审计追踪的设计

什么是审计追踪（Audit Trail）服务？ 审计轨迹（Audit trail、Audit log），也译作审计追踪、审计跟踪、审计日志、文件日志或轨迹纪录等名称，是一种作为信息系统审计手段的与安全相关的时间顺序记录、记录集和/或目的地和记录来源，它们提供了在任何时候影响特定操作，程序的活动顺序的文件证据或事件。 审计记录通常来自一些活动，例如：金融交易、科学研究和医疗保健数据交易，或个人、系统、账号以及其他实体的通信等活动。 透过对系统上的活动作时间顺序的纪录，从而监察系统是否存在违规的活动，协助审核人员快速的找出相关的交易资料。 ——维基百科 审计追踪服务应该具备哪些能力？ 日志内容不可篡改。 日志链结构完整：不可任意添加或删除单独的日志条目。 兼容性：发送日志的客户端应该避免侵入式设计。 系统的加密服务应该尽早初始化，以减少未受保护的日志。 服务重启/关闭不应导致审核日志不一致。如果服务因紧急情况而关闭，审计日志应该是可验证的。 密钥安全性：加密密钥（用于计算完整性检查）应存储在专用密钥存储中，并在内存中驻留最短的时间。 性能：能够在几秒钟内验证受保护日志。 日志轮换友好性：审核日志应与分布式系统典型的日志轮换策略兼容。 可观测性：日志易于被解析（machine-readable）、人类可读（human-readable）。兼容主流日志处理程序的格式，维度设计便于日后做过滤筛选。 审计追踪涉及的行业标准 常见的工业标准有 IEC62443、NIST SP 800-92。 工业标准 章节 安全级别 IEC 62443-4-2:2019 CR2.8 SL-C 1 IEC 62443-4-2:2019 CR6.1 SL-C 1 IEC 62443-4-2:2019 CR6.2 SL_C 2 IEC 62443-4-2:2019 CR1.13 SL_C 1 IEC 62443-4-2:2019 CR2.9 SL_C 1 IEC 62443-4-2:2019 CR2.10 SL_C 1 IEC 62443-4-2:2019 CR3.7 SL_C 1 IEC 62443-4-2:2019 CR3.9 SL_C 2 常见问题及应对措施 日志格式（协议） 对于本地运行的软件，通常 Syslog 具有更好的系统兼容性。对于使用 ELK 采集日志的项目更适合用 CEF，其他情况建议使用 自定义的 JSON。