GH GambleHub

लेखा परीक्षा और लॉगिंग उपकरण

1) आपको इसकी आवश्यकता क्यों है

उद्देश्य:
  • क्रियाओं की ट्रेसिबिलिटी (कौन/क्या/कब/कहां/क्यों)।
  • तेजी से घटना की जांच और फोरेंसिक।
  • नियामक और ग्राहक अनुपालन।
  • घटनाओं में जोखिम प्रबंधन और MTTR में कमी।
  • जोखिम, धोखाधड़ी विरोधी, अनुपालन मॉडल (KYC/AML/RTBF/लीगल होल्ड) के लिए समर्थन।
मुख्य सिद्धांत:
  • स्रोत कवरेज की पूर्णता।
  • रिकॉर्ड अपरिवर्तनीयता और अखंडता।
  • मानकीकृत घटना स्कीमा।
  • खोज उपलब्धता और सहसंबंध।
  • व्यक्तिगत डेटा और गोपनीयता नियंत्रण का न्यून

2) साधन परिदृश्य

2. 1 लॉग प्रबंधन और अनुक्रमण

Сбор/агенты: धाराप्रवाह बिट/फ्लुएंट, वेक्टर, लॉगस्टैश, फाइलबेट/विन्लोग्बीट, ओपनटेलीमेट्री कलेक्टर।

भंडारण और खोज: Elasticsearch/Opensearch, Loki, ClickHouse, Splunk, Datadog Logs।

स्ट्रीमिंग/टायर: काफ्का/रेडपांडा, एनएटीएस, पल्सर - बफरिंग और फैन-आउट के लिए।

पार्सिंग और सामान्यीकरण: Grok/regex, Otel प्रोसेसर, Logstash पाइपलाइनें।

2. 2 SIEM/पता लगाएं और जवाब दें

SIEM: स्प्लंक एंटरप्राइज सिक्योरिटी, माइक्रोसॉफ्ट सेंटिनल, इलास्टिक सिक्योरिटी, QRadar।

UEBA/व्यवहार विश्लेषण: SIEM, ML डिटेक्टरों में एम्बेडेड मॉड्यूल।

SOAR/ऑर्केस्ट्रेशन: Cortex/XSOAR, Tines, Shuffle - playbook ऑटोमेशन।

2. 3 लेखा परीक्षा और अपरिवर्तनीयता

: लिनक्स ऑडिट/ऑसर्च, विंडोज इवेंट लॉग्स, DB- (pgAudit, MySQL ऑडिट), Kubernetes ऑडिट लॉग्स, CloudTrail/CloudWatch/Azure मॉनिटर/GCch क्स लॉगिंग।

अपरिवर्तनीय भंडारण: WORM बाल्टी (ऑब्जेक्ट लॉक), S3 ग्लेशियर वॉल्यूम लॉक, एक बार वॉल्यूम, क्रिप्टो हस्ताक्षर/हैश श्रृंखला के साथ लॉगिंग।

टीएसए/टाइमस्टैम्प: एनटीपी/पीटीपी के लिए बाध्यकारी, बाहरी विश्वसनीय समय में हैश का आवधिक एंकरिंग।

2. 4 अवलोकन और निशान

मेट्रिक्स/ट्रेल्स: प्रोमेथियस + टेम्पो/जैगर/ओटीएल, लॉग का सहसंबंध ↔ trace_id/span_id द्वारा निशान।

डैशबोर्ड और अलर्ट: ग्राफाना/किबाना/डाटाडोग।

3) घटना स्रोत (कवर दायरा)

इन्फ्रास्ट्रक्चर: ओएस (सिसलॉग, ऑडिट), कंटेनर (डॉकर), ऑर्केस्ट्रेशन (कुबर्नेट्स इवेंट्स + ऑडिट), नेटवर्क डिवाइस, डब्ल्यूएएफ/सीडीएन, वीपीएन, आईएएम।

एप्लिकेशन और एपीआई: एपीआई गेटवे, सर्विस मैश, वेब सर्वर, बैकेंड, कतारें, शेड्यूलर, वेबहूक।

