1.4 被低估的日志
在很多企业环境中,日志没有得到重视。日志往往在日常工作中被完全忽视,仅仅在磁盘空间不足的时候才会引起人们的注意。而在这个时候它们往往未经查看就被删除了。某些情况下,日志中的一些消息可能指出磁盘满的原因。我们肯定都有过查看已被入侵的机器的经历,在询问日志保存的位置之后,我们会听到:“噢,它们只会占据空间,所以我们把它们删掉了。”在大多数这种情况下,我们没有什么可做的。
为什么日志不受重视呢?这是有很多原因的。供应商并不希望你使用它。入侵检测系统的供应商会告诉你需要最新的科技(他们是最好的),否则你就会完蛋。IT管理工具供应商会告诉你需要他们的高价产品,只要在每台主机上安装少数代理,就可以获得和日志相同的信息报告。而如果你可以从日志中获得信息,当然就不需要他们的产品。
即使对系统管理员来说,日志也不“性感”。Gigawombat-3000网络入侵检测系统(NIDS)具有Extra Sensory Perception(超感官洞察力),在攻击发生之前就能预知,看上去比日志要帅气得多。当你最喜欢的邮件列表源源不断地向你发来关于入侵检测/预防/预测/等方面的最新信息时,这一点更加明显。顺便说一句,你买的Gigawombat也需要有人来分析它的日志。
日志分析并不简单,可能相当棘手。和“插入然后祈祷”的方法相反,有效的日志分析有一定的效果。日志以各种形状和大小出现,有时候很难从中提取信息。syslog数据可能相当糟糕,因为大多数数据都是自由格式的文本(正如我们之前讨论的)。正如我们即将在本书中向你展现的,从syslog中获取有用的数据需要花费一些精力,而且需要处理的数据量可能很大。例如,有些网站每周会收集几个GB的日志数据,有的可能一天内就能达到这样的量级。这样的数量似乎令人不知所措,管理员最终往往根据特定的时间内看到的东西,人工拼凑出脚本来寻找一些随机的东西。
有效的日志分析还需要了解环境。你必须知道,什么对你的网络有利,什么对你的网络有害,什么是可疑的,什么是正常的。对你有害或奇怪的东西很有可能对别人是很正常的。例如,一个用户从外国登录可能对你来说很可疑,特别是你所有的用户都是本地的情况下。然而,另一个网站的用户可能遍布各地,所以他们很难确定什么才算是不寻常的。
这就是没有真正即插即用的日志分析工具的部分原因,因为你的环境和策略决定了希望从日志中获取的信息。
最后,关于如何做日志分析并没有很多有用的信息。嘿嘿,也许应该有人写一本这方面的书啊。