《日志管理与分析权威指南》一3.2 日志来源

3.2 日志来源

我们首先来看看各种日志记录系统及它们收集的数据格式。日志来源分为两类:

  • 基于“推”
  • 基于“拉”

对于基于“推”的日志来源,设备或者应用程序向本地磁盘或者通过网络发出消息。如果通过网络,你必须配备一个日志收集器来接收消息。3种主要的基于“推”来源是syslog、SNMP和Windows事件日志。日志消息通过这些协议传输。从技术上说,Windows事件日志包含协议、传输机制、存储和读取。
对于基于“拉”的日志来源,应用程序从来源拉取日志消息。这种方法几乎总是依赖客户-服务器模型。以这种方式运行的系统通常以专有格式保存日志数据。例如,Checkpoint提供OPSEC C程序库,开发人员可以用它编写应用程序,拉取Checkpoint防火墙日志。其他产品使用MSSQL、Oracle、MySQL等数据库存储数据。从数据库拉取日志稍微容易一些,可以用脚本或者程序完成。
我们来看看三个最常见的日志来源协议。首先是syslog协议。

时间: 2024-10-28 02:44:58

《日志管理与分析权威指南》一3.2 日志来源的相关文章

《日志管理与分析权威指南》一导读

前 言 欢迎阅读本书.本书的目标是向信息技术(IT)专业人士提供理解和处理日志数据的入门知识.各种形式的日志数据是由许多类型的系统生成的.如何处理和分析日志数据是长期存在的一个问题.本书介绍能够帮助你分析日志数据和寻找恶意活动的技术和工具. 过去,系统管理员审阅日志文件,寻找磁盘错误或者内核问题.现在的系统管理员往往还要兼任安全管理员.更好地理解如何处理安全日志数据的需求从未像今天那么重要.安全性分析人员是IT专家组中负责跟踪日志分析技术的人.许多经验丰富的人曾经在"压力测试"的模式下

《日志管理与分析权威指南》一2.1 概述

2.1 概述 在第1章我们已经讨论了日志,但是,我们真正讨论的东西是什么?我们正在讨论的并不是树木.数学,或航海日志等等--让我们从定义开始,该领域中的许多讨论是粗略和模糊的,对安全分析人员或网络工程师没有什么用处,因此探寻一个围绕日志记录数据的清晰定义就变得意义非凡了.定义 在日志记录.日志分析以及日志管理中使用的许多术语(包括我们刚刚使用过的)含义模糊,充满误导或者有多重意义.在某些情况下,术语是从其他学科中"借用"的(我们偶尔会用到这些词),有时,不同的人使用不同的术语.而在另一

《日志管理与分析权威指南》一1.6 人、过程和技术

1.6 人.过程和技术 有效的日志分析策略不单单是一系列的工具,而是人.过程和技术的完美组合.技术是你使用的各种工具的组合.但是只有最新的工具是不够的,你必须知道用它们来做什么.过程决定了你如何使用这些工具.如何管理日志数据,确保它含有你所需要的信息,并从中获取你所需要的信息?过程对于这些问题来说是必需的.在法庭上用日志作为证据时,一个记录在案的日志处理过程是必不可少的.能够展示你平时怎样收集和保存日志数据,会极大地影响到你的日志数据是否可以成为证据.报告可以对此提供帮助,我们会在第12章涉及这

《日志管理与分析权威指南》一1.2.4 日志生态系统

1.2.4 日志生态系统 之前我们已经在概略地讨论了日志数据和日志消息,现在我们来了解日志是怎么在整个日志记录生态系统中使用的.日志记录生态系统,有时也称为日志记录基础设施,是组合在一起实现了日志数据的生成.过滤.规范化.分析和长期存储各项功能的组件和零件.这个系统的最终目标是能够利用日志来解决问题.而需要解决的问题取决于你的环境.例如,如果你是一个处理信用卡交易的零售组织,就必须遵守各种各样的监管和依从性要求.本节中余下的内容将会在后续的章节中展开讲解.让我们从一些在开始规划日志系统架构的时候

