标准规范下载简介
DB3301/T 0371-2022 一体化智能化公共数据平台日志规范.pdf简介:
DB3301/T 0371-2022 是一项关于“一体化智能化公共数据平台日志规范”的技术标准,它旨在规定和指导一体化智能化公共数据平台在运行过程中产生的各类日志的收集、存储、处理和分析的方法。日志规范通常包括以下关键内容:
1. 日志类型:明确了平台应记录的各种日志,如操作日志、系统日志、错误日志、性能日志等,以帮助理解和追踪平台的运行状态。
2. 日志格式:规定了日志的结构和内容,包括时间戳、事件类型、事件详情等,以便于后期的分析和处理。
3. 记录频率:指明了日志的记录频率,如每分钟、每小时或每天记录一次,以满足不同场景的需求。
4. 存储管理:规定了日志的存储策略,如存储时间、归档方式、备份策略等,以保证数据的安全性和可恢复性。
5. 隐私保护:强调在收集和处理日志时,对个人信息和敏感数据的保护措施,符合相关法律法规的要求。
6. 日志审计:提出对日志的定期审计和安全管理,以检测异常行为和潜在问题。
这个规范的主要目的是提高数据平台的运维效率,减少故障排查时间,同时保护用户数据的隐私和安全。如果你需要深入了解具体的日志规范内容,建议查阅正式的标准文档。
DB3301/T 0371-2022 一体化智能化公共数据平台日志规范.pdf部分内容预览:
DB3301/T0371 202
DB3301/T0371
一体化智能化公共数据平台日志采集范围包含但不限于主机系统、数据库、对象存储、云 控制台、网络设备、安全设备、应用系统的日志,并通过Syslog、API接口等方式采集和外送
日志采集方式包括但不限于Syslog、API接口等方式外送日志数据CJJ 300-2019-T标准下载,并应满足下列要求: A 支持全量、历史数据的外送采集服务; 支持实时或定时增量日志外送采集服务; ? C) 支持按照过滤条件的日志外送采集服务,例如字段内容; d) 支持外送失败报警服务、失败重发服务。
在保障安全前提下做好日志存储工作,日志的存储满足下列条件: a) 2 日志保存的时限不应少于六个月,应对日志进行分类存储,涉及核心业务的日志如另有日志存 储时限要求的,原则上从其规定; b) 日志具有保密性要求时,应采取加密机制保证日志数据保密性,加密机制应符合相关法律法规 要求; 2 日志具有完整性要求时,应采取校验机制,保证日志数据完整性,校验机制应符合相关法律法 C 规要求; d) 严格控制日志的访问权限,确保日志的授权访问; e) 1 具备增量备份和恢复能力,当有异地备份要求时,应进行异地备份; f) 与统一的标准时间源保持同步
在保障安全前提下做好日志存储工作,日志的存储满足下列条件: a) 2 日志保存的时限不应少于六个月,应对日志进行分类存储,涉及核心业务的日志如另有日志存 储时限要求的,原则上从其规定; b) 日志具有保密性要求时,应采取加密机制保证日志数据保密性,加密机制应符合相关法律法规 要求; C) 2 日志具有完整性要求时,应采取校验机制,保证日志数据完整性,校验机制应符合相关法律法 规要求; d) 严格控制日志的访问权限,确保日志的授权访问; e) 1 具备增量备份和恢复能力,当有异地备份要求时,应进行异地备份; f) 与统一的标准时间源保持同步
DB3301/T0371—2022
6.2.1主机日志分析
主机日志分析包括但不限于: a 1 异常登录,包括未经授权登录、多次登录失败、频繁登录、非工作时间登录等; b) 2 高危端口开启、被利用情况; c) 用户账号和权限变更; d) 1 操作系统的启动、停止信息; e) 系统服务和配置修改; f) 特殊权限使用和操作。
数据库日志分析包括但不限于: a) 1 数据库异常登录行为,如多次登录失败、频繁登录、非工作时间登录、异地登录、频繁变更 登录I等; b) 数据库越权操作,如对未经授权的敏感数据进行增删改查、导入导出等; C) 2 用户的关键变更操作,如增删改用户及其权限; d) 数据库服务启动和停止; e) 1 数据库系统核心配置文件的修改; f) 高风险操作,如对批量数据的导入导出等。
