公司内网突然变慢,IT小李一查发现某台服务器凌晨时段流量暴增。他没急着重启服务,而是打开日志审计系统,翻看最近的流量记录。几分钟后,问题定位——一台测试服务器被误配为公网可访问,成了外部扫描的目标。这就是日志审计结合流量分析带来的实际价值。
日志和流量,到底谁说了算?
很多人觉得日志就是记录“谁在什么时候干了什么”,而流量分析是网络设备的事,两者不搭界。其实不然。现代日志审计系统早已不局限于文本日志收集,它能整合NetFlow、sFlow甚至镜像流量(Mirror)数据,把网络行为和系统操作关联起来。
比如,当你看到一条SSH登录成功的日志,同时对应时间点出现大量外发TCP连接,这就值得警惕。单看日志,是个正常登录;单独看流量,可能只是一堆IP通信。但合在一起,就很可能是内网横向移动的迹象。
怎么让日志系统“看见”流量?
关键在于数据源接入。主流的日志平台如ELK、Graylog或Splunk,都支持导入网络设备导出的流量元数据。以Cisco路由器为例,可以开启NetFlow并指向日志服务器:
ip flow-export version 9
ip flow-export destination 192.168.10.50 2055
interface GigabitEthernet0/1
ip route-cache flow这里的192.168.10.50就是运行日志审计系统的主机,端口2055接收流量摘要。系统通过解析这些数据,生成会话级的通信图谱,再和防火墙、主机日志做时间戳对齐,异常行为自然浮现。
实战:揪出偷偷传数据的程序
上周财务部电脑频繁卡顿,杀毒软件却毫无反应。我们调出该主机的日志,发现每天下午4点左右有进程svchost.exe发起对外HTTPS连接,目标IP变动频繁。进一步比对流量日志,发现每次连接持续约3分钟,平均上传80MB数据。
看起来像正常同步?问题在于,这台机器根本不该有后台同步任务。我们抓包分析,确认是某个伪装成系统服务的木马,在利用加密通道外传文件。若只看安全日志,这个行为不会触发告警;但结合流量体积和频率,规则一写就中。
自定义规则别太“死板”
很多单位用固定阈值判断异常,比如“单机每秒发包超1000即报警”。这种规则在真实环境中误报率极高。会议室的投影仪投屏时也可能瞬间打满带宽。
更实用的做法是建立基线。让系统先学习一周的正常流量模式,自动识别“上班时间办公区上行小于5Mbps”这类习惯。一旦偏离超过两个标准差,才触发提醒。这样既不过敏,也不漏网。
日志审计不是摆设,流量分析也不是高端玩具。把它们捏在一起,才能看清网络里真正发生的事。下次遇到说不清的卡顿或延迟,别急着换设备,先去日志里翻翻流量记录,答案可能早就写好了。