文档介绍：日志管理与分析-日志的审核与响应
【前言】
如果你的企业没有认真地对待日志，那么就可以说明你的企业对IT可审核性并不重视，这也就是日志记录成为一种完善的依从性技术，许多法规和法律以及最佳实践框架都对此作出强制性要求的原因。日志管理与分析机。这一策略是关于合适的个人、团体之间的沟通。
识别阶段从事故的征兆被发现开始。这不仅是IDS警报有关（实际上这种情况也不太多）。例如，持续的CPU利用、系统重启和维护窗口之外的配置更改等，都是说明发生了某些值得进一步注意的事件的信号。
控制阶段对于在文档中记录发生的情况、隔离受影响系统（甚至区域）以及进行著名的“拔线”操作（也就是断开或者关闭系统）来说很重要。在这—阶段，我们还试图审核其他系统可能受到的影响和损害，评估破坏范围。
根除阶段中，我们评估可用备份，准备恢复或者重建系统，为回到正常状态做准备。这一阶段还要规划网络的更改。
恢复阶段是一切回到正常的阶段。在此阶段要起用额外的日志记录和监控。
在跟踪阶段，你讨论和记录得到的教训，向管理层报告事故，并规划未来事故处理中的改进。这一阶段也常称为后续阶段。
日志审核的验证
日志审核最后的关键部分是确保有足够的证据，证明这一过程被真正严格地实施。好消息是，可以使用日志记录和日志审核过程管理报告中的相同数据。
首先，常见的错误概念是用实际的日志来提供这种证明。这并不正确：“有日志”和“审核了日志”是完全不同的概念，有时候，需要对安全和依从性进行多年的成熟化，才能分辨这两者。
只需要记住，在PCIDSS依从性验证中，我们需要证明多个主要的部分。下面是需要组合的所有依从性证据的总列表。和其他小节不同，在此我们将包含日志记录的证据，而不只是日志审核的证据，因为后者依赖于前者:
•日志记录的存在和充足性
日志审核过程的存在及其实施。
•异常处理过程及其实施。
现在，我们可以围绕这些领域组织证据，然后构建过程来收集这些证据。

第一类证据是日志记录存在和充足性的证据。这一部分是三者中最容易证明的。
下面的项目可以作为日志记录的证据：
1）有文档证明的日志记录策略，包括记录的事件和每个事件记录的细节。
2）实施上述策略的系统/应用程序配置文件。
3）上述应用程序生成的，符合策略的日志。

第二类：日志审核过程及其实施的证明。这一部分比前一部分更难证明。
下面是可以作为日志审核证据的项目：
1）有文档证明的日志记录策略，涵盖日志审核。
2）有文档证明的操作规程，详细说明日志审核的步骤。
3）相关人员执行的日志审核任务记录（有些日志管理产品创建一个审核报告和事件的审计记录；这种审计跟踪应该涵盖），这个项目可以视为"日志审核日志"
4）调查的异常情况记录也间接地证明日志审核的进行。

第三类：异常处理的过程及其实施的证据。这一部分是目前为止最难以
证明的。
下面的项目可以作为日志异常处理的证据：
1）有文档证明的日志记录策略，涵盖异常及其处理。
2）有文档证明的操作规程，详细说明日志审核中找到的异常的调查步骤。
3）所有异常调查及所采取的行动的日志（"日志薄"）
上述的特征应该能为组织认真遵循PCIDSS原则提供充足的证据。我们
将重点放在这一证据额产生的
rci-^A性日志记录子域
依M性证据
抑可孫51W
m志-•己汞存在打充足匪证羽
有丈档证明芥日志记卞策曙
X卑下存在策昭・则罅
日志记五lift旳充定朮订zE
系纭.「宦用程丘型豈文件
耳容之后：低百首豈文仟咋芮土世口
口志记录存在和充定比订羽
上疋应毎程亨三衣的口志
收拿日志样本，保存斓协性的证据
弓志审機的证拆
有文档证田丰曰志记录笫踣
虫暉不有在第畤则瞬
日志审杭的证据
自文档证囲的按乍规程
观抵也車的T作诒和娈彩讪a
日志审檢的证据
曲仃旳1-忘丰桂；士务P亍
诵用丄具或舌创達一年°日志薄”
日志审樫E勺证毎
前调査的斤韦情况的记示
F逞一亍调垂“曰志蒲”
肖丈档iHE冃些日志记录策馮
兀駅不存在笫昭,则礙
耳常址逞的证招
与文档证用*按诈规溟
艰拆本辜的工匚蛊和观世创逹
曰志审機的证4S
所调曹的所肖异常情融记录
一f调查“目志薄”或音却识库
上述列表中关键的项目是“日志薄”，它用于记录异常的跟踪和调查，从而创建了PCIDSS需求依从性的有力证据。日志薄甚至可以成长为更加高级的形式--包含过去所有异常分析案例的调查“知识库”。
日志薄-异常调查的证据
日志薄用于记录日常审核期间标记的异常的分析和调查相关的所有情
况。虽然事故处理过程中使用相同的日志薄方法，但在这里我们将其当做依
从性的证