2026年工业日志审计配置试题

2026年工业日志审计配置试题1单选题（每题2分，共20分）1.1在IEC62443-3-3的日志完整性要求中，以下哪一项技术措施最能抵御“事后篡改”风险？A.本地RAID5存储 B.基于HMAC的日志签名 C.日志压缩归档 D.异地冷备份答案：B解析：HMAC使用对称密钥对每条日志计算摘要，验证时若摘要失配即可发现篡改；RAID5仅解决磁盘物理故障，压缩与冷备份均无法检测内容级篡改。1.2某OT系统采用SyslogoverTLS，若服务器证书于2026-07-1900:00:00过期，客户端首次握手失败，此时应优先触发的审计事件等级为A.Emergency B.Alert C.Critical D.Error答案：C解析：证书过期导致整个日志通道中断，属于“关键服务停止”，对应Critical级；Alert级用于需立即纠正但尚未中断服务的情况。1.3在Windows事件收集器（WEC）中，若要订阅“安全”日志且只转发事件ID4624、4625，过滤器XML根节点应使用A.<QueryList> B.<Select> C.<Suppress> D.<Subscription>答案：A解析：<QueryList>为根容器，内部可含多<Query>，每个<Query>再含<Select>；<Select>不能作为根节点。1.4某Linux审计规则```bashauditctl-aalways,exit-Farch=b64-Sopenat-Fdir=/data/plc-Fsuccess=0```其记录场景为A.对/data/plc下所有openat成功调用 B.对/data/plc下所有openat失败调用 C.仅记录目录本身被openat D.仅记录非递归文件答案：B解析：success=0代表系统调用返回失败；dir=自动递归目录。1.5在Elasticsearch8.x中，为ILM策略配置“热-温-冷”三阶段，若要求“热”阶段最大30GB或7天，应先触发的条件是A.max_age B.max_size C.max_docs D.min_age答案：B解析：ILM按“先满足先执行”原则，30GB阈值通常先于7天到达，故max_size优先。1.6若PLC固件在凌晨02:00升级，审计系统需保证“时间可溯源”，以下哪项配置最合理？A.依赖本地CMOS时钟 B.使用NTP池+NTS认证 C.手工记录偏移 D.禁用NTP防劫持答案：B解析：NTS（NetworkTimeSecurity）在NTP基础上提供认证，防止中间人篡改时间。1.7关于OPCUAPubSubUDP报文的审计，以下字段必须包含在日志JSON中才能满足ISO22745-10追踪要求？A.PublisherId B.DataSetWriterId C.Timestamp D.全部答案：D解析：标准规定三者共同构成唯一事件键，缺失任一均无法重放轨迹。1.8在Splunk中，为提高压缩比，对_numeric字段应使用的索引类型为A.tsidx B.tsidxz C.bloom D.metadata答案：B解析：tsidxz在tsidx基础上追加zlib压缩，对高基数字段节省>40%磁盘。1.9若采用KafkaConnect将日志流入HDFS，以下哪项参数决定“exactly-once”语义是否生效？A.offset.storage.topic B.consumer.isolation.level C.flush.size D.erval.ms答案：B解析：isolation.level=read_committed使消费者只读取已提交事务，保证端到端exactly-once。1.10在零信任架构中，对“日志查询接口”最细粒度的授权模型是A.RBAC B.ABAC C.ACL D.DAC答案：B解析：ABAC可结合属性（部门、终端安全评分、时间段）动态决策，比RBAC角色更细。2多选题（每题3分，共30分；多选少选均不得分）2.1下列哪些Linuxaudit规则键值（key）命名方式有助于后续SIEM关联？A.key="T1548.001" B.key="priv_esc" C.key="MITRE_T1548.001" D.key="2026Q3"答案：AC解析：键值直接嵌入MITREATT&CKID，方便自动映射；B过于泛化；D与威胁无关。2.2在PostgreSQL审计扩展pgAudit中，可单独设置哪些日志级别？A.none B.error C.function D.ddl E.read答案：ACDE解析：pgAudit支持none、all、ddl、read、write、function、role、misc；error为内核日志级，不属于pgAudit粒度。2.3关于Windows“高级审核策略”，哪些类别属于“账户登录”事件？A.4768KerberosTGT B.4771Kerberos预认证失败 C.4648显式凭据登录 D.4624成功登录答案：AB解析：4648、4624属于“登录/注销”类别；4768、4771归属“账户登录”。2.4以下哪些技术组合可实现“日志不可抵赖”？A.日志哈希链+TSA时间戳 B.双写RAID1 C.区块链侧链锚定 D.Merkle树+周期性公证答案：ACD解析：双写RAID1仅冗余，无抗抵赖；哈希链、区块链、Merkle树均提供篡改证据。2.5在Kubernetes审计策略中，可针对哪些属性做“不记录”豁免？A.user=system:kube-proxy B.namespace=kube-systemverb=get C.resource=secretssubresource=proxy D.sourceIPs=["/24"]答案：ABD解析：secrets无论任何子资源默认都记录；豁免proxy子资源需显式指定，但C未声明verb，风险高，通常不豁免。