日志记录和监控不足

日志记录和监控往往是在出现问题后才想到的，但实际上，如果不能确保适当的日志记录和监控，代价可能会非常高昂。 

一个极端是，当事故发生时（无论是否与安全相关），如果只有很少的日志或根本没有日志，就不可能弄清到底发生了什么。另一个极端是，记录过多数据会导致隐私问题，进而引发监管机构的问题。

下面，我们将介绍一些有助于指导您更好地记录和监控的最佳实践。 

最佳做法

让我们来看看良好记录和监控的一些最佳实践。

敏感功能的审计日志

为登录尝试（无论尝试是否成功）、用户账户更改、访问/更改敏感数据和其他类似情况等敏感事件创建审计日志非常重要。这既适用于普通用户的访问，也适用于任何内部/管理用户的访问。 

如果认为发生了未经授权的访问，不管是内部人员还是外部人员，记录这些事情就变得极为重要。 

当此类事件发生时，为了了解事件的规模和范围，能够说明谁访问了哪些数据至关重要。

错误记录

错误和警告日志不仅是监控应用程序健康状况的一般工程最佳实践，还可以作为警告标志。 

攻击者在发现漏洞的过程中，往往会产生大量的错误和警告，这些错误和警告会向你提示，攻击者可能已经发现了你的应用程序中的漏洞。

在中央位置存储日志

日志应始终实时传输并集中存储。这既是为了确保日志可立即供 SIEM 分析，也是为了防止入侵服务器的攻击者修改或删除日志。 

在规定时间内保留日志

不幸的现实是，大多数漏洞需要数天才能被发现，事实上，20% 的漏洞需要数月才能被发现。如果从漏洞发生到被发现需要如此长的时间，那么日志往往是我们确定可能发生了什么的唯一数据来源。

因此，在明确规定的时间段内存储日志就显得格外重要。PCI 等标准规定，必须在几乎没有延迟的情况下访问 3 个月前的日志，而 12 个月前的日志必须能够应要求恢复。 

这种方法既能方便地开始调查潜在事件，又能通过日志的冷存储管理成本，在两者之间取得了良好的平衡。 

定期审核 PII 日志

日志是调查潜在事件的好帮手，但实际上，日志本身也可能引发事件。 

既要记录调查事件所需的信息，又要记录过多的信息，这两者之间存在着微妙的平衡。在日志中不小心包含 PII 是很容易的，这会给隐私法规带来问题。

定期审核日志中的 PII 并确保将其删除非常重要。

‍