6.2.3安全设备日志分析
安全设备日志分析包括但不限于: a) 堡垒机日志分析,包括长期未登录使用的账号、活跃度异常的账号、异常、高风险操作行为、 多人共用账号等; b) VPN系统日志分析,包括活跃度异常账号、异常登录地点、异常登录时间、多人共用账号等; C) 其他安全设备,应重点分析设备的异常告警行为
6.2.4应用系统日志分析
应用系统日志分析包括但不限于: a) 重要操作记录,对关键配置信息和业务数据的增删改操作; 0) 管理员操作行为,如增删改系统用户及其权限; C) 2 操作人员查询敏感信息的行为; Hd) 2 操作人员异常登录和异常操作的行为; e) 应用系统的高危漏洞被利用情况; f) 2 数据接口异常调用等
对多种类型、多个设备的日志结合实际场景开展进行综合关联分析,包括但不限于: a) 操作人员未通过堡垒机直接登录主机/服务器、连接数据库/大数据处理分析平台的行为 D 操作人员远程上传文件、远程安装的行为:
DB3301/T0371—2022 C) 通过分析数据下载、分发的情况,发现可能的数据泄漏(被非法窃取)风险; d) 对操作人员的高危指令、异常操作、敏感数据查询等行为进行威胁感知。
通过持续对全量日志进行关联综合分析,掌握操作人员关键特征要素,选代绘制出用户行为基线 并持续根据用户操作行为的波动情况加以动态调整。行为分析特征维度包括但不限于: a)特定时间段内,指定用户整体行为状态与该用户整体行为基线的对比分析; b)特定时间段内,指定用户单维度行为状态与该用户单维度行为基线的对比分析; C) 指定用户行为基线与同组其他用户的平均行为基线对比分析; d) 在特定时间段内,指定用户或应用系统调用同一API接口的频率对比分析。
A.1主机操作系统日志
A.1.1主机操作系统登录日志
表A.1规定了主机操作系统登录日志数据格
DB3301/T0371—2022
附录A (规范性) 体化智能化公共数据平台日志
表A.1主机操作系统登录日志数据格式描述表
表A.1主机操作系统登录日志数据格式描述表(续)
A.1.1.2 表A.2规定了主机操作系统操作日志数据格式,
表A.2主机操作系统操作日志数据格式描述表
A.1.2主机操作系统任务计划日志
A.3规定了主机操作系统任务计划日志数据格式
DB3301/T0371—2022
表A.3主机操作系统任务计划日志数据格式描述表
A.2.1数据库登录日志
表A.4规定了数据库登录日志数据格式。
表A.4数据库登录日志数据格式描述表
DB3301/T0371—2022
表A.4数据库登录日志数据格式描述表(续)
A.2.2数据库操作日志
表A.5规定了数据库操作日志数据格式
表A.5数据库操作日志数据格式描述表
表A.5数据库操作日志数据格式描述表(续)
表A.6规定了对象存储日志数据格式
表A.6对象存储日志数据格式描述表
DB3301/T0371—2022
表A.6对象存储日志数据格式描述表(续)
表A.6对象存储日志数据格式描述表(续)
表A.7规定了云管理控制台日志数据格式。
表A.7云管理控制台日志数据格式描述表
DB3301/T0371—2022
表A.7云管理控制台日志数据格式描述表(续)
表A.8规定了网络设备日志数据格式。
某道路施工组织设计表A.8网络设备日志数据格式描述表
表A.8网络设备日志数据格式描述表(续)
DB3301/T0371—2022
表A.8网络设备日志数据格式描述表(续)
表A.9规定了安全设备日志数据格式。
表A.9安全设备日志数据格式描述表
GB/T 41652-2022标准下载表A.9安全设备日志数据格式描述表(续)
1 表A.10规定了应用系统登录日志数据格式
表A.10应用系统登录日志数据格式描述表