《日志管理与分析权威指南》一2.2.3 日志内容

本节书摘来华章计算机《日志管理与分析权威指南》一书中的第2章 ，第2.2.3节，（美）　Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips　著 姚　军　简于涵　刘　晖　等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

2.2.3　日志内容

至此，我们已经讨论了日志的格式和语法，但日志内容才是真正重要的。日志内容通常被定义为区分日志真正含义的分类学，因此日志事件分类学是分类所记录事件的无歧义方法。如若多个系统记录相同事件，那么可以预期对该事件的分类描述是相同的。计算机应该可以立即判定两个日志是否指向相同类型事件。为确保实现这一目标，需要一组精确定义、能够以可预见的方式组合的词语——日志分类学。想必，这些词应该可以描述活动的类型，参与的角色，结果以及其他相关的事件数据。
事件分类学现在还没有精确定义的公开标准，但是其中一些已经处于开发阶段中。但是，当今大部分安全信息、事件管理以及日志管理供应商已经在他们的产品内开发并广泛使用了自身的日志分类学方法论。不幸的是，每家供应商采用的基本分类学原则略有不同。
日志内容是一个困难的主题，有许多东西需要关注，有时不一致、不完整或充满误导。我们会从下一章开始，并在第8、9以及11章详细关注日志内容。在这里，我们给出各种信息类型的概述，指出在日志中能够期望找到什么、应该寻找什么以及在梦中才能得到的日志信息。
日志中可能包含与用户活动有关的信息：谁登录了？他们正在做什么？他们发送和接收的邮件等等。日志也能告诉某些系统出现故障或者将要出现故障，例如磁盘错误。日志还能告诉你哪些工作正在正常进行，并给出资源利用和性能的相关信息。日志还可能包括状态改变、启动和停止等等信息。日志有时能告诉你入侵尝试的相关信息，偶尔还可能会标识一次成功的入侵。
以下类型涵盖了整个安全、运营以及调试范畴的日志消息，它们是：
1）变更管理：记录系统变更、组件变更、更新、账户变更以及受到变更管理过程控制的任何其他信息；这些日志一般可分为添加、删除、更新以及修改记录。它们可能跨越安全日志和运营日志之间的分界线。
2）身份认证和授权：记录身份认证和授权决策（例如某个设备上成功或失败的登录），尤其是特权用户登录，这是最常见的安全消息，每个应用程序和网络设备都应该生成这类消息。这些安全消息在运营日志中也常常使用（例如追踪谁使用了某个特定系统）。
3）数据和系统的访问：和前几类相关，对应用程序组件和数据（例如文件或数据库表）访问的记录在安全以及性能/运营方面也有用途。在某些情况下，这些消息并不总是启用状态，只在敏感环境中生成。
4）威胁管理：从传统的入侵警报到违反安全策略的其他活动，这类消息由具有安全专用功能的网络设备（例如防火墙）产生。
5）性能+容量管理：与系统性能和容量管理相关的一大类消息，包括各种阈值，内存和计算能力以及其他资源的利用率。这都是很常见的运营消息，不过有时在安全方面也有用途。
6）业务持续性+可用性管理：大部分系统在关机或开机时会记录相关日志，其他持续性和可用性日志消息与备份、冗余或者业务连续性功能利用相关。这些是很常见的运营消息，在安全方面鲜有用途。
7）杂项错误和失败：设计者认为应该吸引用户注意力的其他系统错误被划分到此类；它们不是关键运营消息，不一定需要设备管理员采取某些行动。
8）杂项调试消息：调试日志一般由个别开发人员酌情产生，很难硬性分类。大部分调试日志在运营生产环境下不启用。