2.6若使用rsyslogimfile模块监控CSV日志，以下哪些参数组合可防止“重复读取”？A.addMetadata="on" B.readMode="2" C.startmsg.regex="^\\d{4}-\\d{2}" D.reopenOnTruncate="on"答案：BC解析：readMode=2（paragraph模式）配合正则可识别行首，防止折行；addMetadata仅附加字段；reopenOnTruncate用于文件被截断场景，与重复无关。2.7在AWSCloudTrail中，哪些事件类型默认开启但可手动关闭？A.Insights事件 B.数据事件（S3） C.管理事件 D.网络活动事件答案：AB解析：管理事件默认开启且不可关闭；数据事件与Insights需显式配置。2.8关于SNMPv3日志代理，以下哪些安全级别组合可提供“认证+加密”？A.authPriv B.authNoPriv C.noAuthNoPriv D.privAuth答案：A解析：SNMPv3仅定义authPriv、authNoPriv、noAuthNoPriv；privAuth为无效拼写。2.9在FluentBit中，以下哪些输出插件支持“自动重试+指数退避”？A.es B.s3 C.kafka D.forward答案：ABC解析：forward插件基于TCP，退避策略需外部proxy；es、s3、kafka内置retry_backoff。2.10若工业防火墙日志需满足GB/T25070-2022等级保护3级，以下哪些字段必须出现？A.事件产生时间（精度≤1s） B.源MAC C.目的端口 D.传输协议 E.命中策略名答案：ACDE解析：标准未强制MAC，但要求五元组+时间+策略；MAC为可选增强。3判断题（每题1分，共10分；正确打“√”，错误打“×”）3.1在Zabbix6.0中，若开启“Auditlogging”，所有SQL语句会被记录。答案：×解析：仅记录前端API调用与配置变更，不记录底层SQL。3.2使用logrotate的copytruncate选项可能导致日志行被截断。答案：√解析：copytruncate复制后截断，若写入速度极高，可能丢行。3.3在MySQL8.0，参数log_timestamps=UTC可保证全局时间一致，无需考虑时区转换。答案：√解析：日志时间统一为UTC，避免夏令时歧义。3.4对于OPCClassicDCOM日志，事件ID10016表示“权限拒绝”，可直接判定为攻击。答案：×解析：10016常见于未配置“启动激活”权限，可能为误报，需结合上下文。3.5在Prometheus+Loki栈中，日志标签（label）基数越高查询越快。答案：×解析：高基数导致索引膨胀，查询性能下降。3.6若采用AES-256-GCM对日志分段加密，初始向量IV可重复使用。答案：×解析：GCM要求IV唯一，重复导致密钥恢复攻击。3.7在HadoopOzone中，启用OMAudit日志会显著增加NameNode负载。答案：×解析：OM（OzoneManager）独立于NameNode，负载影响分离。3.8对于CiscoIOS，命令loggingbuffered32768将日志写入NVRAM。答案：×解析：写入RAM中的循环缓冲区，非NVRAM。3.9在GrafanaLoki2.9中，boltdb-shipper索引已废弃，被tsdb替代。答案：√解析：官方发布说明确认tsdb为默认。3.10若工业PC的BIOS电池失效，审计系统仍可通过NTP纠偏，日志时间完全可信。答案：×解析：初始偏移过大可能导致NTP拒绝步进，需手动干预。4填空题（每空2分，共20分）4.1在Linuxauditd中，若要记录所有对/etc/rsyslog.conf的写入与属性修改，规则为```bashw/etc/rsyslog.conf-p_______-krsyslog_conf```答案：wa解析：w=写入，a=属性修改。4.2在ElasticsearchILMJSON中，温阶段迁移条件为“索引年龄≥3天且主分片大小≥10GB”，应写```json"min_age":"3d","conditions":{_______}```答案："max_size":"10gb"解析：温阶段用max_size控制分片容量。4.3若Windows事件ID1102表示“审计日志已清除”，其源日志通道为_______。答案：Security解析：1102仅出现在Security.evtx。4.4在rsyslogRainerScript中，将来自/24且包含“CRITICAL”的日志写入/var/log/critical.log，模板为RemoteFormat，语句为```bashif$fromhost-ipstartswith'192.168.10.'and_______then/var/log/critical.log;RemoteFormat```答案：$msgcontains'CRITICAL'4.5在SNMPv3USM配置中，auth协议为SHA-256，priv协议为AES-256，其IANA标识分别为_______和_______。答案：SHA256(=3),AES256(=4)解析：RFC7630定义。4.6若FluentBit使用tail插件，刷新间隔为5s，数据库文件为audit.db，参数为```ini[INPUT]NametailPath/var/log/audit.log_______5sDB/var/fluent/audit.db```答案：Refresh_Interval解析：Refresh_Interval控制轮询。4.7在PostgreSQLpostgresql.conf中，设置日志轮转按小时且保留48个文件，参数为```bashlog_rotation_age=_______log_rotation_size=0```答案：1h解析：0表示不按大小轮转。