ICS 35.020 CCS L 72 浙 江 3301 省 杭 州 市 地 方 标 准 DB 3301/T 0371—2022 一体化智能化公共数据平台日志规范 2022 - 08 - 30 发布 2022 - 09 - 30 实施 杭州市市场监督管理局  发 布 DB 3301/T 0371—2022 目 次 前言 .................................................................................. II 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 日志采集要求 ........................................................................ 1 4.1 4.2 4.3 概述 ............................................................................ 2 日志采集格式 .................................................................... 2 日志采集方式 .................................................................... 2 5 日志存储要求 ........................................................................ 2 6 日志分析要求 ........................................................................ 2 6.1 6.2 6.3 6.4 概述 ............................................................................ 2 规则策略 ........................................................................ 3 关联分析 ........................................................................ 3 行为分析 ........................................................................ 4 附录 A（规范性） A.1 A.2 A.3 A.4 A.5 A.6 A.7 一体化智能化公共数据平台日志 ..........................................5 主机操作系统日志 ................................................................ 5 数据库日志 ...................................................................... 7 对象存储日志 ................................................................... 10 云管理控制台日志 ............................................................... 12 网络设备日志 ................................................................... 13 安全设备日志 ................................................................... 15 应用系统日志 ................................................................... 16 I DB 3301/T 0371—2022 前 言 本文件按照GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由杭州市数据资源管理局提出、归口并组织实施。 本文件主要起草单位：杭州市大数据管理服务中心（杭州市人民政府电子政务中心）、拱墅区数据 资源管理局、杭州安恒信息技术股份有限公司。 本文件主要起草人：齐同军、张斌、李国喜、吴光静、孙茂阳、胡琼达、姜云洲、李杰、金江锋、 边赢、孙戴博、吴晨、吴怡、徐龙华、樊兴悦。 II DB 3301/T 0371—2022 一体化智能化公共数据平台日志规范 1 范围 本文件规定了一体化智能化公共数据平台的日志采集要求、日志存储要求、日志分析要求。 本文件适用于一体化智能化公共数据平台日志采集、存储和分析工作。 2 规范性引用文件 下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069—2022 信息安全技术 术语 GB/T 35295—2017 信息技术 大数据 术语 DB33/T 2350—2021 数字化改革术语定义 3 术语和定义 GB/T 25069—2022 、GB/T 35295—2017、DB33/T 2350—2021界定的以及下列术语和定义适用于 本文件。 3.1 一体化智能化公共数据平台 integrated intelligent public data platform 以云计算、大数据、人工智能、互联网等技术为支撑，是省域治理全过程数据感知、数据共享、数 据计算的基础平台。 注 1：该平台用于支撑党政机关整体智治、数字政府、数字经济、数字社会、数字法治的实现。 注 2：该平台组成包括“四横四纵”体系和“两个前端”，纵向贯通省市县乡各层级。 注 3：“四横”是指：基础设施、数据资源、应用支撑、业务应用；“四纵”是指：政策制度、标 准规范、组织保障、政务网络安全；“两个前端”是指：“浙里办”和“浙政钉”。 [来源：DB33/T 2350—2021，3.1.1.2] 3.2 日志 log 系统中记录关于硬件、软件和系统操作及故障的信息。 3.3 云平台 cloud platform 云服务商提供的云基础设施及其上服务软件的集合。 3.4 对象存储 object storage 以对象作为存储单元,并提供对象级访问接口的云存储。 [GB/T 31916.1—2015，3.1.4] 4 日志采集要求 1 DB 3301/T 0371—2022 4.1 概述 一体化智能化公共数据平台日志采集范围包含但不限于主机系统、数据库、对象存储、云平台管理 控制台、网络设备、安全设备、应用系统的日志，并通过Syslog、API接口等方式采集和外送日志。 4.2 日志采集格式 附录A规定了一体化智能化公共数据平台日志数据内容，除附录A规定以外，可根据实际情况自定义 扩展字段。主要包括： a) 主机操作系统日志包括但不限于操作系统的用户登录日志、操作日志、任务日志，按 A.1 执行； b) 数据库日志包括但不限于数据库的用户登录日志、操作日志，按 A.2 执行； c) 对象存储日志包括但不限于对象存储的用户登录日志、操作日志，按 A.3 执行； d) 云平台管理控制台日志包括但不限于云平台管理控制台的用户登录日志、操作日志、云虚拟机 CPU 使用率、内存使用率、磁盘空间占有率，按 A.4 执行； e) 网络设备日志包括但不限于网络设备的用户登录日志、配置变更日志，按 A.5 执行； f) 安全设备日志包括但不限于安全设备的用户登录日志、配置变更日志、入侵事件日志、设备管 理日志和会话日志，按 A.6 执行； g) 应用系统日志包括但不限于各类生产业务、管理决策和支撑服务系统的用户登录日志、业务操 作日志、数据归集任务执行日志、数据治理操作日志和 API 接口调用日志，按 A.7 执行。 4.3 日志采集方式 日志采集方式包括但不限于Syslog、API接口等方式外送日志数据，并应满足下列要求： a) 支持全量、历史数据的外送采集服务； b) 支持实时或定时增量日志外送采集服务； c) 支持按照过滤条件的日志外送采集服务，例如字段内容； d) 支持外送失败报警服务、失败重发服务。 5 日志存储要求 在保障安全前提下做好日志存储工作，日志的存储满足下列条件： a) 日志保存的时限不应少于六个月，应对日志进行分类存储，涉及核心业务的日志如另有日志存 储时限要求的，原则上从其规定； b) 日志具有保密性要求时，应采取加密机制保证日志数据保密性，加密机制应符合相关法律法规 要求； c) 日志具有完整性要求时，应采取校验机制，保证日志数据完整性，校验机制应符合相关法律法 规要求； d) 严格控制日志的访问权限，确保日志的授权访问； e) 具备增量备份和恢复能力，当有异地备份要求时，应进行异地备份； f) 与统一的标准时间源保持同步。 6 日志分析要求 6.1 2 概述 DB 3301/T 0371—2022 采集的日志可基于规则策略、关联分析、行为分析等不同的维度开展日志分析工作，反映系统运行 状态及使用情况，发现安全风险隐患和安全事件溯源。 6.2 规则策略 6.2.1 主机日志分析 主机日志分析包括但不限于： a) 异常登录，包括未经授权登录、多次登录失败、频繁登录、非工作时间登录等； b) 高危端口开启、被利用情况； c) 用户账号和权限变更； d) 操作系统的启动、停止信息； e) 系统服务和配置修改； f) 特殊权限使用和操作。 6.2.2 数据库日志分析 数据库日志分析包括但不限于： a) 数据库异常