上周公司IT被监管部门约谈,起因是销售部用的那套客户行为分析系统,把用户点击、停留、跳转全记在本地服务器上,没加密、没权限控制、也没设保留期限——日志存了三年,连备份盘都堆满灰尘。这事儿不是个例,很多中小企业的办公网络日志,其实就卡在“能看就行”和“合规不出事”之间。
别等出事才翻《网络安全法》
《网络安全法》第21条、《数据安全法》第30条,还有刚落地的《网络日志留存管理规定(试行)》,都明确要求:网络日志必须保存不少于6个月,关键系统建议12个月;存储过程要防篡改、可审计;访问需权限分离,不能让运维和业务人员共用一个账号查日志。
说白了,不是让你把所有日志塞进硬盘就完事,而是得让日志“看得清、改不了、拿不走、查得准”。比如HR系统登录日志,既要记录谁在几点几秒登过、IP地址、操作动作,又得确保行政助理没法删掉自己批量导出员工信息的那条记录。
三步搭出合规日志存储架子
第一步:分类分级,先砍掉冗余
不是所有日志都要留半年。建议按用途分三档:
• 安全审计类(防火墙、堡垒机、AD域登录)→ 必须存满180天,加密存储;
• 业务追踪类(OA审批流、邮件收发、文件共享访问)→ 存90天,按部门隔离目录;
• 调试诊断类(开发测试环境HTTP请求头、API响应码)→ 最多7天,自动清理。
第二步:换掉“裸存”,加层防护壳
别再用共享文件夹直接扔.log文件。推荐轻量方案:
• 小团队可用rsyslog + Elasticsearch简易组合,配置示例如下:
module(load="imfile" PollingInterval="10")
input(type="imfile" File="/var/log/nginx/access.log" Tag="nginx-access")
action(type="omelasticsearch" server="192.168.1.50" serverport="9200" template="es-template-json" searchIndex="logs-nginx-%$YEAR%-%$MONTH%-%$DAY%")重点在template里定义字段映射,把client_ip、user_agent、status等结构化,方便后续按IP或状态码筛选。同时给Elasticsearch启密码认证,禁用匿名访问。
第三步:定规矩,也定人
在IT部门贴一张A4纸大小的《日志访问登记表》,不是摆设。谁查、查哪天、查什么系统、为什么查(如“排查XX同事邮箱异常登录”),手写签字+时间。每月导出访问日志做一次交叉核对——上月堡垒机日志被查了17次,但登记表只写了12次?立刻倒查权限账号。
避坑提醒
• 别用NAS当长期日志库:消费级设备没WORM(一次写入多次读取)能力,硬盘坏了或误格式化,6个月记录全归零;
• 别把日志和业务数据库放同一台服务器:SQL注入攻破网站,很可能顺手拖走/var/log/下的全部历史;
• 别信“云厂商默认合规”:阿里云SLS、腾讯CLS虽支持日志投递,但默认策略是“永不清除”,得手动配生命周期规则,否则账单和风险一起涨。
合规不是买套软件贴个标,而是把日志当成和合同、发票同等重要的办公资产来管。每天多花3分钟确认下rsyslog是否还在跑、Elasticsearch磁盘使用率有没有超85%、上月访问登记有没有漏签——这些动作本身,就是最实在的防线。