4.8若使用openssl生成私钥用于日志签名，算法为Ed25519，命令为```bashopensslgenpkey-algorithm_______-outprivate.pem```答案：ed25519解析：OpenSSL1.1.1+支持。4.9在CiscoASA，将日志级别4发送至00:514，命令为```bashlogginghost00transportudpport514loggingtrap_______```答案：4解析：trap级别4=Warnings。4.10在Kubernetes审计策略中，对pods/exec豁免的记录级别为_______。答案：None解析：设置level=None即不记录。5简答题（每题10分，共30分）5.1某工厂SCADA网络包含三层：L2交换、L3防火墙、DMZ日志服务器。要求：①在L2层识别异常MAC漂移；②在L3层检测非业务端口扫描；③日志服务器保存≥180天且哈希校验。请给出设备配置要点与审计字段。答案与解析：①L2：启用CiscoMACAddressNotification，阈值设为3次/300s，日志格式含mac、vlan、port、timestamp；发送SNMPtrap至日志服务器。②L3：防火墙启用“威胁检测”，设置端口扫描阈值：单源≥10端口/10s，触发shun并记录src_ip、dst_ip、dst_port、proto、count。③日志服务器：rsyslog写入/data/log，每日0:00用sha256sum生成.sha256，脚本：③日志服务器：rsyslog写入/data/log，每日0:00用sha256sum生成.sha256，脚本：```bashfind/data/log-typef-name".log"-execsha256sum{}\;>/data/hash/(date+(date+%F).sha256```cron定时校验，缺失或失配触发Alert。ILM策略：热7天、温30天、冷153天，冷阶段单节点、压缩codec=best_compression，总保存180天。5.2某能源企业采用OPCUAPubSubMQTT传输，需满足NISTSP800-82r3追踪要求。请设计日志JSON模式，并说明如何与Brooklyn数据库关联。答案与解析：JSON模式：```json{"eventId":"uuid7","publisherId":"PLC-05.Turbine","dataSetWriterId":1024,"timestamp":"2026-08-15T14:23:45.123Z","sourceIp":"5","topic":"ua/brooklyn/turbine/pressure","mqttQoS":1,"payloadSize":1480,"signature":"SHA256withRSA::MEUCIF5...","hashChainPrev":"b3ff12...","brooksTxId":"0x9a8f77"}```关联：Brooklyn为私有链，存储payloadHash与TxId；日志中brooksTxId作为外键，通过RESTAPI```httpGET/tx/{brooksTxId}/payloadHash```验证一致性；若链上哈希与eventId计算值不符，则触发“不可抵赖”告警。5.3某车间MES数据库使用MySQL8.0，开启generallog导致磁盘暴涨。请给出“按需采样”方案，要求：①仅记录来自非应用程序账户的查询；②采样率10%，但DDL全记录；③审计表独立挂载SSD，保留30天；④提供SQL示例与性能影响评估。答案与解析：利用MariaDBAuditPlugin（兼容MySQL8.0）：```iniplugin-load-add=server_audit.soserver_audit_events=QUERY_DDL,QUERYserver_audit_excl_users=mapp_user,etl_userserver_audit_rate_limit=10server_audit_file_path=/ssd/audit/audit.logserver_audit_file_rotate_size=1Gserver_audit_file_rotations=30```采样率10%由rate_limit控制，每10条记录1条；DDL不受rate_limit限制。性能：sysbencholtp_read_writeQPS下降约2.3%，磁盘写IOPS增加≈120，SSD可承受。清理：logrotate每日压缩，过期30天删除；审计表与业务表物理隔离，避免ibdata膨胀。6计算题（共30分）6.1某电厂每天产生日志原始量500GB，压缩比1:7，热阶段7天、温阶段23天、冷阶段90天，冷阶段压缩比额外提升1:2。计算总存储需求（TB），并给出ILM公式。（10分）答案：设原始日增量D=500

GB，热阶段不压缩，温阶段压缩比r1=7，冷阶段热：7D温：23D/冷：90D/总量V=7D+ILMJSON：```json{"policy":{"phases":{"hot":{"actions":{}},"warm":{"min_age":"7d","actions":{"forcemerge":{"max_num_segments":1}}},"cold":{"min_age":"30d","actions":{"shrink":{"number_of_shards":1},"searchable_snapshot":{"snapshot_repository":"cold"}}}}}}```6.2若日志写入吞吐每秒1.5万条，单条平均2.3kB，Kafka集群副本因子3，保留7天，计算所需最小磁盘空间（考虑10%余量），并给出分区数估算公式。（10分）答案：日数据量D副本因子R=3，保留T=7

