《日志管理与分析权威指南》一1.4 被低估的日志

1.4 被低估的日志

在很多企业环境中,日志没有得到重视。日志往往在日常工作中被完全忽视,仅仅在磁盘空间不足的时候才会引起人们的注意。而在这个时候它们往往未经查看就被删除了。某些情况下,日志中的一些消息可能指出磁盘满的原因。我们肯定都有过查看已被入侵的机器的经历,在询问日志保存的位置之后,我们会听到:“噢,它们只会占据空间,所以我们把它们删掉了。”在大多数这种情况下,我们没有什么可做的。
为什么日志不受重视呢?这是有很多原因的。供应商并不希望你使用它。入侵检测系统的供应商会告诉你需要最新的科技(他们是最好的),否则你就会完蛋。IT管理工具供应商会告诉你需要他们的高价产品,只要在每台主机上安装少数代理,就可以获得和日志相同的信息报告。而如果你可以从日志中获得信息,当然就不需要他们的产品。
即使对系统管理员来说,日志也不“性感”。Gigawombat-3000网络入侵检测系统(NIDS)具有Extra Sensory Perception(超感官洞察力),在攻击发生之前就能预知,看上去比日志要帅气得多。当你最喜欢的邮件列表源源不断地向你发来关于入侵检测/预防/预测/等方面的最新信息时,这一点更加明显。顺便说一句,你买的Gigawombat也需要有人来分析它的日志。
日志分析并不简单,可能相当棘手。和“插入然后祈祷”的方法相反,有效的日志分析有一定的效果。日志以各种形状和大小出现,有时候很难从中提取信息。syslog数据可能相当糟糕,因为大多数数据都是自由格式的文本(正如我们之前讨论的)。正如我们即将在本书中向你展现的,从syslog中获取有用的数据需要花费一些精力,而且需要处理的数据量可能很大。例如,有些网站每周会收集几个GB的日志数据,有的可能一天内就能达到这样的量级。这样的数量似乎令人不知所措,管理员最终往往根据特定的时间内看到的东西,人工拼凑出脚本来寻找一些随机的东西。
有效的日志分析还需要了解环境。你必须知道,什么对你的网络有利,什么对你的网络有害,什么是可疑的,什么是正常的。对你有害或奇怪的东西很有可能对别人是很正常的。例如,一个用户从外国登录可能对你来说很可疑,特别是你所有的用户都是本地的情况下。然而,另一个网站的用户可能遍布各地,所以他们很难确定什么才算是不寻常的。
这就是没有真正即插即用的日志分析工具的部分原因,因为你的环境和策略决定了希望从日志中获取的信息。
最后,关于如何做日志分析并没有很多有用的信息。嘿嘿,也许应该有人写一本这方面的书啊。

时间: 2024-10-26 17:13:29

《日志管理与分析权威指南》一1.4 被低估的日志的相关文章

《日志管理与分析权威指南》一1.2.4 日志生态系统

1.2.4 日志生态系统 之前我们已经在概略地讨论了日志数据和日志消息,现在我们来了解日志是怎么在整个日志记录生态系统中使用的.日志记录生态系统,有时也称为日志记录基础设施,是组合在一起实现了日志数据的生成.过滤.规范化.分析和长期存储各项功能的组件和零件.这个系统的最终目标是能够利用日志来解决问题.而需要解决的问题取决于你的环境.例如,如果你是一个处理信用卡交易的零售组织,就必须遵守各种各样的监管和依从性要求.本节中余下的内容将会在后续的章节中展开讲解.让我们从一些在开始规划日志系统架构的时候

《日志管理与分析权威指南》一1.2.2 日志数据是如何传输和收集的

1.2.2 日志数据是如何传输和收集的 日志数据的传输和收集在概念上非常简单.计算机或者其他设备都实现了日志记录子系统,能够在确定有必要的时候生成日志消息,具体的确定方式取决于设备.例如,你可以选择对设备进行配置,设备也可能本身进行了硬编码,生成一系列预设消息.另一方面,你必须有一个用来接收和收集日志消息的地方.这个地方一般被称为日志主机(loghost).日志主机是一个计算机系统,一般来说可能是Unix系统或者Windows服务器系统,它是集中收集日志消息的地方.使用集中日志收集器的优点如下:

