審計日誌記錄失敗後需要緩存嗎

A. 系統數據審計日誌留存時間為幾個月

北信源審計日誌可以維持三個月,那麼時間,所以說大家一定要去仔細的保存,在發現問題的時候一定要到三個月之內去查

B. 安全操作系統中審計日誌滿了怎麼辦

一．Windows日誌系統
WindowsNT/2000的系統日誌文件有應用程序日誌AppEvent.Evt、安全日誌SecEvent.Evt、系統日誌SysEvent.Evt，根據系統開通的服務還會產生相應的日誌文件。例如，DNS伺服器日誌DNS Serv.evt，ftp日誌、WWW日誌等。日誌文件默認存放位置：%systemroot%\system32\config，默認文件大小512KB。這些日誌文件在注冊表中的位置為HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog，可以修改相應鍵值來改變日誌文件的存放路徑和大小。
Windows NT/2000主要有以下三類日誌記錄系統事件：應用程序日誌、系統日誌和安全日誌。
1．應用程序日誌
記錄由應用程序產生的事件。例如，某個資料庫程序可能設定為每次成功完成備份後都向應用程序日誌發送事件記錄信息。應用程序日誌中記錄的時間類型由應用程序的開發者決定，並提供相應的系統工具幫助用戶查看應用程序日誌。
2．系統日誌
記錄由WindowsNT/2000操作系統組件產生的事件，主要包括驅動程序、系統組件和應用軟體的崩潰以及數據丟失錯誤等。系統日誌中記錄的時間類型由Windows NT/2000操作系統預先定義。
3．安全日誌
記錄與安全相關的事件，包括成功和不成功的登錄或退出、系統資源使用事件(系統文件的創建、刪除、更改)等。與系統日誌和應用程序日誌不同，安全日誌只有系統管理員才可以訪問。在WindowsXP中，事件是在系統或程序中發生的、要求通知用戶的任何重要事情，或者是添加到日誌中的項。事件日誌服務在事件查看器中記錄應用程序、安全和系統事件。通過使用事件查看器中的事件日誌，用戶可以獲取有關硬體、軟體和系統組件的信息，並可以監視本地或遠程計算機上的安全事件。事件日誌可幫助您確定和診斷當前系統問題的根源，還可以幫助用戶預測潛在的系統問題。WindowsNT/2000的系統日誌由事件記錄組成。每個事件記錄為三個功能區：記錄頭區、事件描述區和附加數據區，表14-3-1描述了事件記錄的結構。

