Логи и аудит: что собирать и как анализировать

Логи и аудит: что собирать и как анализировать

Логи — это следы всех действий в системе безопасности: от срабатываний датчика до смены пароля оператора. Правильный сбор и разбор логов помогает быстро понять, что случилось, кто виноват и как минимизировать последствия. Эта статья — для владельцев жилья, бизнеса и инсталляторов, которым важно держать порядок в событиях видеонаблюдения, контроля доступа и охранных систем.

Почему логи важны

Логи дают факты: кто входил в систему, когда камера потеряла связь, какие события активировали тревогу. Это нужно для устранения сбоев, расследования инцидентов и соответствия требованиям регуляторов.

Логи — это не просто текст. Это доказательства и способ быстро восстановить ход событий.

Что собирать: список источников

- Камеры и видеорегистраторы (DVR/NVR, VMS): подключение/отключение, перезагрузки, ошибки с записью. - Системы контроля доступа: открытия дверей, отказ в доступе, смена прав. - Домофоны и IP-станции: входящие/исходящие вызовы, записи разговоров (если есть). - Охранные панели и датчики: срабатывания, восстановление линии, тесты. - Сетевое оборудование: маршрутизаторы, коммутаторы, PoE-инжекторы — потеря связи, перегрузки. - Сервера и рабочие станции: входы пользователей, обновления ПО, действия администраторов. - SIEM, антивирусы, IDS/IPS — корреляция угроз. - Видеопотоки и записи (хранение видео — отдельный ресурс, но события по записям тоже логируются). Для подбора оборудования смотрите раздел видеонаблюдения на y-ss.ru: https://y-ss.ru/catalog/sistemy_videonablyudeniya/ и общий каталог https://y-ss.ru/catalog/.

Какие поля в логе важны

- Время события (обязательно синхронизированное по NTP). - Источник (IP, ID устройства). - Тип события (auth, connect, motion, alarm). - Описание/код события. - Пользователь/процесс, инициировавший событие. - Идентификатор сессии или ссылки на запись видео. Вот как это работает: без точного времени вы не свяжете событие датчика с фрагментом видео.

Простая схема сбора и анализа

1. Устройства отправляют логи по syslog/HTTPS/CBOR на центральный коллектор. 2. Коллектор нормализует форматы и хранит в индексе (Elasticsearch, Graylog). 3. SIEM анализирует корреляции, подаёт алерты. 4. Оперативная панель показывает текущие проблемы и ссылки на видео/записи. Техническая блок-схема: - Устройства → Лок. буфер → Коллектор (rsyslog/Logstash) → Индексатор (Elasticsearch) → Визуализация (Kibana/Graylog) → Архив.

Анализ логов: простые подходы

- Поиск по ключевым словам и фильтры по времени. - Корреляция: событие «дверь открыта» + «видео: нет записи» = срочная проверка. - Аномалия: вход в систему во внерабочее время от нового IP. - Построение временной шкалы инцидента: сначала датчики, затем видео, потом действия операторов. Инструменты: ELK (Elasticsearch/Logstash/Kibana), Graylog, Wazuh, Splunk. Для небольших инсталляций хватит rsyslog + Graylog.

Пример расчёта объёма логов

Предположим сеть из 100 камер: - Журнал событий камер: 500 событий/камера/день × 0.5 КБ = 250 КБ/камера/день → 25 МБ/день на все камеры. - NVR системные логи: 100 МБ/день. Итого ≈ 125 МБ/день. За год — ~45 ГБ. Добавьте логи серверов и сетей — увеличится в 2–3 раза. Для хранения крупных логов и метаданных учитывайте индексирование (Elasticsearch может потребовать 1.5–3× места).

Таблица: типы логов и рекомендации

Источник	Примеры событий	Зачем	Рекомендованное хранение
Камеры/NVR	Потеря связи, ошибки записи, motion	Диагностика, поиск видео	90 дней метаданные, 30–90 дней видео
Контроль доступа	Проходы, отказ, смена прав	Проверка доступа, расследование	1–3 года (зависит от рег.требований)
Сетевое оборудование	Падение линка, авторизация	Причины отказов	180 дней
Серверы/админы	Логи доступа, config change	Аудит действий	1–3 года

Безопасность, целостность и закон

- Синхронизация времени (NTP) обязательна. - Защищайте каналы (TLS/HTTPS, VPN) — иначе логи можно подделать. - Для критичных событий используйте подпись/хеширование логов. - Храните резервные копии и проверяйте их целостность. - Учитывайте местные законы по хранению персональных данных и видеозаписей; в ряде случаев нужны заявления и ограничение доступа к материалам.

Пошагово для начинающего

1. Включите отправку syslog на центральный сервер у всех устройств. 2. Настройте NTP на всех устройствах. 3. Соберите критические поля в единый формат. 4. Настройте базовые алерты: потеря сигнала камеры, отказ записи, множественные неудачные входы. 5. Периодически экспортируйте логи в архив и проверяйте читаемость.

Практические рекомендации для инсталляторов и владельцев

- Маркируйте устройства понятными именами (камера-этаж-коридор). - Сопоставляйте логи с видеозаписями: в интерфейсе должно быть быстрое открытие записи по событию. - Для продажи и обслуживания предлагайте пакеты с мониторингом и хранением логов — это полезно клиентам малого бизнеса. - Если нужно купить оборудование или ПО — смотрите раздел системы видеонаблюдения на y-ss.ru: https://y-ss.ru/catalog/sistemy_videonablyudeniya/ и общий каталог https://y-ss.ru/catalog/.

Чек-лист

- NTP настроен на всех устройствах. - Логи централизуются (syslog/HTTPS). - Мин. поля: время, источник, тип, описание. - Шифрование каналов передачи логов. - Резервное хранение и контроль целостности. - Алерты на ключевые события. - Политика хранения и доступов, оформленная документально. В конце, если вы начнёте с малого — централизованного сбора метаданных и базовых алертов — это уже сильно упростит работу при инциденте. Смотрите, какая штука: даже простая настройка NTP и отправка syslog на один сервер даст вам порядок в событиях и позволит быстрее разбираться со сбоями и нарушениями.