始日志的安全存储。同时，攻击者可能会试图删除其活动痕迹，所以除少数操作人员外，应严格限制对日志数据的删除权限。可使用带有多因素认证的 SSH 堡垒主机来保护原始日志的访问入口。

提供必要访问

为开发人员、操作人员和产品经理提供必要的访问权限是设计日志管道的重要部分。访问层至少应提供一组仪表板和聚合指标，组织成员可通过需要认证的 Web 界面轻松访问。

访问方式总结

<

访问内容	访问方式	安全措施