我对Splunk中存储的日志有点问题。正如PCI-DSS强制执行的那样,如果有任何卡数据,应每季度扫描服务器,数据库和日志,如果找到,则应销毁这些文件。在我们使用cardrecon扫描后,我们发现一些PAN存储在服务器上的日志文件中并删除了文件。但Splunk还存储此服务器的日志,根据PCI-DSS,存储在Splunk等上的日志无法编辑或删除。您能否告诉我如何处理这些日志,或者这种情况是否与PCI-DSS不兼容。 (顺便说一下,卡片数据只包括PAN。)
由于
答案 0 :(得分:0)
在要求10.5.3中,它说
将审核跟踪文件及时备份到集中式日志服务器或 媒体很难改变。
"难"是不可能的"不可能"。 ; - )
换句话说:如果您有权这样做,您可以更改日志(例如屏蔽PAN)。当然,在做这样的事情之前,最好先与你的审核员核实。 并确保不会再次发生这种情况(PAN的记录),例如通过使用 syslog-ng的重写功能或类似的东西。