日志管理最佳实践:成功的六要诀【解读版】
合适的日志管理工具能够大幅减轻管理企业系统日志数据的负担。但是,除非组织为这个工具投入必要的时间和精力,否则再好的工具也会很快变成一个差劲的工具。Diana Kelley为大家提供了6个确保成功的日志管理最佳实践。
门外汉用上了工具依然是门外汉
如果你不准备投入时间和精力在恰当地安装、管理日志管理工具上,那么就不要把钱浪费在日志管理系统上面。日志管理系统必须进行合理的配置,以正确解析您网络中的事件和日志,这样出来的报表才具有商业和技术价值。另一个“愚蠢”的错误是不去浏览和审查告警控制台,因而错过了关键的安全事件。因此,不要犯只重视日志管理技术而不重视系统使用的错误。
通过预定义需求来精简RFP(请求提案)
创建RFP(请求提案,需求方案说明书)是一个费时的过程。而一些需求一旦被定义出来,就能在随后的RFP中复用。这在制定日志管理的需求时很常见,因为日志管理的基本需求(例如日志文件的格式,写入日志文件的数据,等等)都是一样的,可以预先定义出来。使用预定义需求的另一个好处是这确保了在精简 RFP周期的同时保持需求的一致性。
确定你有所需的信息
为了能够写出有效的关联规则,日志管理系统必须有足够的上下文数据进行分析。例如,为了确定某个特定的流量或者行为来自哪里,就需要知道源IP地址信息,这意味着日志管理系统必须先记录下IP地址信息,这样引擎才能够将其解析出来。又例如,如果要写一条日志分析规则对目标设备或者应用发生了某种行为进行告警,相关的日志数据必须先记录下那些行为才行。
不要局限于静态分析
大部分组织需要做的最后一件事是将那些没有整体分析模型的数据填写到另一张大表中,然后利用这张大表来进行事件分析。根据预期或者可接受行为的基线设定的告警不仅要通过分析大表中单条记录的特征来产生,还要通过分析一组记录集的特征来产生。不妨设想一下关键数据库的登录记录。一般会将两次登录失败的行为设定为触发告警的基线,但是如果那个数据库系统的密码策略从使用简单的字典单词变为使用8位以上非字典单词字符串,那么登录失败次数的基线可能要增大,因为用户要适应新的策略。具有智能感知能力的日志管理系统应该可以进行调节,以监测发展趋势,并为管理员提供反馈。管理员可以决定使用该趋势信息临时地改变告警阀值。
使用日志数据描述正在或者已经发生的事情
“日志是检查故障的极佳信息源”。因为大部分情况下用户判断导致故障原因的所有所需信息都能够从日志文件中找到。在危机期间,管理人员经常不得不进入被动模式,往往只能通过直觉、猜测、将不可再分的无关信息拼凑到一起等方式来判断正在或者已经发生的事情。而日志是真实发生事件的记录,日志管理系统允许管理人员针对故障信息实时地撰写和产生报表,从而真实地告诉响应小组网络中发生了什么。
使用范畴可以超越安全本身
日志管理系统是一个绝佳的安全设备信息收集和分析工具,不仅可以用这些信息实现安全感知,而且可以利用这些信息实现其他目标。例如,可以将这些信息用于分析(你的)十大业务关系的客户体验。许多WEB应用分析系统无法提供展示真实客户体验的细粒度视图。而设计良好的应用系统日志可以记录这些客户体验,日志管理系统可以通过这些日志来分析客户体验,从而将日志管理系统的运用领域扩展到安全分析之外。
【后记】本文已经发表在TT安全上。这里,我想在原文基础上谈谈我对这六个最佳实践的一些理解,希望有助于读者理解原文的含义。
1)日志管理是工具,不是代替人做出决策的系统。因此,再好的工具也需要人去用,工具只是提高人的效率,不取代人。日志管理(LM)或者说日志审计产品如此,安全管理产品亦是如此。
2)日志管理的很多基本需求都是相对固定的,这是日志管理(日志审计)系统的工作原理决定的。我之前已经分析了很多遍原理了(包括这里,还有这里,以及这里),不再赘述。我们事先可以定义一下自己的网络对日志管理的EPS性能要求,存储要求(时间和空间),要分析的日志种类,对查询性能和可用性的要求,等等。
3)“巧妇难为无米之炊”。日志审计的根本是日志,再好的产品,如果缺少日志,那么之前设定的分析效果就无法达到。
4)审计规则应该是动态的,根据实际环境的变化而变化。这也就意味着,大多数情况下分析规则无法写死,内置在系统中,而是根据实际情况量身定制的。可以有模板,但是很多参数要具体而定。
5)日志确实很有用,有人将它比作安全分析人员的金矿,但是要从金矿中提炼出真金(真正的安全问题),还需要日志管理工具的帮助,否则就真是大海捞针,无从下手了。
6)日志管理不仅对安全审计人员有用,还对系统性能和故障分析人员有用,甚至对业务部门的人有用。不过,那个时候的日志管理就不是一个单纯日志安全审计系统了,原理类似,但是分析目标有不同。
日志管理最佳实践:成功的六要诀【解读版】相关推荐
- Java日志管理最佳实践
原文出处:http://www.ibm.com/developerworks/cn/java/j-lo-practicelog/. 感谢原作者,感谢ibm网站,里面有好多的精华帖. 日志记录是应用程序 ...