DB और वाल्ट: प्रश्न, DDL/DML, रहस्य/कुंजियों तक पहुँच, वस्तु भंडारण तक पहुँच।

भुगतान एकीकरण: PSP/अधिग्रहण, चार्जबैक घटनाएं, 3DS।

संचालन और प्रक्रियाएं: कंसोल/सीआई/सीडी इनपुट, एडमिन पैनल, कॉन्फ़िगरेशन/फ़ीचर फ़ीचर परिवर्तन, रिलीज़।

सुरक्षा: आईडीएस/आईपीएस, ईडीआर/एवी, भेद्यता स्कैनर, डीएलपी।

उपयोगकर्ता घटनाएँ: प्रमाणीकरण, लॉगिन प्रयास, केवाईसी स्थिति परिवर्तन, जमा/आउटपुट, दांव/खेल (यदि आवश्यक हो तो गुमनामी के साथ)।

4) डेटा योजनाएं और मानक

एकीकृत घटना मॉडल: 'टाइमस्टैम्प', 'घटना। श्रेणी ',' घटना। कार्रवाई ',' उपयोगकर्ता। आईडी ',' विषय। आईडी ',' स्रोत। ip ',' http। request_id', 'ट्रेस। आईडी ',' सेवा। नाम ',' पर्यावरण ',' गंभीरता ',' परिणाम ',' लेबल '।

Стандарты схем: ECS (इलास्टिक कॉमन स्कीमा), OCSF (ओपन साइबर सिक्योरिटी स्कीमा फ्रेमवर्क), ओपनटेलीमेट्री लॉग।

सहसंबंध कुंजी: 'ट्रेस _ आईडी', 'सत्र _ आईडी', 'अनुरोध _ आईडी', 'युक्ति _ आईडी', 'k8s. pod_uid'।

गुणवत्ता: आवश्यक क्षेत्र, सत्यापन, कमी, "शोर" स्रोतों के लिए नमूना।

5) वास्तुशिल्प संदर्भ

1. नोड्स/एजेंटों पर संग्रह →

2. प्री-प्रोसेसिंग (पार्सिंग, पीआईआई-संस्करण, सामान्यीकरण) →

3. टायर (काफ्का) पीछे हटने के साथ ≥ 3-7 दिन →

4. थ्रेड फोर्क्स:
  • ऑनलाइन भंडारण (खोज/सहसंबंध, गर्म भंडारण 7-30 दिन)।
  • अपरिवर्तनीय संग्रह (ऑडिट के लिए WORM/ग्लेशियर 1-7 वर्ष)।
  • SIEM (पहचान और घटनाएं)।
  • 5. डैशबोर्ड/खोज (संचालन, सुरक्षा, अनुपालन)।
  • 6. प्रतिक्रिया स्वचालन के लिए SOAR।
भंडारण परतें:
  • गर्म: SSD/अनुक्रमण, तेजी से खोज (तेजी से प्रतिक्रिया)।
  • गर्म: संपीड़न/कम अक्सर पहुँच।
  • कोल्ड/आर्काइव (WORM): सस्ते दीर्घकालिक भंडारण, लेकिन अपरिवर्तनीय।

6) अपरिपक्वता, अखंडता, विश्वास

WORM/लॉक ऑब्जेक्ट - पॉलिसी की अवधि के लिए ब्लॉक विलोपन और संशोधन।

क्रिप्टो हस्ताक्षर और हैश श्रृंखला: लॉग के बैच/चंक द्वारा।

हैश-एंकरिंग: बाहरी रजिस्ट्री या विश्वसनीय समय में हैश का आवधिक प्रकाशन।

समय तुल्यकालन: एनटीपी/पीटीपी, बहाव निगरानी; रिकॉर्डिंग 'बजे। स्रोत '।

परिवर्तन नियंत्रण: प्रतिधारण/कानूनी पकड़ नीतियों के लिए चार-आंखों/दोहरे नियंत्रण।

7) गोपनीयता और अनुपालन

PII कम से कम: केवल आवश्यक क्षेत्रों को संग्रहीत करें, निगलना में संपादित/मुखौटा।

अलियासिंग: 'उपयोगकर्ता। pseudo_id', मानचित्रण का भंडारण अलग और सीमित है।

GDPR/DSAR/RTBF: स्रोत वर्गीकरण, प्रतिकृतियों में तार्किक हटाने/छिपाने का प्रबंधन, कानूनी प्रतिधारण कर्तव्यों के अपवाद।

