为什么要把审计日志存到远程
公司服务器被黑了,排查时发现本地日志全被清空。这种情况并不少见——攻击者入侵后第一件事就是抹掉痕迹。如果审计日志只存在本机,等于把所有鸡蛋放在一个篮子里。
远程存储的核心作用就是隔离风险。把日志实时同步到独立的、权限更严格的系统中,即使主服务器出问题,审计记录依然完整可查。这不仅是安全防护的基本要求,也是等保、GDPR这类合规检查的硬性指标。
常见远程存储方案选择
最常用的三种方式是日志服务器(如Syslog)、SIEM平台(比如Splunk、ELK)和云存储服务(如AWS CloudTrail + S3)。
中小团队用Syslog最省事。Linux系统自带rsyslog或syslog-ng,改几行配置就能把认证日志、命令执行记录发到指定IP。例如在/etc/rsyslog.conf里加上:
*.* @@192.168.10.50:514这行的意思是把所有优先级的日志通过TCP协议发往192.168.10.50的514端口。注意用@@表示TCP,@则是UDP——前者更可靠,避免网络波动丢数据。
配置要点与避坑指南
有个客户曾经配好了远程转发,结果发现sudo操作没传过去。查了一圈才发现是sudo的日志默认走authpriv通道,而他的过滤规则只收了*.info以上的消息。正确写法应该是:
authpriv.* @@logs.company.com:514
*.* @@logs.company.com:514另外建议开启TLS加密。公网传输明文日志等于在路上贴公告。用rsyslog的omfwd模块配合证书,能防止中间人窃取敏感信息。内网环境也别大意,横向移动攻击很常见。
存储端要设自动归档策略。见过有人攒了几百GB日志全塞在一个文件里,查一条记录卡得像老式录像机。按天切割+gzip压缩是基本操作,保留周期根据行业要求定,一般不少于180天。
验证是否生效
配完别急着打勾完成。在客户端执行sudo ls /root这类触发审计的动作,立刻去目标服务器用tcpdump抓包确认:
tcpdump -i eth0 -A port 514 | grep sudo能看到原始日志流才算真正打通。再检查下存储目录的文件更新时间,双重验证更稳妥。
定期抽查日志完整性也很关键。可以写个脚本比对源主机和远程库的事件数量,差异超过5%就告警。自动化监控才能避免“以为开着其实早断了”的尴尬。