日志安全管理设置机制1、windows日志配置操作1.1日志配置1。1.1审核登录安全基线项目名称安全基线项说明检测操作步骤基线符合性判定依据备注操作系统审核登录策略安全基线要求项设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。开始-〉运行->执行“控制面板->管理工具-〉本地安全策略-〉审核策略”审核登录事件。审核登录事件,设置为成功和失败都审核。1.1。2审核策略更改安全基线项目名称安全基线项说明检测操作步骤操作系统审核策略更改安全基线要求项启用组策略中对Windows系统的审核策略更改,成功和失败都要审核。进入“控制面板—〉管理工具->本地安全策略”,在“本地策略—>审核策略”中查看“审核策略更改”设置。基线符合性判定依据备注“审核策略更改”设置为“成功”和“失败"都要审核.1。1.3审核对象访问安全基线项操作系统审核对象访问安全基线要求项目名称安全基线项说明检测操作步骤启用组策略中对Windows系统的审核对象访问,成功和失败都要审核.进入“控制面板—>管理工具-〉本地安全策略”,在“本地策略—〉审核策略”中:查看“审核对象访问”设置。基线符合性判定依据备注“审核对象访问”设置为“成功”和“失败”都要审核。1.1.4审核事件目录服务器访问安全基线项目名称安全基线项说明检测操作步骤操作系统审核事件目录服务器访问策略安全基线要求项启用组策略中对Windows系统的审核目录服务访问,失败.进入“控制面板-〉管理工具—>本地安全策略”,在“本地策略—>审核策略”中:查看“审核目录服务器访问”设置。基线符合性判定依据备注“审核目录服务器访问”设置为“成功”和“失败"都要审核。1。1。5审核特权使用安全基线项目名称安全基线项说明检测操作步骤操作系统审核特权使用策略安全基线要求项启用组策略中对Windows系统的审核特权使用,成功和失败都要审核。进入“控制面板—>管理工具—〉本地安全策略”,在“本地策略->审核策略”中:查看“审核特权使用”设置.基线符合性判定依据备注“审核特权使用”设置为“成功”和“失败”都要审核.1。1。6审核系统事件安全基线项目名称安全基线项说明检测操作步骤操作系统审核系统事件策略安全基线要求项启用组策略中对Windows系统的审核系统事件,成功和失败都要审核。进入“控制面板—>管理工具->本地安全策略”,在“本地策略-〉审核策略”中:查看“审核系统事件”设置。基线符合性判定依据备注“审核系统事件”设置为“成功”和“失败"都要审核.1。1.7审核账户管理安全基线项目名称安全基线项说明检测操作步骤操作系统审核账户管理策略安全基线要求项启用组策略中对Windows系统的审核帐户管理,成功和失败都要审核。进入“控制面板—>管理工具—>本地安全策略",在“本地策略->审核策略”中:查看“审核账户管理”设置。基线符合性判定依据备注“审核账户管理"设置为“成功”和“失败”都要审核.1.1.8审核过程追踪安全基线项目名称安全基线项说明检测操作步骤操作系统审核过程追踪策略安全基线要求项启用组策略中对Windows系统的审核过程追踪失败。进入“控制面板-〉管理工具—>本地安全策略”,在“本地策略—〉审核策略”中:查看“审核过程追踪"设置。基线符合性“审核过程追踪”设置为“失败”需要审核。判定依据备注1。1。9日志文件大小安全基线项目名称安全基线项说明检测操作步骤操作系统日志容量安全基线要求项设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件.进入“控制面板—〉管理工具-〉事件查看器",在“事件查看器(本地)"中:查看“应用日志”“系统日志”“安全日志"属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。基线符合性判定依据备注“应用日志”“系统日志"“安全日志”属性中的日志大小设置不小于“8192KB",设置当达到最大的日志尺寸时,“按需要改写事件”2、linux日志审计1.2日志1.2.1syslog登录事件记录安全基线项目名称安全基线项说明检测操作步骤基线符合性判定依据备注操作系统Linux登录审计安全基线要求项日志审计-syslog登录事件记...