कानूनी पकड़: "फ्रीज" टैग, अभिलेखागार में विलोपन का निलंबन; होल्ड के आसपास की गतिविधियों की पत्

मानक मानचित्रण: आईएसओ 27001 A.8/12/15, एसओसी 2 CC7, पीसीआई डीएसएस रेक। 10, स्थानीय बाजार विनियमन।

8) संचालन और प्रक्रियाएं

8. 1 प्लेबुक/रनबुक

स्रोत हानि: कैसे पहचान करें (दिल की धड़ कन), कैसे बहाल करें (बस से फिर से भरना), अंतराल के लिए क्षतिपूर्ति कैसे करें।

बढ़ ती देरी: कतार की जाँच, शार्डिंग, इंडेक्स, बैकप्रेशर।

घटना X की जांच: KQL/ES-query template + ट्रेस संदर्भ के लिए लिंक।

कानूनी पकड़: कौन डालता है, कैसे शूट करना है, कैसे दस्तावेज़ करना है।

8. 2 आरएसीआई (संक्षिप्त में)

आर (जिम्मेदार): संग्रह/वितरण के लिए अवलोकन-टीम; नियमों का पता लगाने के लिए SecOps।

ए (जवाबदेह): नीतियों और बजट के लिए CISO/ऑप्स के प्रमुख।

सी (परामर्श): निजता के लिए डीपीओ/कानूनी; सर्किट के लिए वास्तुकला।

I (सूचित): सहायता/उत्पाद/जोखिम प्रबंधन।

9) गुणवत्ता मेट्रिक्स (एसएलओ/केपीआई)

कवरेज: महत्वपूर्ण स्रोतों का% जुड़ा हुआ है (लक्ष्य ≥ 99%)।

इनगेस्ट लैग: p95 डिलीवरी विलंब (<30 सेकंड)।

अनुक्रमण सफलता: बिना पार्सिंग त्रुटियों के घटनाओं का अनुपात (> 99। 9%).

खोज विलंबता: p95 <2 विशिष्ट विंडो 24h निवेदन के लिए सेकंड।

ड्रॉप दर: घटनाओं का नुकसान <0। 01%.

अलर्ट निष्ठा: नियमों द्वारा परिशुद्धता/याद करना, झूठी सकारात्मकता का हिस्सा।

प्रति जीबी लागत: भंडारण/सूचकांक लागत प्रति अवधि।

10) प्रतिधारण नीतियां (उदाहरण)

श्रेणीगर्मगर्मअभिलेख (WORM)कुल
ऑडिट एडमिन पैनल14 d90 d5 साल5 साल
भुगतान की घटनाएँ7 d60 d7 साल7 साल
वे। अनुप्रयोग लॉग3 डी30 d1 वर्ष1 वर्ष
सुरक्षा (आईडीएस/ईडीआर)14 d90 d2 साल2 साल

नीतियां कानूनी/डीपीओ और स्थानीय विनियमों द्वारा निर्दिष्ट की जाती हैं।

11) पता लगाना और अलर्ट (कंकाल)

नियम (नियम-ए-कोड):
  • संदिग्ध प्रमाणीकरण (असंभव आंदोलन, TOR, लगातार त्रुटियां)।
  • विशेषाधिकारों/भूमिकाओं का विस्तार।
  • रिलीज शेड्यूल के बाहर कॉन्फ़िगरेशन/गुप्त परिवर्तन
  • असामान्य लेनदेन पैटर्न (एएमएल/एंटी-फ्रॉड सिग्नल)।
  • मास डेटा अपलोड (डीएलपी ट्रिगर)।
  • फॉल्ट टॉलरेंस: 5xx स्क्वॉल, लेटेंसी क्षरण, मल्टीपल पॉड रिस्टार्ट।
संदर्भ:
  • जियो/आईपी प्रतिष्ठा के साथ संवर्धन, रिलीज/फ्लैग्स को जोड़ ना, पटरियों से जोड़ ना।

