公司内网突然变慢,IT小李一查日志,发现是有人在用P2P下载电影。可问题来了,日志只保留了三天,更早的访问记录全没了,根本没法追查是谁干的。这种情况其实很常见,很多单位对网络访问日志保存的规定并不清楚,出了问题才后悔没留证据。
日志到底该保存多久?
根据《网络安全法》和《互联网安全保护技术措施规定》,提供互联网服务的单位必须留存网络访问日志,且保存时间不得少于60天。这不只是大公司的义务,哪怕是中小企业的办公网络,只要接入了公网,原则上也得遵守。
别觉得这只是“合规要求”,关键时刻真能救命。比如员工泄露数据、内部系统被入侵、或者有人用公司IP做违法事,没有日志,调查就无从下手。
日志要存哪些内容?
不是随便记个IP和时间就行。合规的日志至少得包含:
- 源IP地址和端口
- 目标IP地址和端口
- 访问时间(精确到秒)
- 协议类型(HTTP、HTTPS、FTP等)
- 请求方法和URL(如果是Web访问)
- 用户身份信息(如AD账号、登录名)
比如你在公司访问百度,日志里就得有你的电脑IP、访问时间、目标域名、使用的浏览器类型,甚至有没有登录账号都得能对应上。
实际操作中的坑
很多企业用了路由器自带的日志功能,结果发现容量不够,一周就自动覆盖。有的干脆关掉日志,说是为了省硬盘。还有的虽然开了日志,但只记录“外部访问”,忽略了内部横向流量,导致内网攻击行为完全看不到。
更麻烦的是HTTPS加密。很多人以为HTTPS没法记录内容,其实不需要解密,只要记录域名(SNI信息)和连接时间就够了。哪怕看不到具体页面,也能看出谁在频繁访问可疑网站。
怎么设置才算靠谱?
拿一台常见的企业级防火墙来说,可以这样配置日志策略:
log enable
log-save-period 60
log-storage-size 50GB
log-format extended
include-user-identity yes这段配置的意思是:开启日志,保存60天,最大使用50GB硬盘空间,格式为扩展型,并包含用户身份。超出容量后自动轮替旧日志,而不是直接停用。
如果预算允许,建议把日志集中转发到SIEM系统,比如用Syslog服务器统一收集。这样即使单台设备出问题,日志也不会丢。
别等出事才想起日志
上周有家公司被勒索病毒攻破,查了一圈发现防火墙日志只存了10天,而攻击者潜伏了近一个月。等安全团队反应过来,关键痕迹早就没了。这种“看不见的入侵”最致命。
网络排错不只是修通网线、重启路由器。真正的排错,是从日志里挖线索,还原事件全过程。没有完整的日志,就像破案没有监控录像,只能靠猜。
把日志保存当成基础设施的一部分,定期检查存储状态,测试能否正常导出和查询。别让它成为摆设。