被遺忘的國境之南－稽核記錄管理

稽核記錄管理越來越被企業所重視，但計劃的規劃階段常是IT人員頭痛的地方。

　　一群群的雁鴨飛越了國境之南，沒錯！就是海角七號的恆春郡，雁鴨帶來了秋天，總讓人察覺到光陰的匆匆，又到了編列年度預算的季節，。

　　「喂！在發什麼呆，老賴交代的年度IT預算規劃做完了沒？」小陳還沉醉在秋天的白日夢裡面，硬生生地就被拉扯出國境之南的幻想空間。想著，「對了，老賴說明年資安目標要比今年更精進，搞不太懂他的意思？是要裁減人力？是要增加設備？還是要辦教育訓練？算了，先問問老同學阿良（在另外一家大企業的IT小主管），以前在學校作業都靠阿良罩著，考試也是…」。

小陳：老同學！問一下你明年IT有什麼好計畫來參考一下（完全很直接地切入）。

阿良：你要哪一類的？IT計畫很廣耶！（阿良你真是好人）。

小陳：我老闆說要精進一點的。

阿良：賴兄嗎？你應該直接問他比較快。

小陳：可是這星期就要提案了。

阿良：你又延誤啦？每次都提醒你要早點動作的。

小陳：我搞不懂我老闆要什麼。

阿良：這個簡單。之前剛好有做相關稽核記錄管理(Log Management)的規劃。一般來說，你必須要把這個工作分成短中長期計畫，可以參考以下的架構，然後依照你們公司的狀況做一個貼切的調整。

小陳：我老闆會問這樣有什麼好處、要花多少錢？

阿良：至少老賴會先問有什麼好處，像我老大都是先問要多少錢，根本不管有沒有好處。Log管理一直是被忽略掉的一塊，我們是因為外面的客戶有一天忽然來函要求要建置相關的Log保存機制，說是國外SOX法案已經稽核到他們總公司，甚至要求上下游廠商也必須配合，否則生意就做不成了。所以我老大就叫我評估怎樣在最小成本下達到這個目的。

小陳：那你怎麼做的呢？我們公司可能也會有客戶來要求相關的建置，快教我。

阿良：我也是問我朋友，後來搞了一台SysLog的集中管理伺服器，把所有可以產生Log的來源，都把資料丟到這一台來儲存。

小陳：什麼是SysLog？

阿良：以前Unix課程有教啊，就是在Unix裡面已經存在的Log機制，你可以設定很多相關來源都可產生這種格式的Log，包含Windows平台和網路設備。

小陳：就這麼簡單啊？看來今年又可以好好專心地做這個計畫（心裡暗自竊喜又可以撐1年，然後又感覺很有成效）。

阿良：等你遇到了就知。Log管理到最後會變成過多資訊等於沒資訊的阻斷服務攻擊。如果你沒從目的層面來考量作法，到最後你會拿到很多原始資料，但是要花更多時間去找出你要的資訊。這是我曾經遭遇過的痛苦，花了1個星期去調出某一台機器在幾個月之前的資料。

小陳：那你現在怎麼做呢？快給我答案吧。

阿良：現在啊，至少有公司的Log管理與保存政策，依照不同的目的（例如：完全保存、安全管理、效能管理）在Log蒐集之前就進行淨化與分類，然後依照不同的生命週期存放到不同的儲存裝置。去年還導入了關連分析的引擎，讓相關的資安警訊自動分析產生出事件的來龍去脈。

小陳：這樣有什麼好處呢？可不可以舉個例子？

阿良：如果客戶來稽核SOX，這當然是必要的。就像是偵辦洗錢案，很多資料你沒有帳戶活動記錄，就不知道有這種國際洗錢的活動，但是你如果有了太多的資訊，反而必須花更多時間去過濾分析。所以人家就會設定警示帳戶，然後針對特定的事件訊息做記錄，將來要調查或預防洗錢就有跡可循。

小陳：這案例太棒了！ 你簡直是名嘴，那我馬上去跟老賴談談。晚上吃飯吧！！ Bye！！

　　趕在老賴下個會議之前，小陳一五一十把剛學來的招式滔滔不絕地都吐了出來，把Log Management講的就好像電影裡面一個日本老師不得不離開台灣，等了60年才收到來信的相見恨晚，看似順利地通過老賴的考驗。但是，小陳卻不知道災難的黑水正等著他一腳踩進來，電影都是這樣演的，不是嗎？