什么是日志保留？

日志不必是冗長、復雜的文本文件。日志是臨時數據事件，可以來自任何地方——客戶端更新事件、網絡流數據、Web 服務器日志等等。所有數字操作都會創建日志。然而，即使收集了所有日志，也并非全部都被存儲。 

日志收集和集中式日志聚合過程之后是日志保留。保留日志是任何成功的網絡安全策略的關鍵組成部分。 

日志保留是指事件日志的歸檔，特別是與安全相關的事件日志，涉及存儲這些日志條目的持續時間。這些條目通常指所有網絡安全，允許公司保存有關安全相關活動的信息。通過保存記錄，IT 團隊可以深入了解網絡上發生的活動。

例如，系統上執行了哪些活動以及何時執行？該活動涉及哪些用戶賬戶或軟件以及結果是什么？

什么是日志保留策略？

在遵循最佳實踐時，您需要考慮的步驟之一是創建和管理日志保留策略。在此策略中，您將概述日志存儲要求。

其他考慮因素包括：

• 您將存儲什么類型的信息以及存儲多長時間
• 數據保密性 
• 線上與線下數據 

一個關鍵的起點是存儲防火墻日志（主機或網絡）、入侵檢測系統 (IDS) 日志和審核日志的壓縮副本。 

以下是布法羅大學日志保留政策的示例。例如，日志文件保留時間在此策略的日志文件保留指南中指定。默認日志保留時間為 30 天，除非日志文件類型屬于三個類別之一，例如 IDM 審核或 UNIX 身份驗證/登錄。在這些情況下，保留時間為六個月。策略中概述了有關如何處理日志文件的說明。根據您的組織和基礎設施，您的策略可能會更復雜。 

您還可以為每個系統創建多個保留策略，然后根據其重要性確定優先級。任何與安全相關的內容都應該成為擴展日志保留策略的一部分。例如，與用戶身份驗證或信用卡授權相關的數據。會計和稅務合規軟件也可能需要更長的保留策略，因為公司審計師和政府當局可以要求追溯分析。 

應用程序的使用頻率也是需要考慮的因素。如果您不經常使用某個應用程序（例如每月一次），您將需要考慮延長保留策略，以防開發人員需要驗證問題的根源。較低的使用頻率將需要開發人員進一步回溯以進行有效調試。 

對業務記錄進行分類

在日志保留策略中，您必須根據不同的類別對日志進行分類。其中包括以下內容。 

• “必須保留”日志— 這些是法律要求您存儲的文件和事件。此類別還應優先考慮可能與潛在法律問題相關的日志。根據與您所在行業相關的法規和法律要求的時間長度存儲這些日志，或者直到它們不再與潛在的法律糾紛相關。 
• “想要保留”日志— 這些日志對您的業務有價值，但法律不要求存儲。您的策略應規定這些記錄的適當日志保留期限。您還應該說明審查這些日志的頻率，以確定它們是否仍然具有任何重要性。 
• “銷毀”日志- 正如您會粉碎不再需要的任何硬拷貝文檔一樣，刪除過時的日志或您的公司未使用但構成潛在安全威脅的日志也很重要。

盡管對您的組織來說最重要的日志會根據您的業務和整個行業的范圍而有所不同，但大多數組織都會優先考慮以下日志類型。

• 用戶 ID 和憑據 
• 訪問關鍵資產的數據和時間（例如防火墻的激活和停用、重要安全事件等）
• 失敗和成功的登錄嘗試 
• 對系統配置進行的更改 
• 事件詳情 

什么是日志保留期？

日志保留期是保留日志的時間長度。例如，您可以將審核日志和防火墻日志保留兩個月。但是，如果您的組織必須遵守嚴格的法律和法規，您可以將最重要的日志保留六個月到七年。該時間范圍就是日志保留期。 

長時間保留日志對于安全和合規性措施來說是最佳選擇。然而，這可能會變得昂貴。這就是為什么您需要創建概述設置日志保留期限的日志保留策略。 

考慮一個典型的漏洞發現時間表來證明日志保留期的合理性。發現事件的平均時間為100 到 200 天，具體取決于來源。從這個意義上說，保留日志一年是明智的。 

日志數據應該存儲多長時間？

這個問題的答案是視情況而定。 

雖然有些公司將日志數據存儲一年或更短時間，但有些組織必須遵守監管要求。在這種情況下，您可能需要將安全日志保留幾年。每個組織都在不同的業務環境中運作。一個組織可能會將日志保留六個月，而另一組織可能會將日志保留 18 個月以上。而我國在日志留存方面，通過《網絡安全法》進行了明確，要求不低于六個月，這點與根據VISA 持卡人信息安全計劃 (CISP) 的規定是一致的。

