合规与审计 台湾vps 直连高防云空间 的日志保留与分析实践

1. 环境准备与前置检查

- 检查时间同步：sudo apt-get install -y chrony && sudo systemctl enable --now chrony；确认 ntpstat 或 chronyc tracking 正常。
- 确认网络直连与防火墙：确保台湾VPS到高防云空间的端口（UDP/514、TCP 5044/9200 等）在云侧白名单可达。使用 telnet IP port 或 ss -tunlp 验证。

2. 本地日志采集（rsyslog/systemd）配置

- 安装并启用 rsyslog：sudo apt-get install -y rsyslog；编辑 /etc/rsyslog.d/50-remote.conf，添加：*.* @@collector.example.com:514（使用双@为TCP，单@为UDP）。
- 保证日志格式和标签：$template PerHost,"<%PRI%>%TIMESTAMP% %HOSTNAME% %syslogtag%%msg%\n" 并在规则中引用，便于后端解析。

3. 日志文件轮转与本地保留策略

- 使用 logrotate：创建 /etc/logrotate.d/custom-logs，示例：/var/log/myapp/*.log { daily rotate 14 compress missingok notifempty copytruncate }。
- 合规策略建议：关键审计日志至少保留90天，系统/访问日志保留365天，轮转后上传到归档（见第6步）。

4. 安全传输与加密验签

- 建议使用 TLS：rsyslog 配合 omfwd 使用 TLS，生成证书并在 /etc/rsyslog.d/ 中配置：$DefaultNetstreamDriverCAFile /etc/ssl/certs/ca.pem 等。
- 日志完整性：上传归档时对文件生成 sha256sum，并保存签名，便于审计时验证（sha256sum file > file.sha256）。

5. 集中化采集与解析（Filebeat/Logstash/ELK）

- 部署 Filebeat：编辑 filebeat.yml 指定 paths、fields、output.elasticsearch 或 output.logstash（host 为高防云侧的接收器）。
- 在 Logstash 配置 pipeline，使用 grok/kv/json 解析字段，输出到 Elasticsearch 并在 Kibana 中建索引模板与时间字段映射。

6. 存储、保留策略与分层归档

- Elasticsearch ILM 策略示例：hot 7d -> warm 30d -> cold 180d -> delete 365d；在 Kibana 中设置索引生命周期。
- 归档到对象存储：对需长期保存（比如证据）的日志，每日打包并上传到高防云提供的对象存储，使用 lifecycle policy 自动转为低频或归档层。

7. 审计查询与取证操作步骤

- 快速检索：Kibana 中按时间+host+关键词过滤，保存查询为 Saved Search；必要时导出为 ndjson 或 CSV。
- 取证链路：导出原始日志、计算并记录 hash、签名并存储元数据（采集时间、采集节点、Operator）用于后续审计。

8. 日志合规检查与自动告警

- 定期合规扫描：编写脚本检查关键日志是否按天到达集中器（使用 API 查询索引文档量并比对预期）。
- 告警配置：在 ELK 或 Prometheus+Alertmanager 中配置未到达/格式异常/签名失败的告警，发送至运维与合规团队的告警渠道。

9. 常见问答 — 我如何保证台湾VPS传输到高防云时不丢失日志？

问：如何保证传输可靠性与不丢失？
答：采用TCP或TLS传输（rsyslog 双@或 Filebeat 的输出为 logstash），并开启本地缓冲（Filebeat 的 spool_size/registry）与重试策略，结合 logrotate 不删除未发送日志的策略；另外在集中端实施接收确认与补发机制。

10. 常见问答 — 审计要求要保留五年怎么办？

问：若合规要求保留五年日志，应如何部署？
答：本地保留短期（90-365天），长期归档到对象存储或离线冷存（按月打包并上传），对归档文件做 sha256 校验并保存签名与元数据，确保存取权限与审计日志记录每次访问。

11. 常见问答 — 出现异常如何快速取证？

问：发生安全事件时如何快速定位证据？
答：使用时间线查询（Kibana Timeline）先锁定时间窗与主机，导出原始日志并比对校验和；同时拉取关联网络流量、应用日志与系统审计（auditd）记录，汇总到取证包并上报合规小组。

来源：合规与审计 台湾vps 直连高防云空间 的日志保留与分析实践