表14-3-1 事件日誌結構

記錄頭

日期

時間

主體標識

計算機名

事件標號

事件來源

事件等級

事件類別

事件描述

事件描述區的內容取決於具體的事件，可以是事件的名稱、詳細說明、產生該事件的原因、建議的解決方案等信息。

附加數據

可選數據區，通常包括可以以16進制方式顯示的二進制數據。具體內容由產生事件記錄的應用程序決定。

事件標題包含以下關於事件的信息，如表14-3-2所描述。

表14-3-2 事件標題信息

日期

事件發生的日期

時間

事件發生的時間

用戶

用戶事件發生時己登錄的用戶的用戶名。

計算機

發生事件的計算機的名稱。

事件ID

標識事件類型的事件編號。產品支持代表可以使用事件ID來幫助了解系統中發生的事情。

來源

事件的來源。它可以是程序、系統組件或大型程序的個別組件的名稱。

類型

事件的類型。它可以是以下五種類型之一：錯誤、警告、信息、成功審核或失敗審核。

類別

按事件來源對事件進行的分類。它主要用於安全日誌。

所記錄的每個事件的描述取決於事件類型。日誌中的每個事件都可歸類為表14-3-3所描述的類型之一。

表14-3-3 事件類型

信息

描述任務(如應用程序、驅動程序或服務)成功運行的事件。例如，當網路驅動程序成功載入時將記錄「信息」事件。

警告

不一定重要但可能表明將來有可能出現問題的事件。例如，當磁碟空間快用完時將記錄「警告」消息。

錯誤

描述重要問題(如關鍵任務失敗)的事件。「錯誤」事件可能涉及數據丟失或功能缺失。例如，當啟動過程中無法載入服務時將記錄「錯誤」事件。

成功審核

（安全日誌）

描述成功完成受審核安全事件的事件。例如，當用戶登錄到計算機時將記錄「成功審核」事件。

失敗審核

（安全日誌）

描述未成功完成的受審核安全事件的事件。例如。當用戶無法訪問網路驅動器時可能記錄「失敗審核」事件。

Windows2003的日誌系統通常放在下面的位置：
（1）安全日誌文件：C:\WINDOWS\system32\config\SecEvent.EVT。
（2）系統日誌文件：C:\WINDOWS\system32\config\SysEvent.EVT。
（3）應用程序日誌文件：C:\WINDOWS\system32\config\AppEvent.EVT。
（4）FTP服務日誌默認位置：C:\WINDOWS\system32\LogFiles\msftpsvc1\。
（5）WWW服務日誌默認位置：C:\WINDOWS\system32\LogFiles\w3svc1\。
日誌要做到客觀、真實必須要從日誌的安全性來考慮，在這方面Windows系統日誌也對日誌進行了適當的保護。Windows系統的日誌往往會通過後台服務來對日誌文件起到一定的保護作用。服務Event Log就是用來保護事件日誌的。並且日誌文件還會通過注冊表中設置鍵值來定位。系統管理員還會通過備份、移位、設置文件訪問許可權等手段來對日誌文件進行適當的保護。但是，這樣做對系統日誌的安全性來說遠未得到保障。日誌文件通常有某項服務在後台保護，除了系統日誌、安全日誌、應用程序日誌等等，它們的服務是Windows2003的關鍵進程，而且與注冊表文件在一塊，當Windows2003啟動後，啟動服務來保護這些文件，所以很難刪除，而FTP日誌和WWW日誌以及SchedLgU日誌都是可以輕易地刪除的。
二．IIS的日誌及日誌格式
IIS（Internet 信息服務）的日誌是用於記錄關於用戶活動的細節並按一定的格式創建的可以查看的文件。
信息存儲在ASCII文件或與ODBC兼容的資料庫中。IIS中的日誌記錄信息超出了Microsoft Windows事件日誌或性能監視器功能的范圍。日誌包括的信息諸如哪些用戶訪問了您的站點、訪問者查看了什麼內容，以及最後一次查看該信息的時間。可以使用日誌來評估內容受歡迎程度或識別信息瓶頸。
IIS服務提供了四種日誌文件的格式可以供你選擇，他們分別是：
（1）Microsoft IIS日誌文件格式：一種固定的ASCII格式。
（2）NCSA共用日誌文件格式：一種固定的ASCII格式。
（3）ODBC日誌記錄：一種記錄到資料庫的固定格式，與該資料庫兼容。
（4）W3C擴展日誌文件格式：一種可自定義的ASCII格式，默認情況下選擇此格式。
下面分別詳細介紹這些格式。
1．IIS日誌文件格式
IIS格式是固定的（不能自定義的）ASCII格式。IIS格式比NCSA公用格式記錄的信息多。IIS格式包括一些基本項目，如用戶的IP地址、用戶名、請求日期和時間、服務狀態碼和接收的位元組數。另外，IIS格式還包括詳細的項目，如所用時間、發送的位元組數、動作（例如，GET命令執行的下載）和目標文件。這些項目用逗號分開，使得格式比使用空格作為分隔符的其他ASCII格式更易於閱讀。時間記錄為本地時間。
當在文本編輯器中打開IIS格式的文件時，項目與下面的示例相似：

192.168.114.201，-，03/20/01，7：55：20，w3svc2,sales1,172.21.13.45,4502,163,3223,200,0,GET, /DeptLogo.gif ,-,

172.16.255.255,anonymous, 03/20/01, 23:58:11, MSFTPSVC, SALES1, 172.16.255.255, 60,275,0,0,0, pass, /Intro.htm, -,

上面所示的項目將在下面的表中加以說明。每個表的頂行來自第二個站點實例（以W3SVC2形式出現在「服務」下面），底行來自第一個FTP站點實例（以MSFTPSVC1形式出現在「服務」下面）。由於頁寬所限，該示例出現在三個表中。

