为什么要重视网络日志记录
你有没有遇到过电脑突然变慢,或者发现陌生设备连上了自家Wi-Fi?这时候翻翻路由器或防火墙的记录,往往能找到线索。网络日志就是系统的“行车记录仪”,它默默记下谁在什么时候访问了哪些资源,对排查异常、防范攻击至关重要。
尤其是家里有智能摄像头、NAS或远程办公需求的人,日志几乎是必备工具。但光开了记录还不够,怎么记、记什么、存多久,都有讲究。
明确记录范围,别什么都留
不是所有流量都值得记录。把所有数据包全抓下来,硬盘撑不了几天。重点该盯几类行为:登录尝试、权限变更、外部连接、DNS请求和异常中断。
比如某台设备频繁向境外IP发起连接,日志里就能看出端倪。再比如管理员账户在凌晨被登录,这种时间点的操作必须被记录。合理设置过滤规则,只保留关键事件,才能让日志真正有用。
统一时间戳,避免混乱
多台设备的日志如果时间不一致,查问题会非常头疼。曾经有人发现服务器被入侵,可防火墙和应用日志差了17分钟,排查过程拖了整整一天。
务必启用NTP(网络时间协议),让所有设备同步到同一个时间源。Linux可以用ntpd或chrony,Windows则通过“Internet时间”设置同步。时间对齐后,事件链条才清晰可查。
日志存储要安全,防止被删
攻击者得手后第一件事,往往是清日志。如果你的日志和系统装在同一块硬盘上,风险就很高。正确的做法是把日志实时发送到独立的服务器或专用存储设备。
用syslog协议集中收集是个常见方案。例如在Linux服务器上配置:
sudo nano /etc/rsyslog.conf
*.* @@192.168.1.100:514定期查看,别等出事才翻
很多人设了日志却从不看,直到出了问题才去翻,结果发现关键时间段的数据早就被覆盖了。建议每周花十分钟快速浏览一次摘要报告,重点关注失败登录和高权限操作。
可以写个简单脚本自动汇总异常条目,比如统计每天SSH失败次数:
grep "Failed password" /var/log/auth.log | awk '{print $1,$2}' | sort | uniq -c保留足够时间,但也要考虑成本
一般建议至少保留30天,涉及金融、医疗等敏感业务的,可能需要6个月甚至更久。云存储现在很便宜,把压缩后的日志备份到异地,能防勒索软件破坏。
本地磁盘空间有限的话,可以用日志轮转机制。比如用logrotate按周归档,旧日志自动打包压缩,超出期限的自动删除。
配置示例:
/var/log/app/*.log {
weekly
rotate 8
compress
missingok
notifempty
}注意隐私,别踩法律红线
记录日志时别忘了合规。比如完整记录员工上网行为,可能违反个人信息保护法。国内《网络安全法》要求网络日志留存不少于六个月,但采集内容要有边界。
建议匿名化处理部分字段,比如把用户真实IP做哈希后再存,既能追踪行为模式,又降低泄露风险。公司内部也应明确告知员工监控范围,避免纠纷。