日志审计工程师考试试卷及答案

日志审计工程师考试试卷及答案一、填空题（每题1分，共10分）1.系统日志中记录用户登录失败的常见字段是______。2.日志审计中常见的开源日志收集工具是______。3.NISTSP800-53中涉及日志的控制域是______。4.Windows系统安全日志默认存储路径是______。5.日志审计核心目标之一是______，用于检测未授权活动。6.数据库审计日志中记录SQL语句的字段通常是______。7.网络日志中记录源IP和目的IP的字段是______。8.日志审计流程第一步通常是______。9.ELKStack中负责存储日志的是______。10.日志完整性校验常用算法是______（写一种）。二、单项选择题（每题2分，共20分）1.以下不属于系统级日志的是？A.安全日志B.应用日志C.设备日志D.审计日志2.Filebeat属于哪种工具？A.日志收集B.日志分析C.日志存储D.日志可视化3.NISTSP800-92主要关注？A.日志审计框架B.事件响应C.漏洞管理D.身份认证4.Windows安全日志默认最大大小是？A.1MBB.10MBC.100MBD.200MB5.以下是结构化日志格式的是？A.SyslogB.JSONC.文本日志D.二进制日志6.日志“事件关联”的作用是？A.收集日志B.存储日志C.发现攻击链D.可视化7.不属于ELKStack的工具是？A.ElasticsearchB.LogstashC.KibanaD.Fluentd8.数据库审计日志非必须记录的字段是？A.操作时间B.操作用户C.操作IPD.影响行数9.日志不可抵赖性通过什么实现？A.加密B.签名C.备份D.压缩10.直接篡改日志的攻击是？A.SQL注入B.日志注入C.XSSD.缓冲区溢出三、多项选择题（每题2分，共20分）1.日志审计核心目标包括？A.异常检测B.合规证明C.故障排查D.性能优化2.常见日志收集工具有？A.FilebeatB.FluentdC.LogstashD.Nginx3.NISTSP800-53AU控制域子控制包括？A.AU-1（政策程序）B.AU-2（事件日志）C.AU-3（记录内容）D.AU-4（日志存储）4.Windows主要日志类型有？A.应用日志B.安全日志C.系统日志D.Setup日志5.结构化日志优势包括？A.易解析B.易检索C.易扩展D.体积小6.日志审计流程步骤有？A.收集B.处理C.分析D.报告7.属于网络日志的有？A.防火墙日志B.IDS日志C.交换机日志D.路由器日志8.日志完整性保护措施有？A.哈希校验B.数字签名C.访问控制D.加密9.日志审计常见异常行为有？A.多次登录失败B.敏感文件修改C.异常IP访问D.正常业务操作10.符合合规要求的是？A.保留6个月以上B.不可篡改C.快速检索D.仅管理员访问四、判断题（每题2分，共20分）1.日志审计只需收集系统日志，无需应用日志。（×）2.Filebeat可同时收集多个文件日志。（√）3.JSON是结构化日志，Syslog是半结构化日志。（√）4.日志不可抵赖性通过备份实现。（×）5.Windows安全日志存储在txt文件中。（×）6.Kibana负责ELK日志可视化。（√）7.日志审计无需考虑时效性。（×）8.数据库审计需记录所有SQL执行。（√）9.异常检测是日志审计核心功能。（√）10.日志压缩影响审计准确性。（×）五、简答题（每题5分，共20分）1.简述日志审计基本流程。答案：日志审计分四步：①收集：用Filebeat等工具采集系统、应用、网络日志；②处理：清洗日志、转结构化格式（如JSON）、关联多事件；③分析：通过规则匹配（如多次登录失败）、AI异常检测发现安全事件；④报告：生成合规/事件报告，供审计或运维使用。2.常见日志类型及用途（列举3种）。答案：①系统日志：记录OS运行状态（如服务启动失败），用于故障排查；②安全日志：记录认证、权限变更，用于安全审计；③应用日志：记录业务操作（如用户下单），用于业务问题定位。3.结构化与非结构化日志的区别。答案：①结构化：格式固定（JSON），含明确字段（timestamp、src_ip），易解析检索；②非结构化：纯文本无固定字段，需正则解析，效率低；③应用：现代审计优先结构化日志（如ELK处理JSON）。4.如何实现日志不可抵赖性？答案：①数字签名：日志哈希后用私钥签名，公钥验证；②时间戳：结合权威时间戳证明生成时间；③访问控制：最小权限，仅审计管理员可操作；④异地备份：同步到独立存储，防止本地篡改。六、讨论题（每题5分，共10分）1.如何平衡日志存储成本与合规要求？答案：分阶段存储：①热存储（近3个月）：用Elasticsearch高性能存储，支持快速检索；②温存储（3-12个月）：用S3等低成本存储，压缩后存储；③冷存储（12个月以上）：用Glacier归档，降低成本。同时清洗无效日志、对非关键日志采样，既满足合规又控成本。2.如何应对日志篡改攻击？答案：①实时校验：日志实时哈希对比，发现篡改告警；②签名验证：生成时私钥签名，定期公钥校验；③异地同步：实时同步到第三方存储，防止本地篡改；④异常检测：AI检测日志时间跳跃、字段缺失等异常；⑤访问控制：最小权限，记录所有日志操作。答案汇总一、填空题1.failed_login2.Filebeat3.AU4.%SystemRoot%\System32\winevt\Logs\Security.evtx5.异常行为检测6.sql_statement7.src_ip、dst_ip8.日志收集9.Elasticsearch10.SHA-256二、单项选择题1-5:BAADB6-10: