《日志管理与分析权威指南》一1.3 看看接下来的事情

1.3 看看接下来的事情

下面我们来简单看看你将会在本书的剩余部分遇到什么样的事情。由于必须要有日志信息,你才能从中获取到有用的信息,因此我们将关注生成日志信息的一些事情,以及如何让它们提供给你所需的东西。我们将会向你展示如何构建一个收集、归档和分析日志数据的基础设施。在这个过程中,我们会提供真实的例子和案例研究。
我们将会详细讨论Unix和syslog数据,因为很多应用程序默认使用syslog,很多其他的应用程序也对其兼容(例如大部分Cisco和Juniper的设备都使用syslog)。并且,syslog是唯一具备向集中收集系统转发日志消息的内建机制的跨平台日志记录工具。但是,我们也会讨论在你的系统中可能使用的其他形式的日志。我们也肯定会谈到Windows的日志记录,主要是关于将你的windows日志数据放入集中化基础设施的内容。
如果你是程序员,我们专门为你准备了一整章。坦率地说,分析日志消息最大的一个问题就是大部分日志的质量低下,没有包含任何可用于有用操作的信息。如果从一开始就提高日志质量,它的使用就会简单得多。我们来看看下面这条日志消息的例子:

这条消息有什么问题吗?它很能说明问题,不是么?它告诉我们有一个向远程登录服务的连接被拒绝了。除了没有年份、没有时区这些令人烦恼的事情之外,如果它能告诉我们从哪里发出的连接被拒绝,会不会更好一点?如果告诉我们连接被拒绝的原因会不会更好一点?如果你只是在诊断和测试,那么这条日志消息并不是那么糟。但是如果你正在为某些人攻击了你的系统而查看日志,知道攻击从哪里发起显然会更有用。
现在来考虑下面这条日志消息:

是不是好了很多?
下面是一条实际上没什么用处的消息(这可不是我们编造出来的):

也许它对内核开发者的确有某些意义,但在其他方面没有什么帮助,它就跟下面的日志一样:

在我们为程序员准备的章节中,并不是仅仅抱怨这些糟糕的日志消息,而是对如何提高应用程序生成的日志质量提供很多有用的建议。

时间: 2024-09-20 00:06:10

《日志管理与分析权威指南》一1.3 看看接下来的事情的相关文章

《日志管理与分析权威指南》一导读

前 言 欢迎阅读本书.本书的目标是向信息技术(IT)专业人士提供理解和处理日志数据的入门知识.各种形式的日志数据是由许多类型的系统生成的.如何处理和分析日志数据是长期存在的一个问题.本书介绍能够帮助你分析日志数据和寻找恶意活动的技术和工具. 过去,系统管理员审阅日志文件,寻找磁盘错误或者内核问题.现在的系统管理员往往还要兼任安全管理员.更好地理解如何处理安全日志数据的需求从未像今天那么重要.安全性分析人员是IT专家组中负责跟踪日志分析技术的人.许多经验丰富的人曾经在"压力测试"的模式下

《日志管理与分析权威指南》一2.1 概述

2.1 概述 在第1章我们已经讨论了日志,但是,我们真正讨论的东西是什么?我们正在讨论的并不是树木.数学,或航海日志等等--让我们从定义开始,该领域中的许多讨论是粗略和模糊的,对安全分析人员或网络工程师没有什么用处,因此探寻一个围绕日志记录数据的清晰定义就变得意义非凡了.定义 在日志记录.日志分析以及日志管理中使用的许多术语(包括我们刚刚使用过的)含义模糊,充满误导或者有多重意义.在某些情况下,术语是从其他学科中"借用"的(我们偶尔会用到这些词),有时,不同的人使用不同的术语.而在另一

《日志管理与分析权威指南》一1.2.2 日志数据是如何传输和收集的

1.2.2 日志数据是如何传输和收集的 日志数据的传输和收集在概念上非常简单.计算机或者其他设备都实现了日志记录子系统,能够在确定有必要的时候生成日志消息,具体的确定方式取决于设备.例如,你可以选择对设备进行配置,设备也可能本身进行了硬编码,生成一系列预设消息.另一方面,你必须有一个用来接收和收集日志消息的地方.这个地方一般被称为日志主机(loghost).日志主机是一个计算机系统,一般来说可能是Unix系统或者Windows服务器系统,它是集中收集日志消息的地方.使用集中日志收集器的优点如下:

《日志管理与分析权威指南》一1.7 安全信息和事件管理(SIEM)