天S=分区数N：目标单分区吞吐≤10MB/s，实际吞吐B=15000×2.3

kB=34.5

MB/sN≥考虑峰值+30%，取N=6。6.3某SIEM每天产生告警日志平均4200条，其中假阳率8%。若采用分层抽样人工复核，要求估计假阳率相对误差≤5%，置信水平95%，求最小复核样本量n。（10分）答案：有限总体校正公式n=其中N=4200，p=0.08，E=0.05×0.08=0.004，zn=故至少复核3390条，占比80.7%，方可把相对误差控制在5%以内。7综合配置题（共30分）7.1请写出一份完整的Auditbeat配置（YAML），要求：①采集Linux系统调用audit事件；②过滤掉UID=1001的监控进程自身；③只转发与文件创建、进程注入相关事件；④输出到Logstash，启用TLS双向认证；⑤在Logstash端将事件按“主机-日期”索引到Elasticsearch，模板采用组件模板ct_audit；⑥提供Logstash管道配置片段。答案：auditbeat.yml：```yamlauditbeat.modules:module:auditdaudit_rules:|aalways,exit-Farch=b64-Sopenat,open,openat2-Fsuccess=1-kfile_createaalways,exit-Farch=b64-Sptrace-Fsuccess=1-kproc_injectprocessors:drop_event.when.equals.user.id:1001output.logstash:hosts:["logstash:5044"]ssl.certificate_authorities:["/etc/pki/tls/certs/ca.crt"]ssl.certificate:"/etc/pki/tls/certs/auditbeat.crt"ssl.key:"/etc/pki/tls/private/auditbeat.key"logging.level:info```Logstash管道：```rubyinput{beats{port=>5044ssl=>truessl_certificate_authorities=>["/etc/pki/tls/certs/ca.crt"]ssl_certificate=>"/etc/pki/tls/certs/logstash.crt"ssl_key=>"/etc/pki/tls/private/logstash.key"}}filter{mutate{add_field=>{"[@metadata][target_index]"=>"audit-%{[host][name]}-%{+YYYY.MM.dd}"}}}output{elasticsearch{hosts=>["https://es:9200"]ssl=>truecacert=>"/etc/pki/tls/certs/ca.crt"index=>"%{[@metadata][target_index]}"template_name=>"ct_audit"template=>"/etc/logstash/templates/ct_audit.json"template_type=>"component"}}```组件模板ct_audit.json示例（节选）：```json{"template":{"settings":{"number_of_shards":2,"codec":"best_compression"},"mappings":{"properties":{"@timestamp":{"type":"date"},"event.action":{"type":"keyword"},"user.id":{"type":"long"},"file.path":{"type":"keyword","ignore_above":1024}}}}}```7.2在WindowsServer2026Core环境，使用PowerShell配置“高级审核策略”并导出为CSV，要求：①启用“审核组成员身份更改”成功与失败；②设置日志最大500MB，不覆盖；③创建计划任务，每天03:00将Security.evtx复制到\\NAS\backup\%DATE%.evtx；④提供完整性校验脚本。答案：PowerShell：```powershell启用审核auditpol/set/subcategory:"GroupMembership"/success:enable/failure:enable日志参数wevtutilslSecurity/ms:524288000/rt:false计划任务action=New-ScheduledTaskAction-Execute"PowerShell.exe"-Argument"-Command`"Copy-ItemC:\Windows\System32\winevt\Logs\Security.evtxNAS\backup\(Get-Date-FormatyyyyMMdd).evtx;Get-FileHash-AlgorithmSHA256-Path\\NAS\backup\(Get-Date-FormatyyyyMMdd).evtx|Export-Csv-PathNAS\backup\$trigger=New-ScheduledTaskTrigger-Daily-At03:00Register-ScheduledTask-TaskName"AuditBackup"-Actionaction-Triggertrigger-UserSYSTEM```完整性脚本（校验）：```powershell$csv=Import-Csv\\NAS\backup\20260815.csv$file