12) लॉग एक्सेस सिक्योरिटी

आरबीएसी और कर्तव्यों का अलगाव: पाठकों/विश्लेषकों/प्रशासकों के लिए अलग भूमिका।

जस्ट-इन-टाइम एक्सेस: अस्थायी टोकन, "संवेदनशील" इंडेक्स के सभी ऑडिट पढ़ ते हैं।

एन्क्रिप्शन: इन-ट्रांजिट (टीएलएस), एट-रेस्ट (केएमएस/सीएमके), कुंजी अलगाव।

रहस्य और कुंजी: रोटेशन, पीआईआई के साथ घटनाओं के निर्यात को सीमित करना।

13) कार्यान्वयन रोडमैप

एमवीपी (4-6 सप्ताह):

1. स्रोत निर्देशिका + न्यूनतम स्कीमा (ECS/OCSF)।

2. नोड्स + ओटेल कलेक्टर पर एजेंट; केंद्रीकृत पार्सिंग।

3. भंडारण हॉट (OpenSearch/Elasticsearch/Loki) + डैशबोर्ड।

4. बेसिक अलर्ट (सत्यापन, 5xx, कॉन्फिग परिवर्तन)।

5. लॉक ऑब्जेक्ट (WORM) के साथ ऑब्जेक्ट स्टोरेज में अभिलेख।

चरण 2:
  • टायर, रीप्ले, रिट्रे कतार के रूप में काफ्का।
  • SIEM + पहला सहसंबंध नियम, SOAR प्लेबुक।
  • बैचों के क्रिप्टो हस्ताक्षर, हैश की एंकरिंग।
  • कानूनी पकड़ नीतियां, DSAR/RTBF प्रक्रियाएं।
चरण 3:
  • यूईबीए/एमएल का पता लगाना।
  • डेटा कैटलॉग, वंश।
  • लागत अनुकूलन: "शोर" लॉग का नमूना, थकावट।

14) बार-बार गलतियाँ और उनसे कैसे बचें

एक योजना के बिना लॉग शोर: → अनिवार्य क्षेत्र और नमूना पेश करें।

कोई निशान नहीं: कोर सेवाओं और प्रॉक्सी में को लागू करने के लिए।

लॉग का एक एकल "मोनोलिथ": → डोमेन और आलोचनात्मक स्तरों में विभाजित है।

अपरिवर्तनीय नहीं: WORM/ऑब्जेक्ट लॉक और हस्ताक्षर सक्षम करने के लिए।

लॉग में रहस्य: → फ़िल्टर/संपादक, टोकन स्कैनर, समीक्षा।

15) चेकलिस्ट लॉन्च करें

  • आलोचना प्राथमिकता स्रोत रजिस्टर।
  • एकीकृत योजना और सत्यापन (पार्सर्स के लिए सीआई)।
  • एजेंट रणनीति (k8s में डेमॉनसेट, बीट्स/ओटेल)।
  • स्प्लिंट और प्रतिधारण।
  • हॉट/कोल्ड/आर्काइव + वर्म
  • RBAC, एन्क्रिप्शन, एक्सेस लॉग।
  • SOAR मूल अलर्ट और प्लेबुक।
  • ऑप्स/सेक/अनुपालन के लिए डैशबोर्ड।
  • DSAR/RTBF/लीगल होल्ड पॉलिसी।
  • केपीआई/एसएलओ + भंडारण बजट।

16) घटनाओं के उदाहरण (सरलीकृत)

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17) शब्दावली (संक्षिप्त)

ऑडिट ट्रेल - अपरिवर्तनीय रिकॉर्ड का एक क्रम जो विषय के कार्यों को रिकॉर्ड करता है।

WORM - एक बार लिखें, पढ़ें-कई भंडारण मोड।

SOAR - प्लेबुक द्वारा घटनाओं पर प्रतिक्रिया का स्वचालन।

यूईबीए - उपयोगकर्ता व्यवहार और संस्थाओं का विश्लेषण।

OCSF/ECS/OTel - लॉग योजनाओं और टेलीमेट्री के लिए मानक।

18) नीचे की रेखा

ऑडिट और लॉगिंग सिस्टम एक "लॉग स्टैक" नहीं है, लेकिन एक स्पष्ट डेटा स्कीमा, एक अपरिवर्तनीय संग्रह, सहसंबंध और प्रतिक्रिया प्लेबुक के साथ एक प्रबंधित कार्यक्रम है। इस लेख में सिद्धांतों का अनुपालन अवलोकन को बढ़ाता है, जांच को गति देता है और संचालन और अनुपालन की प्रमुख आवश्यकताओं को बंद करता है।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।