IT審計日志分析指南

1、本文格式為Word版，下載可任意編輯 IT審計日志分析指南 財務(wù)審計，直接打交道的是 財務(wù)數(shù)據(jù)，就是我們財務(wù)系統(tǒng)中導(dǎo)出來的報表、現(xiàn)金流量表、科目余額表、序時賬。 當(dāng)然做收入、本金類科目的時候也會去看 業(yè)務(wù)數(shù)據(jù)，一般也是看業(yè)務(wù)系統(tǒng)導(dǎo)出來的報表（好多時候，業(yè)務(wù)系統(tǒng)導(dǎo)出來的明細數(shù)據(jù)很大，財務(wù)審計一般沒有才能審核）。 而 IT 審計會關(guān)注整個業(yè)務(wù)中的數(shù)據(jù)流轉(zhuǎn)，從源頭到最終的財務(wù)數(shù)據(jù)。對于中間不同系統(tǒng)間的流轉(zhuǎn)會舉行數(shù)據(jù)核對。而常規(guī)的對數(shù)據(jù)的分析，一般也是針對業(yè)務(wù)數(shù)據(jù)，譬如從不同維度分析收入明細的真實性、合理性。 這種分析一般直接從數(shù)據(jù)庫里導(dǎo)出審計期間數(shù)據(jù)，依據(jù)表中有哪些字段，研究分析的維度，也會結(jié)合行業(yè)

2、特點，也會用一些統(tǒng)計學(xué)的學(xué)識。一般來說， SQL 來分析就足夠了。 限 審計的局限 其實，不管我們從財務(wù)數(shù)據(jù)啟程，從業(yè)務(wù)數(shù)據(jù)啟程，我們都有一個共同的目標(biāo)-應(yīng)對舞弊。 雖然，我們專心執(zhí)行程序好多處境下，我們能察覺問題。但這猶如不夠直接。 我做假賬，我會給你標(biāo)記出來我做假賬嗎？ 我給你配上業(yè)務(wù)數(shù)據(jù)呢？我再給你配上資金呢？我再給你配上外部合作的公司呢？ 可能我們也很難察覺問題，這就是我們說的審計的 局限性。 我缺少整個鏈條的全貌，我看到的都是別人想給我看的。 志 日志 前面說的財務(wù)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)都是我們經(jīng)常審計的，那么 機 器數(shù)據(jù)是什么呢？ 就是我們系統(tǒng)運行記錄的各種日志。 志 應(yīng)用系統(tǒng)日志 譬如，

3、假設(shè)我去改賬，假設(shè)導(dǎo)出的序時賬沒有記錄修改日期，那么日志會記錄，我看你日志記錄的去年的大量憑證，都是集中在今年修改的，是不是有問題呢？ 同樣的我想看你改本金，就去看關(guān)賬操作和反結(jié)賬操作的日志?？傊?，你假設(shè)真想看什么，日志會照實記錄一切。 這是財務(wù)系統(tǒng)的，業(yè)務(wù)系統(tǒng)也一樣。公司假設(shè)是電商，我們一般都會看數(shù)據(jù)庫中沒有有記錄能識別終端客戶身份的 ip，mac,IMEI 等，從這些維度去分析下集中度。 但不是全體公司都能獲取到這些字段，或者存儲了這些字段。 但其實還有好多日志可以用，譬如網(wǎng)站使用的 nginx 或 apache服務(wù)能記錄用戶訪問的日志（包含 ip)。 當(dāng)然，還有公司為經(jīng)營需要在網(wǎng)頁上埋點

4、留下的訪問數(shù)據(jù)。 這些數(shù)據(jù)我們也都暫且稱為 機器數(shù)據(jù)或者 日志。 志 數(shù)據(jù)庫日志 除了應(yīng)用系統(tǒng)，企業(yè)的數(shù)據(jù)庫層面的全體操作也會有日志，你想看企業(yè)有沒有寫個腳本批量修改，理論上只要它有日志，就能查看。 具 日志審計的工具 可以看到，其實我們可以獲取的東西還是挺多的，但實際工作中，很少利用。 為什么？沒有這個技術(shù)。 這是我導(dǎo)出的青藤數(shù)據(jù) nginx 日志，可以看到日志文件就是不規(guī)矩的文本信息，提取不輕易，數(shù)據(jù)量一般還極大。也正是這個理由，好多企業(yè)，只是留存短時間日志來排查系統(tǒng)故障。 下面，我簡要介紹我們分析可以利用的免費工具： kibana kibana 是 elasticksearch 的可視化

5、工具，kibana 自帶了日志提取、分析功能。 常見的一些服務(wù)和數(shù)據(jù)庫日志都可以提取，自動生成常規(guī)指標(biāo)。 譬如，我按照文檔，導(dǎo)入青藤數(shù)據(jù)網(wǎng)站的 nginx 服務(wù)日志： 自動生成一些技術(shù)指標(biāo)。 當(dāng)然，你也可以自定義去分析。 譬如：我看苦求量日期分布 譬如：我看訪問量前 100 的 IP，有沒有奇怪過大的處境。 當(dāng)然，kibana 是 elasticsearch 的可視化工具，只要你會 es，什么數(shù)據(jù)都可以導(dǎo)進來分析。 自然的分布式大數(shù)據(jù)分析工具，幾十個 T 也不在話下，只要你有足夠的物理機。 superset 這個其實不是直接的日志分析工具，而是一款免費開源的 BI可視化工具。 可以直聯(lián)數(shù)據(jù)庫，

6、平常我們用 mysql 統(tǒng)計數(shù)據(jù)，假設(shè)想舉行可視化，可以用這個工具，分外便當(dāng)。 譬如，該圖是我統(tǒng)計 ERP 系統(tǒng)前十個作業(yè)的作業(yè)日期分布圖。 手點一點就可以做出精致的分析圖表： superset 是 python 開發(fā)的軟件，安裝起來其實還挺吃力的。不過操作起來簡樸，強大，免費。 networkX 這個工具和日志也沒有什么關(guān)系了，是我昨天看到的一個python 庫。 專長畫網(wǎng)絡(luò)關(guān)系。 之前我們介紹過 gephi 軟件來查找網(wǎng)絡(luò)關(guān)系。 譬如，這是我畫的一家物流公司起運地與運達地的網(wǎng)絡(luò)關(guān)系，可以領(lǐng)會地看到公司業(yè)務(wù)的以哪幾個城市為關(guān)鍵中心向外幅射。 同樣的，假設(shè)一個電商充值記錄，我們以 ip,或者 id 作為節(jié)點，也可以去察覺奇怪節(jié)點。 好多數(shù)據(jù)都有網(wǎng)絡(luò)關(guān)系，譬如公司造假，資金出去通過一圈公司又回來了，假設(shè)我們能拿到全部相關(guān)公司資金數(shù)據(jù)，這樣一張網(wǎng)絡(luò)圖可以明顯分析出公司的資金流向，當(dāng)然我們是不成能拿到。 但時代在進展，說不定將來有一天，監(jiān)管機構(gòu)的系統(tǒng)自動能分析出了。就像現(xiàn)在的發(fā)票一樣。 gephi 的缺點太明顯，能處理