用戶的IP地址

用戶名稱

日期

時間

服務和實例

計算機名

192.168.114.201

03/20/01

7:55:20

W3SVC2

SALES1

172.16.255.255

匿名

03/20/01

23:58:11

MSFTPSVC1

SALES1

伺服器IP地址

所用時間

發送位元組

接收位元組

服務狀態碼

狀態碼

172.21.13.45

4502

163

3223

200

0

172.16.255.255

60

275

0

0

0

請求類型

操作目標

參數

GET

/DeptLogo.gif

[376] PASS

/Intro.htm

在上面的示例中，第一個項目表明：2001年3月20日上午7:55，IP地址為192.168.114.201的匿名用戶發出一條HTTP GET命令，從IP地址為172.21.13.45、名為SALES1的伺服器請求圖像文件/DeptLogo.gif。163位元組的HTTP請求有4502毫秒（4.5秒）的處理時間來完成，並將3223個位元組的數據毫無錯誤地返回給匿名用戶。
2．NCSA公用日誌文件格式
（美國）國家超級計算技術應用中心（NCSA）公用格式是一種固定的（不能自定義的）ASCII格式，可用於網站但不能用於FTP站點。NCSA公用格式記錄了關於用戶請求的基本信息，如遠程主機名、用戶名、日期、時間、請求類型、HTTP狀態碼和伺服器發送的位元組數。項目之間用空格分開；時間記錄為本地時間。
當在文本編輯器中打開NCSA公用格式文件時，項目與下面的示例相似：

以上示例的項目在下面的表中說明。由於頁寬所限，該示例顯示在兩個表中。

遠程主機

遠程登錄名稱

用戶名稱

日期

時間和GMT時差

172.21.13.45

-

Microsoft\fred

08/Apr/2001

17:39:10 -0800

請求/版本

服務狀態碼

傳送的位元組

GET/scripts/iisadmin/ism.dll?http/serv HTTP/1.0

200

3401

上面的項目表明：Microsoft域中IP地址為172.21.13.45、名為Fred的用戶在2001年4月8日下午5:39分發出一條HTTP GET命令（即下載一個文件）。該請求將3401個位元組的數據正確無誤地返回給名為Fred的用戶。
3. 使用ODBC日誌記錄用適當的屬性為日誌數據創建包含表的資料庫
IIS中包含有sql模板文件，它可以在SQL資料庫中運行，以創建從IIS接受日誌項目的表。該文件名為Logtemp.sql且位於systemroot\System32\Inetsrv（如果您接受了安裝默認值）。下列屬性是必需的：

表14-3-4 ODBC日誌屬性

屬性名稱

屬性類型

ClientHost

varchar(255)

Username

varchar(255)

LogTime

datetime

Service

varchar(255)

Machine

varchar(255)

ServerIP

varchar(50)

ProcessingTime

Int

BytesRecvd

Int

BytesSent

Int

ServiceStatus

Int

Win32Status

Int

Operation

varchar(255)

Target

varchar(255)

Parameters

varchar(255)

為資料庫賦予系統數據源名(DSN)，ODBC軟體用它來查找資料庫。向IIS提供資料庫和表的名稱。如果訪問資料庫時需要用戶名和密碼，也必須在IIS中指定。
4．W3C擴展日誌文件格式
W3C擴展格式是一個包含多個不同屬性、可自定義的ASCII格式。可以記錄對您來說重要的屬性，同時通過省略不需要的屬性欄位來限制日誌文件的大小。屬性以空格分開，時間以UTC形式記錄。W3C擴展日誌記錄定義如表14-3-5。

表14-3-5 W3C擴展日誌記錄定義

前綴

含義

s-

伺服器操作。

c-

客戶端操作。

cs-

客戶端到伺服器的操作。

sc-

伺服器到客戶端的操作。

欄位

格式

描述

日期

data

活動發生的日期。

時間

time

活動發生的時間。

客戶端IP地址

c-ip

訪問伺服器的客戶端IP地址。

用戶名

cs-username

訪問伺服器的已驗證用戶的名稱。這不包括用連字元(-)表示的匿名用戶。

服務名

s-sitename

客戶端所訪問的該站點的Internet服務和實號碼。

伺服器IP地址

s-ip

生成日誌項的伺服器的IP地址。

伺服器埠

s-port

客戶端連接到的埠號

方法

cs-method

客戶端試圖執行的操作（例如GET方法）

URI資源

cs-uri-stem

訪問的資源，例如Default.htm。

URI查詢

cs-uri-query

客戶端正在嘗試執行的查詢（如果有）。

協議狀態

sc-status

以HTTP或FTP術語表示的操作的狀態。

Win32狀態

sc-win32-status

用Windows使用的術語表示的操作的狀態。

發送的位元組數

sc-bytes

伺服器發送的位元組數。

接收的位元組數

cs-bytes

伺服器接收的位元組數。

所用的時間

time-taken

操作花費的時間長短（毫秒）。

協議版本

cs-version

客戶端使用的協議（HTTP，FTP）版本。對於HTTP，這將是HTTP1.0或HTTP1.1。

主機

cs-host

顯示主機頭的內容。

用戶代理

cs(User-Agent)

