IT审计日志分析指南.docx

《IT审计日志分析指南.docx》由会员分享，可在线阅读，更多相关《IT审计日志分析指南.docx（8页珍藏版）》请在优知文库上搜索。

1、财务审计，直接打交道的是财务数据，就是我们财务系统中导出来的报表、现金流量表、科目余额表、序时账。当然做收入、成本类科目的时候也会去看业务数据，一般也是看业务系统导出来的报表（很多时候，业务系统导出来的明细数据很大，财务审计一般没有能力审核）。而IT审计会关注整个业务中的数据流转，从源头到最终的财务数据。对于中间不同系统间的流转会进行数据核对。而常规的对数据的分析，一般也是针对业务数据，比如从不同维度分析收入明细的真实性、合理性。这种分析一般直接从数据库里导出审计期间数据，依据表中有哪些字段，研究分析的维度，也会结合行业特点，也会用一些统计学的知识。一般来说，SQ1.来分析就足够了。审计的局限

2、其实，不论我们从财务数据出发，从业务数据出发，我们都有一个共同的目标-应对舞弊。虽然，我们认真执行程序很多情况下，我们能发现问题。但这好像不够直接。我做假账，我会给你标记出来我做假账吗？我给你配上业务数据呢？我再给你配上资金呢？我再给你配上外部配合的公司呢？可能我们也很难发现问题，这就是我们说的审计的局限性。我缺少整个链条的全貌，我看到的都是别人想给我看的。日志前面说的财务数据和业务数据都是我们经常审计的，那么机器数据是什么呢？就是我们系统运行记录的各种日志。应用系统日志比如，如果我去改账，如果导出的序时账没有记录修改日期，那么日志会记录，我看你日志记录的去年的大量凭证，都是集中在今年修改的，

3、是不是有问题呢？同样的我想看你改成本，就去看关账操作和反结账操作的日志。总之，你如果真想看什么，口志会如实记录一切。这是财务系统的，业务系统也一样。公司如果是电商，我们一般都会看数据库中没有有记录能识别终端客户身份的ip,mac,IMEI等，从这些维度去分析下集中度。但不是所有公司都能获取到这些字段，或者存储了这些字段。但其实还有很多日志可以用，比如网站使用的nginx或apache服务能记录用户访问的日志（包含ip）。当然，还有公司为经营需要在网页上埋点留下的访问数据。这些数据我们也都暂且称为机器数据或者日志。数据库日志除了应用系统，企业的数据库层面的所有操作也会有日志，你想看企业有没有写个

4、脚本批量修改，理论上只要它有日志，就能查看。日志审计的工具可以看到，其实我们可以获取的东西还是挺多的，但实际工作中，很少利用。为什么？没有这个技术。13.44,58.1-160c202003l313*0800)GET/HTTP1,1403146-*lkZl1la/5.0Macintosh;IntelMCOSX10.11.6AppleWebKit601.7./KHTW1.,HlceGeckoVersion/9.1.2Saf*r601.7.7-61.183.201.26-16Dec2020:03:31:340M01%TZMTTP1.r301162-iOZill5.0MlndcwsNT6.1Appl

5、eWebKlt537.36KMTU1.IllceGeckoChro035.0.1916.13Safari/537.36220.181.10.112-(16Dec/2020:03:33:28OSOO)-GET/HTTP1.1J04O-*lto2ill5.0compatible;BaIduspider/2.O;httprwww.bidu.cxiearchspidr.htnl*61.183.201.2S-(16/Dec/2O2O:O3:33:320M0-G三T/HTTPH.T2001013-nNo2111S.0WindowWT6.1AppleWebKit/537.36KMTMl.likeGeckoC

6、rme35.0.1916.153Sfari537.W13.66139.9S-(160ec2020:04:03:U0800)eGET/HTTP/1.V2001013-Moxlla5.0cop.atble;bingbot/2.0;httprwmw.bin.cfblncbot.hta192.35.IM.176(1Dec2020:04:25:440800)eGET/HTTPAI.V403146-MMozilla/S.O2grab0.xw80.82.70.187-(16(kc2020:04:27:070800%EThttp:/w.bal(ju.concchezill203.208.60.103-16De

