该博客内容摘自《日志管理与分析指南》一书的1.4节。
在很多企业环境中,日志并没有得到重视。日志往往在日常工作中被完全忽视,仅仅在磁盘空间不足的时候才会引起人们的注意。而在这个时候它们往往未经查看就被删除了。
日志不受重视的原因有很多种。
1、从供应商的角度:供应商并不希望你使用它,入侵检测系统的供应商会告诉你需要最新的科技(它们是最好的),否则你就会完蛋。
2、从IT管理工具供应商的角度:他们会告诉你需要他们的高价产品,只要在每台主机上安装少数代理,就可以获得和日志相同的信息报告。而如果你可以从日志中获得信息,当然就不需要他们的产品。
3、从系统管理员的角度:日志也不“性感”,Gigawombat-3000网络入侵检测系统(NIDS)可能更有超感官洞察力,在攻击之前就能够预知。但是,你买的Gigawombat也需要有人分析它的日志。
日志分析并不简单,可能相当棘手。日志以各种形状和大小出现,有时候很难从中提取信息。而且需要处理的日志数量也是相当之大,例如,有些网站一周都可能会收集到几个GB的日志数据,有的可能一天就达到这样的量级。这样的数量似乎让人不知所措,管理员最终往往根据特定的时间内看到的东西,人工拼凑出脚本来寻找一些随机的东西。
有效的日志分析还需要了解环境。必须应该知道什么对你的网络有利,什么对你的网络有害,什么是可疑的,什么是正常的。对你有害或奇怪的东西很有可能对别人是很正常的。
这就是没有真正实现即插即用的日志分析工具的部分原因,因为你的环境和策略决定了希望从日志中获取的信息。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
