服务器日志和Splunk -PCI-DSS中的卡数据

Question

我对存储在Splunk中的日志有一点小问题。随着PCI-DSS的执行，服务器、数据库和日志应该每季度扫描一次，如果有任何卡数据，如果发现，文件应该销毁。在使用cardrecon进行扫描后，我们发现一些PAN存储在服务器上的日志文件中，并删除了这些文件。但Splunk也存储此服务器的日志，并且根据PCI-DSS，存储在Splunk等上的日志不能被编辑或删除。您能告诉我如何处理这些日志吗，或者这种情况是否与PCI-DSS不兼容。(顺便说一句，卡数据仅包括PAN。)

谢谢

Answer 1

在需求10.5.3中，它说

会立即将审核跟踪文件备份到难以更改的集中式日志服务器或介质。

“困难”和“不可能”是不一样的。;-)

换句话说:如果您被授权，您可以更改日志(例如，屏蔽PAN)。当然，在做这样的事情之前，最好先咨询一下你的审计师。并确保这种(PAN的记录)不会再次发生，例如通过使用syslog-ng的重写功能或类似的东西。