- docker 日志_Docker容器日志管理最佳实践
博客园:https://www.cnblogs.com/operationhome/p/10907591.html 本文所有内容基于: Docker-CE Server Version: 18.09. ...
- Docker容器日志管理最佳实践
Docker 日志分为两类: Docker 引擎日志(也就是 dockerd 运行时的日志), 容器的日志,容器内的服务产生的日志. 一 .Docker 引擎日志 Docker 引擎日志一般是交给了 ...
- 【Elasticsearch】Elasticsearch日志场景最佳实践
1.概述 转载:Day 12 - Elasticsearch日志场景最佳实践 相似文章:[Elasticsearch]Elasticsearch 最佳实践系列之分片恢复并发故障 Elasticsear ...
- Java日志记录最佳实践
作者:GeekerLou www.jianshu.com/p/546e9aace657 一.日志简介 1.1 日志是什么(WHAT) 日志:记录程序的运行轨迹,方便查找关键信息,也方便快速定位解决问题 ...
- DB2 Workload Management 工作负载管理最佳实践
转自:http://www.ibm.com/developerworks/cn/data/library/techarticles/dm-0912db2workloadm/index.html 概要介 ...
- LDAP身份认证管理最佳实践
LDAP身份认证管理最佳实践 轻型级目录访问协议(LDAP)为数据库访问控制提供了一个开源的,跨平台的解决方案.它是企业级的通用身份和访问管理(IAM)工具,但如果不遵循适当的管理协议,则可能会带来严 ...
- “卓越需求分析与管理最佳实践” 培训班
关于举办"卓越需求分析与管理最佳实践" 培训班的通知 培训地点 深圳 成都 苏州 培训时间 5月24-27 8月23-26 10月 25-28 一. 培训收益 课程中通过讲解和案例 ...
- 绩效管理最佳实践和未来趋势
绩效管理最佳实践 确保绩效管理成功的唯一方法,是通过三个最佳实践将其形成一个不断发展循环的过程. 精心设计的绩效管理计划 精心设计的绩效管理计划将回答的一些关键问题是: 每周.每月或每季度对员工绩效进 ...
最新文章
- Mac OS 错误代码 -8072的可行解决方法
- c语言搜索关键字吗,c语言-以关键字搜索程序
- 本地yum仓库和http方式的yum仓库。
- 笔记本电源适配器的选择方法
- [PowerShell] PowerShell学习脚印
- 修改npm全局安装模式的路径
- Linux高频命令汇总,Linux高频命令
- 郑州轻工业学院OJ-杨辉三角
- 关于使用struts2上传文件时获取不到文件内容的问题的解决方案
- android:模拟水波效果的自己定义View
- MemCache在Windows下环境的搭建及启动
- 深入浅出理解输入输出阻抗-音频电路输入输出阻抗
- Django写一个登录注册---001创建项目以及设计数据库
- 用Axure创建一个知乎登录注册界面
- 登录注册小程序(JAVA基础案例教程第二章-课后作业)
- python 处理锯齿波信号
- Color Constancy Datasets
- Picture HDU - 1828 (扫描线求矩形周长并)
- 立图教育-专业的职业培训机构
- StarUML3.0.0-3.0.2全版本破解安装方法讲解(支持正版严禁商用)
热门文章
- linux Fedora安装桌面,CentOS6.x\Red Hat\Fedora\Linux 安装Wine 1.7.48 桌面运行环境教程
- IN-12辉光数码管:俄罗斯进口的器件
- 高压放电与防静电塑料包装
- 线上比赛投诉:同一赛点两支队伍比赛车模是否相同?
- 全国大学生智能汽车竞赛英飞凌AURIXTM培训--应用篇 : 3月30日直播
- AD5934阻抗变换模块实验电路板
- 信号建模与参数估计作业重新计算
- SVN 报错“Previous operation has not finished; run ‘cleanup‘ if it was interrupted”
- 用计算机打印相片怎么调色,2018年底照片如何使用LOG模式进行调色
- 为什么mysql打开闪屏_mysql登录闪屏问题解决办法