在客戶端使用的瀏覽器。

Cookie

cs(Cookie)

發送或接收的Cookie的內容（如果有）。

引用站點

cs(Referer)

用戶訪問的前一個站點。此站點提供到當前站點的鏈接。

以下示例顯示了使用下列屬性的文件語句：時間、客戶端IP地址、方法、URL資源、協議狀態和協議版本。

上面所示的項目表明：2001年5月2日下午5:42(UTC)，HTTP版本為1.0、IP地址為172.16.255.255的用戶針對/Default.htm文件發出了HTTP GET命令。該請求正確無誤地返回。#Date:屬性欄位表明了第一個日誌項目建立的時間，也就是創建日誌的時間。#Version:屬性欄位指出使用的是W3C擴展日誌記錄格式。
5．自定義錯誤消息
所有IIS自定義錯誤消息都顯示行業標准HTTP代碼，這樣可以確保與HTTP1.1錯誤消息一致。但是，可以使用IIS中的「自定義錯誤」屬性頁來自定義常規的HTTP錯誤消息。
自定義錯誤消息作為列表顯示在IIS的管理單元中，IIS將其作為單個屬性來處理。例如，在網站級別配置一組自定義錯誤消息後，該伺服器下的所有目錄均繼承整個自定義錯誤消息列表。即並不會合並這兩個自定義錯誤消息列表（分別用於伺服器和目錄）。
可以使用IIS來自定義以下HTTP錯誤消息。

表14-3-6 HTTP錯誤消息

錯誤代碼

錯誤消息

400

無法解析此請求。

401.1

未經授權：訪問由於憑據無效被拒絕。

401.2

未經授權:訪問由於伺服器配置傾向使用替代身份驗證方法而被拒絕。

401.3

未經授權：訪問由於ACL對所請求資源的設置被拒絕。

401.4

未經授權：Web伺服器上安裝的篩選器授權失敗。

401.5

未經授權：ISAPI/CGI應用程序授權失敗。

401.7

未經授權：由於Web伺服器上的URL授權策略而拒絕訪問。

403

禁止訪問：訪問被拒絕。

403.1

禁止訪問：執行訪問被拒絕。

403.2

禁止訪問：讀取訪問被拒絕。

403.3

禁止訪問：寫入訪問被拒絕。

403.4

禁止訪問：需要使用SSL查看該資源。

403.5

禁止訪問：需要使用SSL 128查看該資源。

403.6

禁止訪問：客戶端的IP地址被拒絕。

403.7

禁止訪問：需要SSL客戶端證書。

403.8

禁止訪問：客戶端的DNS名稱被拒絕。

403.9

禁止訪問：太多客戶端試圖連接到Web伺服器。

403.10

禁止訪問：Web伺服器配置為拒絕執行訪問。

403.11

禁止訪問：密碼已更改。

403.12

禁止訪問：伺服器證書映射器拒絕了客戶端證書訪問。

403.13

禁止訪問：客戶端證書已在Web伺服器上吊銷。

403.14

禁止訪問：在Web伺服器上已拒絕目錄列表。

403.15

禁止訪問：Web伺服器已超過客戶端訪問許可證限制。

403.16

禁止訪問：客戶端證書格式錯誤或未被Web伺服器信任。

403.17

禁止訪問：客戶端證書已經到期或者尚未生效。

403.18

禁止訪問：無法在當前應用程序池中執行請求的URL。

403.19

禁止訪問：無法在該應用程序池中為客戶端執行CGI。

403.20

禁止訪問：Passport登錄失敗。

404

找不到文件或目錄。

404.1

文件或目錄未找到：網站無法在所請求的埠訪問。

註：404.1錯誤只會出現在具有多個IP地址的計算機上。如果在特定IP地址/埠組合上收到客戶端請求，而且沒有將IP地址配置為在該特定的埠上偵聽，則IIS返回404.1HTTP錯誤。例如，如果一台計算機有兩個IP地址，而只將其中一個IP地址配置為在埠80上偵聽，則另一個IP地址從埠80收到的任何請求都將導致IIS返回404.1錯誤。只應在此服務級別設置該錯誤，因為只有當伺服器上使用多個IP地址時才會將它返回給客戶端。