《日志管理与分析权威指南》一2.3 良好日志记录的标准

2.3 良好日志记录的标准 正如这本书中各式例子所示,许多情况下日志记录的信息是不完整的,有时甚至是没用的.那么怎样才算是"良好"的日志呢?对入侵检测.资源管理或审计来说,日志消息必须包含哪些必要的信息?由于日志的种类很多,生成日志的设备更是多种多样,因此很难定义单一的标准. 通常来说,日志应该能够告诉你如下信息: 发生了什么(即What,辅以适当细节信息:单纯的"某事发生"通常并不是特别有用) 发生于何时(即When,若有必要,包含开始时间以及结束时间) 发生于何

《日志管理与分析权威指南》一2.2.1 日志格式和类型

2.2.1 日志格式和类型 在开始讨论格式和其他信息之前,我们应该指出,为了满足前文所述的目标,任何日志记录机制都可以从逻辑上分为四个部分: 日志传输 日志语法与格式 日志事件分类学 日志记录的设置.配置与建议 这些主要特性将在整个报告以及本项目下生成的其他文档中使用.让我们来详细地研究它们的关键概念.日志传输就是将日志消息从一个地方转移到其他地方的方式.事件传输协议有许多种,例如syslog.WS-Mangement和许多专有的产品特定的日志传输协议,还有一些日志记录机制没有自己的传输方法(例

《日志管理与分析权威指南》一2.2.2 日志语法

2.2.2 日志语法 任何格式的日志文件都具有语法,日志语法在概念上与语言(如英语)语法相似.人类语言语法中的句子通常包含一个主语.一个谓语.有时还包含一个表语,当然还有补语和定语.句子的语法涵盖句子成员之间的关系和他们的含义.需要注意的是,语法并不涉及消息的内容.换句话说,语法处理的是如何构造我们所要表述的内容,而不是我们使用的具体词语.那么,在日志消息的环境下语法又有什么意义呢?当然,每条日志消息都有表征它的结构.一些类型的日志消息自身具有人类语言的部分语法,日志消息每部分由各种类型的信息模

《日志管理与分析权威指南》一导读

前 言 欢迎阅读本书.本书的目标是向信息技术(IT)专业人士提供理解和处理日志数据的入门知识.各种形式的日志数据是由许多类型的系统生成的.如何处理和分析日志数据是长期存在的一个问题.本书介绍能够帮助你分析日志数据和寻找恶意活动的技术和工具. 过去,系统管理员审阅日志文件,寻找磁盘错误或者内核问题.现在的系统管理员往往还要兼任安全管理员.更好地理解如何处理安全日志数据的需求从未像今天那么重要.安全性分析人员是IT专家组中负责跟踪日志分析技术的人.许多经验丰富的人曾经在"压力测试"的模式下

《日志管理与分析权威指南》一2.1 概述

2.1 概述 在第1章我们已经讨论了日志,但是,我们真正讨论的东西是什么?我们正在讨论的并不是树木.数学,或航海日志等等--让我们从定义开始,该领域中的许多讨论是粗略和模糊的,对安全分析人员或网络工程师没有什么用处,因此探寻一个围绕日志记录数据的清晰定义就变得意义非凡了.定义 在日志记录.日志分析以及日志管理中使用的许多术语(包括我们刚刚使用过的)含义模糊,充满误导或者有多重意义.在某些情况下,术语是从其他学科中"借用"的(我们偶尔会用到这些词),有时,不同的人使用不同的术语.而在另一

《日志管理与分析权威指南》一1.5.5 无聊的审计,有趣的发现

1.5.5 无聊的审计,有趣的发现 审计是验证系统或者过程是否如预期般运行的过程.日志是审计过程的一部分,形成审计跟踪的一部分. 审计往往是为了政策或者监管依从性而进行的.例如,公司往往需要做财务审计,以确保他们的财务报表和账簿相符,且所有数字都合情合理.Sarbanes-Oxley(萨班斯-奥克斯利法案)和HIPAA(健康保险便利性与责任法案)等美国法规都要求某种交易日志,以及可以用来验证用户对金融和患者数据的访问的审计跟踪.另一个例子是Payment Card Industry Data S

《日志管理与分析权威指南》一3.2.1 syslog

3.2.1 syslog 在第1章和第2章中你已经看到了syslog消息示例.本节更多的是关于协议本身的.syslog被Unix内核和许多应用程序用来记录日志消息,它最初是用于收集调试信息的.因此,它对于安全日志分析有一些限制,不是最优的.尽管如此,syslog已经成为了基于UNIX的系统中记录应用程序事件的最常用方法. syslog包含syslog守护进程(syslogd).它通常分别在开机和关机时启动和停止.应用程序通过syslog(3)库调用与syslogd通信.syslogd通过Unix