Linux syslog日志如何合规

Linux syslog日志合规落地指南

一 合规目标与关键控制点

• 覆盖的日志类型与位置：系统日志（如 /var/log/messages）、安全日志（如 /var/log/auth.log 或 /var/log/secure）、内核与启动日志（如 /var/log/dmesg、/var/log/boot.log）、服务与应用日志（各自应用目录）。这些文件是审计取证与合规检查的主要对象。
• 记录内容要素：至少包含时间戳（权威时间源）、用户/用户ID、源地址/终端、事件成功或失败、涉及敏感数据的增删改、事件细节。时间同步建议统一通过 NTP 对齐。
• 留存周期：依据适用标准设定，常见基线为≥3个月易访问存储、≥1年长期存储；部分场景（如等保2.0、ISO 27001、GDPR）会要求≥6个月或更长。
• 集中与防篡改：部署集中式日志服务器，启用加密传输与访问控制，降低单点失陷与篡改风险。
• 可用性与监控：配置日志轮转与压缩、磁盘空间监控、日志停滞告警，确保日志“写得出、存得住、查得到”。

二 配置与落地步骤

• 时间同步：统一配置 NTP，保证所有主机与日志服务器时间一致，确保审计时序与取证有效性。
• 本地日志分类与权限：在 /etc/rsyslog.conf 或 /etc/syslog.conf 中按设施分离关键日志，并设置严格权限（示例：内核、cron、authpriv 分离；secure 建议 0600）。
  示例：
  • kernel.* /var/log/kernel.log
  • cron.* /var/log/cron.log
  • authpriv.* /var/log/secure
• 远程集中与加密：客户端使用 @@remote:514（TCP+TLS） 发送，服务端启用 imtcp/TLS 并仅放行可信网段。
  服务端示例：
  • module(load=“imtcp”)
  • input(type=“imtcp” port=“514” protocol=“tcp” tls=“on”)
    客户端示例：
  • . @@remote-log-server:514
• 日志轮转与留存：通过 logrotate 设置按日轮转与压缩，保留周期满足合规基线（如 180天≈6个月）。
  示例（/etc/logrotate.d/syslog）：
  • /var/log/messages /var/log/secure /var/log/cron {
    • daily
    • rotate 180
    • compress
    • dateext
    • sharedscripts
    • postrotate /bin/kill -HUP $(cat /var/run/syslogd.pid 2>/dev/null) || true
    • endscript
  • }
• 启动与内核日志：确保 klogd 正常工作，收集内核消息；启动日志统一落盘（如 /var/log/boot.log），便于审计追溯。
• 完整性保护：对集中日志目录设置最小权限与访问控制，必要时启用传输加密与磁盘/文件级加密，并定期备份。

三 留存周期与存储架构示例

• 小站点（<20台）：优先保证正确轮转与归档、日志停滞告警；
• 中大站点（≥20台）：采用集中式收集与分析，统一策略与审计。

四 审计与监控要点

• 完整性校验：定期校验日志目录与关键文件权限、属主与完整性；对集中服务器开启访问审计。
• 可用性监控：对 /var/log 容量设置阈值告警；对日志文件停止增长触发告警（可能意味着日志代理异常）。
• 安全事件告警：对 authpriv 的失败登录、提权、关键配置变更等配置实时告警规则，联动工单/短信/邮件。
• 合规核查清单：
  • 时间源统一（NTP）
  • 关键日志分类与权限正确（如 /var/log/secure 0600）
  • 远程传输启用 TLS
  • 留存周期达到基线（3个月/6个月/1年）
  • 轮转与压缩策略生效、可回溯
  • 集中服务器访问受限且可审计

五 常见不合规点与快速整改

• 仅本地留存且周期不足：补充远程集中与logrotate策略，将关键日志保留至≥6个月（或按标准调整）。
• 使用明文 UDP 514：改为 TCP+TLS，并在防火墙仅放行可信源。
• 权限过宽：收紧 /var/log/secure、/var/log/messages 等文件权限与属主。
• 缺少时间同步：部署 NTP，确保所有节点与日志服务器时间一致。
• 无监控与告警：增加磁盘容量阈值与日志停滞告警，配置关键事件实时通知。