取证与事件响应

日志的生成和收集是安全监控 OpenStack 基础设施的重要组成部分。日志提供了对管理员、租户和客户机日常操作的可视性，以及对构成您的 OpenStack 部署的计算、网络、存储和其他组件中的活动的可视性。

日志不仅对主动安全和持续合规活动有价值，也是调查和响应事件的重要信息来源。

例如，分析 Identity 服务或其替代身份验证系统的访问日志会提醒我们有关登录失败、频率、源 IP、事件是否限制在特定帐户以及其他相关信息。日志分析支持检测。

可以采取措施来缓解潜在的恶意活动，例如将 IP 地址列入黑名单、建议加强用户密码，或者如果认为帐户处于休眠状态，则停用用户帐户。

监控用例

事件监控是一种更主动地保护环境的方法，提供实时检测和响应。存在几种可以帮助进行监控的工具。

对于 OpenStack 云实例，我们需要监控硬件、OpenStack 服务和云资源的使用情况。后者源于希望具有弹性，能够扩展以满足用户的动态需求。

在实施日志聚合、分析和监控时，以下是一些重要的用例需要考虑。这些用例可以通过各种应用程序、工具或脚本来实现和监控。有开源和商业解决方案，一些运营商还会开发自己的内部解决方案。这些工具和脚本可以生成事件，这些事件可以通过电子邮件发送给管理员，或在集成仪表板中查看。重要的是要考虑可能适用于您的特定网络的其他用例，以及您认为的异常行为。

• 检测日志生成缺失是一种高价值事件。此类事件将表明服务故障，甚至表明入侵者已暂时关闭日志记录或修改了日志级别以掩盖其踪迹。

• 应用程序事件，例如未计划的启动或停止事件，也应进行监控和检查，以了解可能的安全影响。

• OpenStack 服务机器上的操作系统事件，例如用户登录或重启，也提供了对系统正确和不当使用的宝贵见解。

• 能够检测 OpenStack 服务器上的负载，还可以通过引入额外的服务器进行负载均衡来响应，以确保高可用性。

• 其他可操作的事件包括网络桥接断开、计算节点上的 ip 表被刷新以及由此导致的实例访问丢失，从而导致客户不满意。

• 为了减少 Identity 服务中用户、租户或域删除时孤立实例带来的安全风险，正在讨论在系统中生成通知，并让 OpenStack 组件根据需要响应这些事件，例如终止实例、断开连接的卷、回收 CPU 和存储资源等。

云将托管许多虚拟实例，监控这些实例超越了硬件监控和可能仅包含 CRUD 事件的日志文件。

安全监控控制，例如入侵检测软件、防病毒软件以及间谍软件检测和删除实用程序，可以生成显示攻击或入侵发生时间和方式的日志。在云机器上部署这些工具可以提供价值和保护。云用户，那些在云上运行实例的用户，也可能希望在其实例上运行此类工具。

参考文献

Siwczak, Piotr. OpenStack 云监控的一些实践考虑. 2012.

blog.sflow.com, sflow: 主机 sFlow 分布式代理. 2012.

blog.sflow.com, sflow: 局域网和广域网. 2009.

blog.sflow.com, sflow: 快速检测大流量 sFlow 与 NetFlow/IPFIX. 2013.