我们运维师傅经常会因为日志保存太费钱而只保存1个月的日志，有些运维人员不清楚到底要保存哪些日志，导致有的日志比如Nginx日志保存了，有的日志比如waf日志没保存。

我这里就试着分析一下，日志保存180天的要求是怎么来的，以及在面对不同的合规时，要保存哪些类型的日志。

日志保存要求，最最为大家熟知的应该是来自《中华人民共和国网络安全法》

图来自  https://www.cac.gov.cn/2016-11/07/c_1119867116_2.htm

我们看到，在《中华人民共和国网络安全法》第二十一条中明确规定了“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。”

也就是说，我们要有技术措施记录网络运行状态（如CPU利用率、内存使用情况、网络流量等），也要有技术措施记录网络安全事件（如登录尝试、权限变更、安全漏洞等）。然后这些记录日志要保存180天以上。

在等保三级要求中(GB/T 28448-2019)：

安全管理中心—集中管控—测评单元（L3-SMC1-10）

测评指标：应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求。

其中这个法律法规要求一般就是指网络安全法中的要求，至少6个月。但也有一些行业有特殊要求，那暂且不表。

注意，如果这里审计记录存储的时间不满足6个月的要求。那么可被判定为高风险。

图来自团体标准《T/ISEAA 001-2020 网络安全等级保护测评高风险判定指引》

在通保中，也有类似要求。

从这里我们可以这样总结：

等保三级需要对网络链路、安全设备、网络设备和服务器的运行状况进行集中监测。对分散在各个设备上的审计数据进行收集汇总和集中分析。

所以要有网络流量分析、入侵防御、waf这类监测数据。需要在性能允许的情况下开启网络设备、安全设备、主机设备、数据库的用户操作类和安全事件类审计策略。如果性能不允许，需要使用第三方日志审计工具。

应用系统操作类和安全类日志也要开启并保存。可以部署日志服务器，统一收集各个设备的审计数据，集中分析，保存6个月。

在其他情况下，比如通保二级以上的要求就需要各类安全监测数据和操作系统以及中间件日志保存6个月。如果是在阿里云上，就主要看云安全中心和云监控数据和相关日志信息。如果是机房，那就需要有一定的设备来实现监测数据的收集。

说得还不够具体，毕竟咱现在手里没有一些具体的设备操作图片，等有机会摸一些生产设备的时候，脱敏出来给大家看看更清楚。

THE END