404.2

文件或目錄無法找到：鎖定策略禁止該請求。

404.3

文件或目錄無法找到：MIME映射策略禁止該請求。

405

用於訪問該頁的HTTP動作未被許可。

406

客戶端瀏覽器不接受所請求頁面的MIME類型。

407

Web伺服器需要初始的代理驗證。

410

文件已刪除。

412

客戶端設置的前提條件在Web伺服器上評估時失敗。

414

請求URL太大，因此在Web伺服器上不接受該URL。

500

伺服器內部錯誤。

500.11

伺服器錯誤：Web伺服器上的應用程序正在關閉。

500.12

伺服器錯誤：Web伺服器上的應用程序正在重新啟動。

500.13

伺服器錯誤：Web伺服器太忙。

500.14

伺服器錯誤：伺服器上的無效應用程序配置。

500.15

伺服器錯誤：不允許直接請求GLOBAL.ASA。

500.16

伺服器錯誤：UNC授權憑據不正確。

500.17

伺服器錯誤：URL授權存儲無法找到。

500.18

伺服器錯誤：URL授權存儲無法打開。

500.19

伺服器錯誤：該文件的數據在配置資料庫中配置不正確。

500.20

伺服器錯誤：URL授權域無法找到。

500 100

內部伺服器錯誤：ASP錯誤。

501

標題值指定的配置沒有執行。

502

Web伺服器作為網關或代理伺服器時收到無效的響應。

C. 開元hadoop開審計日誌沒,hadoop審計日誌保留多長時間記錄

系統審計日誌默認可保存180天。
在雲堡壘機系統數據盤空間使用率低於90%情況下，系統審計日誌默認可保存180天。因雲堡壘機系統默認開啟了「自動刪除」功能，將根據日誌存儲歷史和系統存儲空間使用率，觸發自動刪除歷史日誌。您也可以修改自動刪除設置，修改「自動刪除」中日誌保存時間，在系統數據盤空間充裕情況下，可延長系統審計日誌存儲時間，甚至可一直保存系統審計日誌。

D. linux審計日誌可以存多久

Linux的日誌文件根據需要，你可以一直保存都可以。
這取決於你的硬碟大小和是否設置定期清除一定日期之前的日誌文件。

E. 審計日記的記錄是什麼

1、審計日記應當真實記錄審計過程，不應遺漏和虛構，要緊扣審計目標，突出重點，繁簡適當，真實、完整地記錄，強調審計日記和審計底稿關系。

2、審計日記要按時間順序，連續完整地反映每日實施審計全過程。要對具體查證過程和結果連續地記錄，包括審查文件和資料、談話的人以及詢問的相關內容；要現場編制、當場復核、及時補正，強調審計日記的時間連續性。

3、審計日記要要素齊全、層次明確、形式嚴謹。審計日記在編制過程中，內容上各要素必須齊全，查證過程、專業判斷、發現問題、評價定性、法規依據等內容完整，表述層次要分明，勾稽關系要嚴謹。如收集的證據資料、編制的工作底稿的交叉引用等，要有備注說明或附相關證據資料，強凋審計日記的完整性。

4、編寫審計日記的禁忌。一是編制的內容偏離具體審計目標；二是簡單地抄寫會計資料的數據；三是沒有問題的審計事項不作記錄；四是編制內容過於簡單、不夠詳細，或者過於繁多、龐雜、累贅：五是在審計實施階段結束後再編制日記，審計組長在審計實施階段結束後再復核。

F. 日誌審計注意事項

對網路系統中的網路設備運行狀況、網路流量、用戶行為等進行日誌記錄；
審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；
能夠根據記錄數據進行分析，並生成審計報表；
對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。

-----------南京聯成科技發展股份有限公司

G. 系統中審計日誌滿了怎麼辦

使用卓豪的log360（全方位日誌分析及管理解決方案），可以對企業中的各種來源的日誌（windows，linux，路由器、交換機、防火牆，Exchange，Active Directory，Office365，資料庫，各種應用程序以及一切非加密的日誌）進行統一管理，並提供強大的分析報表。還可以對您的日誌進行定期歸檔和保存。

H. 什麼是審計日誌 麻煩解答一下

審計日誌，就是所承接的審計項目工作日誌。
有時候，某些審計項目規模比較大，涉及的內容、細節較多，而且工作計劃、工作安排、審計過程中遇到的問題也較多。因此需要系統的記錄才能保證審計順利完成。