公司IT小张上周被叫去参加安全检查,翻出路由器后台一看——登录日志全是陌生IP,设备上线时间对不上,连管理员密码都还是出厂默认的。这不是技术故障,是网络管理审计没跟上。
审计不是查岗,是看‘谁在什么时候干了啥’
网络管理审计内容,说白了就是记录+回溯:谁登录过网管系统、改过哪条策略、删过哪个用户、导出过哪些配置。不是天天盯着屏幕看,而是让系统自动记清楚每一步操作痕迹。
比如你在Windows Server里用组策略配了全网DNS,或者在华为交换机上执行了undo dhcp enable,这些动作只要开启了审计日志,就会生成一条带时间戳、操作者账号、命令原文的记录。
系统设置里必须打开的几个开关
很多管理员以为装个防火墙就万事大吉,其实关键在本地系统设置。以Windows Server为例:
打开【本地组策略编辑器】→【计算机配置】→【Windows设置】→【安全设置】→【高级审核策略配置】→【系统审核策略】,重点勾选:
• 登录事件(成功+失败)
• 特权使用(比如谁用了net user /add)
• 策略变更(GPO修改、注册表关键键值改动)
• 对象访问(开启后可记录谁读取/修改了共享文件夹权限)Linux服务器也一样,/etc/audit/rules.d/audit.rules里至少得有这几行:
-w /etc/passwd -p wa -k identity
-a always,exit -F arch=b64 -S execve -k process
-w /etc/sudoers -p wa -k scope别只盯着“有没有日志”,要看“日志能不能用”
某学校教务网曾保存了半年的日志,结果真出问题时点开一看:全是auditd[1234]: type=1100 ... msg=...这种乱码字段,根本没法定位操作人。原因?没配ausearch或aureport解析工具,也没把日志转成中文可读格式。
建议日常做两件事:
① 每周用aureport -au --start this-week扫一遍异常登录;
② 把核心设备(域控、核心交换机、DHCP服务器)的日志统一打到一台Syslog服务器,避免单点丢失。
真实场景提醒
• 新员工入职当天就给ta开通域管理员权限?审计日志会立刻标红这条高危操作。
• 运维同事下班前顺手关掉防火墙测试端口,忘了恢复?日志里会有iptables -P INPUT ACCEPT的时间戳和执行账户。
• 某台打印机突然开始广播ARP欺骗包?查它的SNMP日志,可能发现有人远程改了ACL规则。
网络管理审计内容不是应付检查的摆设,是你电脑桌面上那个「看不见的值班员」。它不说话,但每笔操作都落了字据。