windows日志分析工具 Windows日志

在任何合规工作中,IT 管理员都需要向审计员证明企业网络的安全性 。为此,不少管理员都采用 RADIUS (远程身份验证拨入用户服务)协议,要求所有用户在网络认证中使用唯一的身份凭证 。
【windows日志分析工具 Windows日志】虽然 RADIUS 认证能有效保护网络安全,但仍需要跟踪认证日志以便进行网络审计 。而为了充分证明企业网络的安全合规,管理员需要一个可以和 RADIUS 认证关联的日志记录方案 。
1. RADIUS 认证助力企业网络合规

不同的行业机构对于合规性要求也不同,但通常都会关注对机密数据的访问授权问题 。除了这类主要的安全功能外,大多数法规还会要求企业记录、监控 IT 资源的访问事件作为合规依据 。
在这些需要监控的资源中,网络是核心部分之一 。毕竟,用户获得网络的访问权限后就能访问授权使用的各种工具和数据 。为了实现合规性,管理员需要证明企业的网络是安全受控的,并且每个访问者的准入情况都会被跟踪记录 。
这就是 RADIUS 认证发挥作用的地方 。RADIUS 认证服务器可以同步企业的本地目录服务或身份源(IdP)数据,要求每个用户在访问网络时提供唯一的标识 。管理员还可以使用 RADIUS 认证来控制对虚拟专用网络 (VPN) 的访问,自动将流量分段到不同的虚拟局域网 (VLAN) 。采用 RADIUS认证后,用户只有通过认证成为已知实体才能访问核心网络及相关资源 。从合规性的角度来看,RADIUS 满足了多个关键要求,加上 RADIUS 的日志记录工具后更是事半功倍 。
2. RADIUS 日志记录工具

RADIUS 的日志记录有多种方法,具体采用哪种取决于 RADIUS 协议的实现方式 。
1)FreeRADIUS
FreeRADIUS 是一种开源 RADIUS 服务,为已经部署服务器硬件的用户提供免费的 RADIUS 认证功能,但对于技术配置有一定要求 。在配置过程中,管理员会专门创建文件夹用来存储服务器日志,需要查看日志事件时查询文件夹即可 。
出于合规目的,这些原始的日志数据导出后还需要一定处理才能交付给审计人员,用于后续的分析或可视化 。此外,由于故障转移需要多台服务器,每台服务器都需要单独提取数据,合规性待办事项一多,这项单调的任务就会增加管理员的工作负担 。此外,日志数据还需要加工成日志会话,方便完整跟踪每个用户 。
2)Windows 网络策略服务器 (NPS)
Windows Server 自带的 RADIUS 代理服务器可集成到微软 Active Directory 这一本地身份源,不同的管理员可以使用同一个工具进行网络准入控制,管理环境中的大部分资源 。其中Windows 网络策略服务器(NPS) 相当于 Windows 系统的保护伞,支持管理员通过 Windows 事件查看器访问相关日志 。
但也有一些企业由于 Windows Server 版本过旧或业务上云的需求,需要实施新的 RADIUS 认证服务 。对于这类企业有哪些可用的选择呢?
3)云 RADIUS 认证+云身份目录服务
RADIUS 认证云服务既具备 RADIUS 认证服务器的安全优势,又无需对物理服务器进行运维 。此外,结合 RADIUS 即服务(SaaS 化的 RADIUS)与云身份目录服务 NingDS 后还能通过目录服务中的日志模块记录 RADIUS 服务器及其他终端的事件日志(登录日志、操作日志) 。日志模块是 NingDS 云身份目录提供的一项高级服务,清晰记录网络准入事件的数据,包括:
用户接入登录日志管理员操作日志RADIUS、LDAP、SAML 终端Windows、Mac 和 Linux 系统NingDS 中用户身份、组和访问权限的更改

企业可以直接在 NingDS 平台中查看相应日志,可以导出为 Excel 或 CSV 文件用于审计跟踪,也可通过 API 将数据导出到分析工具 。借助 NingDS 不仅可以利用云 RADIUS 认证能力,还支持在线日志查看,既满足企业合规要求,又方便管理人员,一举两得 。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制 。如欲了解RADIUS认证更多内容,可前往宁盾官网博客解锁更多干货)

    推荐阅读