IT审计日志分析指南

1、本文格式为Word版，下载可任意编辑 IT审计日志分析指南 财务审计，直接打交道的是 财务数据，就是我们财务系统中导出来的报表、现金流量表、科目余额表、序时账。 当然做收入、本金类科目的时候也会去看 业务数据，一般也是看业务系统导出来的报表（好多时候，业务系统导出来的明细数据很大，财务审计一般没有才能审核）。 而 IT 审计会关注整个业务中的数据流转，从源头到最终的财务数据。对于中间不同系统间的流转会举行数据核对。而常规的对数据的分析，一般也是针对业务数据，譬如从不同维度分析收入明细的真实性、合理性。 这种分析一般直接从数据库里导出审计期间数据，依据表中有哪些字段，研究分析的维度，也会结合行业

2、特点，也会用一些统计学的学识。一般来说， SQL 来分析就足够了。 限 审计的局限 其实，不管我们从财务数据启程，从业务数据启程，我们都有一个共同的目标-应对舞弊。 虽然，我们专心执行程序好多处境下，我们能察觉问题。但这犹如不够直接。 我做假账，我会给你标记出来我做假账吗？ 我给你配上业务数据呢？我再给你配上资金呢？我再给你配上外部合作的公司呢？ 可能我们也很难察觉问题，这就是我们说的审计的 局限性。 我缺少整个链条的全貌，我看到的都是别人想给我看的。 志 日志 前面说的财务数据和业务数据都是我们经常审计的，那么 机 器数据是什么呢？ 就是我们系统运行记录的各种日志。 志 应用系统日志 譬如，

3、假设我去改账，假设导出的序时账没有记录修改日期，那么日志会记录，我看你日志记录的去年的大量凭证，都是集中在今年修改的，是不是有问题呢？ 同样的我想看你改本金，就去看关账操作和反结账操作的日志。总之，你假设真想看什么，日志会照实记录一切。 这是财务系统的，业务系统也一样。公司假设是电商，我们一般都会看数据库中没有有记录能识别终端客户身份的 ip，mac,IMEI 等，从这些维度去分析下集中度。 但不是全体公司都能获取到这些字段，或者存储了这些字段。 但其实还有好多日志可以用，譬如网站使用的 nginx 或 apache服务能记录用户访问的日志（包含 ip)。 当然，还有公司为经营需要在网页上埋点

4、留下的访问数据。 这些数据我们也都暂且称为 机器数据或者 日志。 志 数据库日志 除了应用系统，企业的数据库层面的全体操作也会有日志，你想看企业有没有写个脚本批量修改，理论上只要它有日志，就能查看。 具 日志审计的工具 可以看到，其实我们可以获取的东西还是挺多的，但实际工作中，很少利用。 为什么？没有这个技术。 这是我导出的青藤数据 nginx 日志，可以看到日志文件就是不规矩的文本信息，提取不轻易，数据量一般还极大。也正是这个理由，好多企业，只是留存短时间日志来排查系统故障。 下面，我简要介绍我们分析可以利用的免费工具： kibana kibana 是 elasticksearch 的可视化

5、工具，kibana 自带了日志提取、分析功能。 常见的一些服务和数据库日志都可以提取，自动生成常规指标。 譬如，我按照文档，导入青藤数据网站的 nginx 服务日志： 自动生成一些技术指标。 当然，你也可以自定义去分析。 譬如：我看苦求量日期分布 譬如：我看访问量前 100 的 IP，有没有奇怪过大的处境。 当然，kibana 是 elasticsearch 的可视化工具，只要你会 es，什么数据都可以导进来分析。 自然的分布式大数据分析工具，几十个 T 也不在话下，只要你有足够的物理机。 superset 这个其实不是直接的日志分析工具，而是一款免费开源的 BI可视化工具。 可以直联数据库，

6、平常我们用 mysql 统计数据，假设想举行可视化，可以用这个工具，分外便当。 譬如，该图是我统计 ERP 系统前十个作业的作业日期分布图。 手点一点就可以做出精致的分析图表： superset 是 python 开发的软件，安装起来其实还挺吃力的。不过操作起来简朴，强大，免费。 networkX 这个工具和日志也没有什么关系了，是我昨天看到的一个python 库。 专长画网络关系。 之前我们介绍过 gephi 软件来查找网络关系。 譬如，这是我画的一家物流公司起运地与运达地的网络关系，可以领会地看到公司业务的以哪几个城市为关键中心向外幅射。 同样的，假设一个电商充值记录，我们以 ip,或者 id 作为节点，也可以去察觉奇怪节点。 好多数据都有网络关系，譬如公司造假，资金出去通过一圈公司又回来了，假设我们能拿到全部相关公司资金数据，这样一张网络图可以明显分析出公司的资金流向，当然我们是不成能拿到。 但时代在进展，说不定将来有一天，监管机构的系统自动能分析出了。就像现在的发票一样。 gephi 的缺点太明显，能处理