7、c2020rG4:27240800wGET/HTTP/1.12001013*MozlllaS.0conpAtlblc;GoogIebot/2.1;*http:/www.google.contot.htal49.7.20.78-(16/Dec/2020:04:S5：28*0800)*C6T/HTTP/1.1-2001013eeSogoumbspldr4.0*http:/wvm.otou.C(MdocshelpNerasters.htM07.91.241.19.84-(16/Otc/2O2O:(M：55：5O*0800)POSTvtcppunKphpunKsrcUtlPHPevaltdl.phpH

8、TTP/1.1-403MS-*ozlllS.0WindonNT10.0;WxnM;x64AppIeMebKit/537.36KHTM1.,likeGeckoChroe78.0.3904.108XfrS37.3691.241.19.84-(.l6Dec20200455:*0800)GET/solranInfozsystenTwt-JsonHTTP/1.1403548-mMoz11U5.0W1MSUPerSet是PythOn开发的软件，安装起来其实还挺费劲的。不过操作起来简单，强大，免费。networkX这个工具和日志也没有什么关系了，是我昨天看到的一个python库。专长画网络关系。之前我们介绍

9、过gephi软件来查找网络关系。比如，这是我画的一家物流公司起运地与运达地的网络关系，可以清楚地看到公司业务的以哪几个城市为关键中心向外幅射。同样的，如果一个电商充值记录，我们以ip,或者id作为节点，也可以去发现异常节点。很多数据都有网络关系，比如公司造假，资金出去通过一圈公司又回来了，如果我们能拿到全部相关公司资金数据，这样一张网络图可以清晰分析出公司的资金流向，当然我们是不可能拿到。但时代在发展，说不定将来有一天，监管机构的系统自动能分析出了。就像现在的发票一样。gephi的缺点太明显，能处理数据量很小,对于大数据量可以考虑使用python的networkX库。以上提到的工具在大数据量的

10、日志或业务数据分析中比较可靠，并且免费，可以作为我们平时使用sql、PythOn分析的辅助手段。附参考：日志审计系统日志审计系统是用于全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、监控、审计、分析、报警、响应和报告的系统。一、为什么要使用日志审计？1、满足法律法规要求国家的政策法规、行业标准等都明确对日志审计提出了要求，日志审计已成为企业满足合规内控要求所必须的一项基本要求。2017年6月1日起施行的中华人民共和国网络安全法中规定：采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留

11、存相关的网络日志不少于六个月。网络安全等级保护基本要求(GRT22239-2019)中规定：二到四级需要对网络、主机、应用安全三部分进行日志审计，留存日志需符合法律法规规定。2、满足系统安全管理需求当前信息安全形势日益严峻，信息安全防护工作面临前所未有的困难和挑战。日志审计能够帮助用户更好监控和保障信息系统运行，及时识别针对信息系统的入侵攻击、内部违规等信息，同时日志审计能够为安全事件的事后分析、调查取证提供必要的信息。二、日志审计基本功能日志监控提供日志监控能力，支持对采集器、采集器资产的实时状态进行监控，支持查看CPU、磁盘、内存总量及当前使用情况；支持查看资产的概览信息及资产关联的事件分

12、布；日志采集提供全面的日志采集能力：支持网络安全设备、网络设备、数据库、WindoWSZlinux主机日志、Web服务器日志、虚拟化平台日志以及自定义等日志;提供多种的数据源管理功能：支持数据源的信息展示与管理、采集器的信息展示与管理以及agent的信息展示与管理；提供分布式外置采集器、Agent等多种日志采集方式；支持IPV4、IPv6日志采集、分析以及检索查询；日志存储提供原始日志、范式化口志的存储，可自定义存储周期，支持FTP日志备份以及NFS网络文件共享存储等多种存储扩展方式；日志检索提供丰富灵活的日志查询方式，支持全文、key-value多kv布尔组合、括弧、正则、模糊等检索；提供便捷的日志检索操作，支持保存检索、从已保存的检索导入见多条件等;日志分析提供便捷的日志分析操作，支持对日志进行分组、分组查询以及从叶子节点可直接查询分析日志；日志转发支持原始日志、范式化日志转发；日志事件告警内置丰富的单源、多源事件关联分析规则，支持自定义事件规则，可按照日志、字段布尔逻辑关系等方式自定义规则；支持时间的查询、查询结果统计以及统计结果的展示等；支持对告警规则的自定义，可设置针对事件的各种筛选规则、告警等级等；日志报表管理支持丰富的内置报表以及灵活的自定义报表模式，支持编辑报表的目录接口、引用统