Linux服务器操作系统日志管理六大秘诀

日期: 2011-08-03 来源:TechTarget中国 英文

   合适的日志管理工具能够大幅减轻管理企业系统日志数据的负担。但是,除非组织为这个工具投入必要的时间和精力,否则再好的工具也会很快变成一个差劲的工具。Diana Kelley为大家提供了6个确保成功的日志管理最佳实践。

  门外汉用上了工具依然是门外汉

  如果你不准备投入时间和精力在恰当地安装、管理日志管理工具上,那么就不要把钱浪费在日志管理系统上面。日志管理系统必须进行合理的配置,以正确解析您网络中的事件和日志,这样出来的报表才具有商业和技术价值。另一个“愚蠢”的错误是不去浏览和审查告警控制台,因而错过了关键的安全事件。因此,不要犯只重视日志管理技术而不重视系统使用的错误。

  通过预定义需求来精简RFP(请求提案)

  创建RFP(请求提案,需求方案说明书)是一个费时的过程。而一些需求一旦被定义出来,就能在随后的RFP中复用。这在制定日志管理的需求时很常见,因为日志管理的基本需求(例如日志文件的格式,写入日志文件的数据,等等)都是一样的,可以预先定义出来。使用预定义需求的另一个好处是这确保了在精简RFP周期的同时保持需求的一致性。

  确定你有所需的信息

  为了能够写出有效的关联规则,日志管理系统必须有足够的上下文数据进行分析。例如,为了确定某个特定的流量或者行为来自哪里,就需要知道源IP地址信息,这意味着日志管理系统必须先记录下IP地址信息,这样引擎才能够将其解析出来。又例如,如果要写一条日志分析规则对目标设备或者应用发生了某种行为进行告警,相关的日志数据必须先记录下那些行为才行。

  不要局限于静态分析

  大部分组织需要做的最后一件事是将那些没有整体分析模型的数据填写到另一张大表中,然后利用这张大表来进行事件分析。根据预期或者可接受行为的基线设定的告警不仅要通过分析大表中单条记录的特征来产生,还要通过分析一组记录集的特征来产生。不妨设想一下关键数据库的登录记录。

  一般会将两次登录失败的行为设定为触发告警的基线,但是如果那个数据库系统的密码策略从使用简单的字典单词变为使用8位以上非字典单词字符串,那么登录失败次数的基线可能要增大,因为用户要适应新的策略。具有智能感知能力的日志管理系统应该可以进行调节,以监测发展趋势,并为管理员提供反馈。管理员可以决定使用该趋势信息临时地改变告警阀值。

  使用日志数据描述正在或者已经发生的事情

  “日志是检查故障的极佳信息源”。因为大部分情况下用户判断导致故障原因的所有所需信息都能够从日志文件中找到。在危机期间,管理人员经常不得不进入被动模式,往往只能通过直觉、猜测、将不可再分的无关信息拼凑到一起等方式来判断正在或者已经发生的事情。而日志是真实发生事件的记录,日志管理系统允许管理人员针对故障信息实时地撰写和产生报表,从而真实地告诉响应小组网络中发生了什么。

  使用范畴可以超越安全本身

  日志管理系统是一个绝佳的安全设备信息收集和分析工具,不仅可以用这些信息实现安全感知,而且可以利用这些信息实现其他目标。例如,可以将这些信息用于分析(你的)十大业务关系的客户体验。

  许多WEB应用分析系统无法提供展示真实客户体验的细粒度视图。而设计良好的应用系统日志可以记录这些客户体验,日志管理系统可以通过这些日志来分析客户体验,从而将日志管理系统的运用领域扩展到安全分析之外。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 操作系统对比:Windows操作系统安全讨论

    读者提问:当谷歌在内部终止对Windows的使用时,引起了一些议论。为什么会出现这样的情况,还有操作系统上的切换很重要吗?你能否做一次快速的操作系统比较?

  • 日志管理工具和SIM整合设备形成安全架构

    日志文件忠实地记录发生在服务器、网络设备和一些应用程序中的事情。我们面临的挑战是如何有效地解开这个信息宝库。对于Larry Whiteside来说,被迫寻找正确的日志管理工具……