關鍵是根據您的業務性質了解您的組織需要遵守的要求。 

大多數組織發現至少一年可以滿足大多數監管要求。但是，您必須注意組織的行業標準、法規和法律，以及公司的網絡安全問題。

例如，根據巴塞爾 II 協議，國際銀行必須保留其活動日志3至7年。相比之下，根據VISA 持卡人信息安全計劃 (CISP) 的規定，電子商務公司必須將審核日志保存至少六個月。如果您從事醫療保健行業，則需要考慮《健康保險流通與責任法案》(HIPAA)，該法案保護患者數據并將日志保留長達六年。 

以下是一些主要考慮因素：

• 合規性— 出于哪些監管原因需要保留日志消息以及保留多長時間？網絡安全等級保護、GDPR、PCI、NISPOM和公司政策都在這里發揮作用。例如，您是否應該將包含個人身份信息的特定日志保留較短的時間？這些日志的某些字段是否應該加密？
• 運營需求——是否存在日志在事后有用的用例？例如，關于第三方版權主張或其他潛在的合法性問題？
• 成本——日志占用空間，而空間又要花錢?？傆幸惶?，存儲某些日志的時間會超過它們帶來的好處。 

什么是日志保留最佳實踐？

更好地保留安全日志的關鍵是遵循最佳實踐，從第一天起就實施主動策略。當涉及到公司的安全時，您始終希望保持主動，而不是被動。如果發生了一些事情而你沒有適當的系統，那么你前進的努力可能會太少、太晚。 

在組織大型 IT 環境時，日志管理可能具有挑戰性，這更有理由遵循最佳實踐。成功維護關鍵日志不僅僅是良好的安全態勢，采取以下步驟將在發生問題時提高您的安心感和持續的業務運營。您需要保護整個 IT 基礎架構，同時獲得寶貴的見解。 

集中歸檔數據 

如果發生問題，您的安全日志將充當您需要調查的證據。如果沒有這些日志，您就無法進行分析。建議您集中歸檔日志，以確保其完整性和合規性。 

歸檔這些日志時，您需要對其進行加密和時間戳。其他技術（例如散列）也是增強安全性的最佳技術。您還應該監控日志，實施一個工具來識別問題并發送警報。 

最大化安全日志大小

根據您組織的要求，您應該設置最大安全日志大小。這樣，您就可以通過向網絡添加更多數據來有效擴展。您最不想看到的就是由于空間不足而丟失數據，尤其是當您認為自己保持合規性時。 

創建日志保留策略

與應用程序日志數據相比，安全日志應保留更長的時間。如果您遇到違規或攻擊，您的日志就是證據。然而，永久保存日志并沒有什么好處，這正是日志保留策略發揮作用的地方，如前所述。創建日志保留策略為您的團隊制定了需要遵循的關鍵準則。

創建策略時，請重點關注日志安全性和日志保留。例如，您是否存儲客戶的數據或 API 的內部訪問密鑰？這些示例是您要加密的數據類型。 

日志保留準則很重要，但日志監控也很重要。實施警報并自動進行日志監控以提高安全性。您可以通過利用簡化此過程的工具或平臺來實現這一目標 - 不要低估日志分析的價值。提供人工智能和機器學習能力的工具可以篩選日志以確定基線并檢測異常。 

不要使日志記錄過程過于復雜

如果您記錄太多事件，最關鍵的日志可能會變得難以查找。記錄最關鍵的事件，以免丟失或忽視重要信息。這些事件包括賬戶鎖定、登錄失敗和文件訪問。同樣，采取這一步驟將確保網絡安全和最佳的法規遵從性。此外，請確保所有系統時鐘同步以獲得更準確的時間戳。 

確保日志記錄過程不過分復雜的最佳方法是投資一個能夠無縫執行此步驟的平臺。此外，參與該過程的人員越多，出現錯誤的可能性就越大。統一的平臺將使您能夠利用更高的自動化程度。當您可以輕松訪問調查整個技術生態系統中的問題所需的所有信息時，這將顯著加快該過程。

日志留存的重要性，是多方面的。在應對內部違規操作、外部攻擊方面，日志是溯源的第一手材料，是單位自己落實追究責任制的有力支撐，也是監管部門破案的強有力的基礎。