《日志管理与分析权威指南》一1.2.2 日志数据是如何传输和收集的

1.2.2 日志数据是如何传输和收集的 日志数据的传输和收集在概念上非常简单.计算机或者其他设备都实现了日志记录子系统,能够在确定有必要的时候生成日志消息,具体的确定方式取决于设备.例如,你可以选择对设备进行配置,设备也可能本身进行了硬编码,生成一系列预设消息.另一方面,你必须有一个用来接收和收集日志消息的地方.这个地方一般被称为日志主机(loghost).日志主机是一个计算机系统,一般来说可能是Unix系统或者Windows服务器系统,它是集中收集日志消息的地方.使用集中日志收集器的优点如下:

《日志管理与分析权威指南》一1.4 被低估的日志

1.4 被低估的日志 在很多企业环境中,日志没有得到重视.日志往往在日常工作中被完全忽视,仅仅在磁盘空间不足的时候才会引起人们的注意.而在这个时候它们往往未经查看就被删除了.某些情况下,日志中的一些消息可能指出磁盘满的原因.我们肯定都有过查看已被入侵的机器的经历,在询问日志保存的位置之后,我们会听到:"噢,它们只会占据空间,所以我们把它们删掉了."在大多数这种情况下,我们没有什么可做的.为什么日志不受重视呢?这是有很多原因的.供应商并不希望你使用它.入侵检测系统的供应商会告诉你需要最新

《日志管理与分析权威指南》一2.3 良好日志记录的标准

2.3 良好日志记录的标准 正如这本书中各式例子所示,许多情况下日志记录的信息是不完整的,有时甚至是没用的.那么怎样才算是"良好"的日志呢?对入侵检测.资源管理或审计来说,日志消息必须包含哪些必要的信息?由于日志的种类很多,生成日志的设备更是多种多样,因此很难定义单一的标准. 通常来说,日志应该能够告诉你如下信息: 发生了什么(即What,辅以适当细节信息:单纯的"某事发生"通常并不是特别有用) 发生于何时(即When,若有必要,包含开始时间以及结束时间) 发生于何

《日志管理与分析权威指南》一2.4 小结

2.4 小结 本章为读者介绍了日志文件.审计跟踪以及其他日志相关的一般概念. 虽然日志具有不同的格式和来源,但是可以通过观察它们的共同特征,抽象出它们的相似性. 日志真实包含的信息与我们期望它包含的信息存在很大的偏差,这使得日志分析充满了挑战. 除了最基本的结论--必须记录日志!--之外,我们不得不提醒读者,日志记录的重要性只会日益增加.特别是在分布式接入以及云环境下,为了分析与安全问题相关的应用程序行为,我们最终必须控制日志记录. 软件架构师和开发人员必须掌握"日志记录",除了网络设

《日志管理与分析权威指南》一1.7 安全信息和事件管理(SIEM)

1.7 安全信息和事件管理(SIEM) 日志管理的书籍如果不讨论SIEM,那就是不完整的.SIEM已经形成了一个行业,SIEM工具提供了一种实时分析安全事件的方法.它也提供了报告.可视化和长期存储等机制.我们在这本书里面不会花太多时间在SIEM上,但是第15章将会讨论一些开源的SIEM工具. 下面的两个案例研究会解释日志数据怎样帮助解决现实世界的问题. 后门(Backdoor)是允许用户在不为人知的情况下获得计算机系统访问权的软件或应用程序.它经常被用于恶意目的(Skoudis & Zeltse

《日志管理与分析权威指南》一1.2.3 什么是日志消息

1.2.3 什么是日志消息 正如我们之前讨论过的,日志消息是由某些设备或者系统生成,用来表明发生某些事情的消息.但是日志消息是什么样子的呢?让我们来简短地看一下这个问题的答案.本书将会非常详细地介绍这个内容.理解这个问题的答案,是本书剩下部分的基础.首先,典型的日志消息的基本内容如下: 时间戳 源 数据 不论消息是通过syslog发送.写入Windows事件日志或者是存入数据库,上述基本项目总会是消息的一部分.时间戳指示了生成日志消息的时间,源是生成日志消息的系统,它通常是以IP地址或者主机名的