1.7 安全信息和事件管理(SIEM) 日志管理的书籍如果不讨论SIEM,那就是不完整的.SIEM已经形成了一个行业,SIEM工具提供了一种实时分析安全事件的方法.它也提供了报告.可视化和长期存储等机制.我们在这本书里面不会花太多时间在SIEM上,但是第15章将会讨论一些开源的SIEM工具. 下面的两个案例研究会解释日志数据怎样帮助解决现实世界的问题. 后门(Backdoor)是允许用户在不为人知的情况下获得计算机系统访问权的软件或应用程序.它经常被用于恶意目的(Skoudis & Zeltse

《日志管理与分析权威指南》一3.2.2 SNMP

3.2.2 SNMP SNMP设计用于满足网络管理员不断增长的需求.从20世纪90年代初起,SNMP已经集成到几乎所有你能想到的网络系统中,包括许多网络安全系统.SNMP是查询和配置设备的一种协议.SNMP陷阱和通知是设备在特定事件发生时生成的特殊SNMP消息.虽然SNMP协议整体来说不是一个日志记录系统,但是SNMP陷阱和通知可以看作日志消息的类型.虽然许多网络设备能够通过syslog发送事件信息,但是有些设备不能,特别是旧设备,因此SNMP陷阱和通知是从设备获得其他途径不能收集的事件信息的一

《日志管理与分析权威指南》一1.6 人、过程和技术

1.6 人.过程和技术 有效的日志分析策略不单单是一系列的工具,而是人.过程和技术的完美组合.技术是你使用的各种工具的组合.但是只有最新的工具是不够的,你必须知道用它们来做什么.过程决定了你如何使用这些工具.如何管理日志数据,确保它含有你所需要的信息,并从中获取你所需要的信息?过程对于这些问题来说是必需的.在法庭上用日志作为证据时,一个记录在案的日志处理过程是必不可少的.能够展示你平时怎样收集和保存日志数据,会极大地影响到你的日志数据是否可以成为证据.报告可以对此提供帮助,我们会在第12章涉及这

《日志管理与分析权威指南》一1.2.4 日志生态系统

1.2.4 日志生态系统 之前我们已经在概略地讨论了日志数据和日志消息,现在我们来了解日志是怎么在整个日志记录生态系统中使用的.日志记录生态系统,有时也称为日志记录基础设施,是组合在一起实现了日志数据的生成.过滤.规范化.分析和长期存储各项功能的组件和零件.这个系统的最终目标是能够利用日志来解决问题.而需要解决的问题取决于你的环境.例如,如果你是一个处理信用卡交易的零售组织,就必须遵守各种各样的监管和依从性要求.本节中余下的内容将会在后续的章节中展开讲解.让我们从一些在开始规划日志系统架构的时候

《日志管理与分析权威指南》一1.4 被低估的日志

1.4 被低估的日志 在很多企业环境中,日志没有得到重视.日志往往在日常工作中被完全忽视,仅仅在磁盘空间不足的时候才会引起人们的注意.而在这个时候它们往往未经查看就被删除了.某些情况下,日志中的一些消息可能指出磁盘满的原因.我们肯定都有过查看已被入侵的机器的经历,在询问日志保存的位置之后,我们会听到:"噢,它们只会占据空间,所以我们把它们删掉了."在大多数这种情况下,我们没有什么可做的.为什么日志不受重视呢?这是有很多原因的.供应商并不希望你使用它.入侵检测系统的供应商会告诉你需要最新

《日志管理与分析权威指南》一1.5.5 无聊的审计,有趣的发现

1.5.5 无聊的审计,有趣的发现 审计是验证系统或者过程是否如预期般运行的过程.日志是审计过程的一部分,形成审计跟踪的一部分. 审计往往是为了政策或者监管依从性而进行的.例如,公司往往需要做财务审计,以确保他们的财务报表和账簿相符,且所有数字都合情合理.Sarbanes-Oxley(萨班斯-奥克斯利法案)和HIPAA(健康保险便利性与责任法案)等美国法规都要求某种交易日志,以及可以用来验证用户对金融和患者数据的访问的审计跟踪.另一个例子是Payment Card Industry Data S

《日志管理与分析权威指南》一3.2.1 syslog

3.2.1 syslog 在第1章和第2章中你已经看到了syslog消息示例.本节更多的是关于协议本身的.syslog被Unix内核和许多应用程序用来记录日志消息,它最初是用于收集调试信息的.因此,它对于安全日志分析有一些限制,不是最优的.尽管如此,syslog已经成为了基于UNIX的系统中记录应用程序事件的最常用方法. syslog包含syslog守护进程(syslogd).它通常分别在开机和关机时启动和停止.应用程序通过syslog(3)库调用与syslogd通信.syslogd通过Unix