《日志管理与分析权威指南》一1.4 被低估的日志

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介:

本节书摘来华章计算机《日志管理与分析权威指南》一书中的第1章 ,第1.4节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

1.4 被低估的日志

在很多企业环境中,日志没有得到重视。日志往往在日常工作中被完全忽视,仅仅在磁盘空间不足的时候才会引起人们的注意。而在这个时候它们往往未经查看就被删除了。某些情况下,日志中的一些消息可能指出磁盘满的原因。我们肯定都有过查看已被入侵的机器的经历,在询问日志保存的位置之后,我们会听到:“噢,它们只会占据空间,所以我们把它们删掉了。”在大多数这种情况下,我们没有什么可做的。
为什么日志不受重视呢?这是有很多原因的。供应商并不希望你使用它。入侵检测系统的供应商会告诉你需要最新的科技(他们是最好的),否则你就会完蛋。IT管理工具供应商会告诉你需要他们的高价产品,只要在每台主机上安装少数代理,就可以获得和日志相同的信息报告。而如果你可以从日志中获得信息,当然就不需要他们的产品。
即使对系统管理员来说,日志也不“性感”。Gigawombat-3000网络入侵检测系统(NIDS)具有Extra Sensory Perception(超感官洞察力),在攻击发生之前就能预知,看上去比日志要帅气得多。当你最喜欢的邮件列表源源不断地向你发来关于入侵检测/预防/预测/等方面的最新信息时,这一点更加明显。顺便说一句,你买的Gigawombat也需要有人来分析它的日志。
日志分析并不简单,可能相当棘手。和“插入然后祈祷”的方法相反,有效的日志分析有一定的效果。日志以各种形状和大小出现,有时候很难从中提取信息。syslog数据可能相当糟糕,因为大多数数据都是自由格式的文本(正如我们之前讨论的)。正如我们即将在本书中向你展现的,从syslog中获取有用的数据需要花费一些精力,而且需要处理的数据量可能很大。例如,有些网站每周会收集几个GB的日志数据,有的可能一天内就能达到这样的量级。这样的数量似乎令人不知所措,管理员最终往往根据特定的时间内看到的东西,人工拼凑出脚本来寻找一些随机的东西。
有效的日志分析还需要了解环境。你必须知道,什么对你的网络有利,什么对你的网络有害,什么是可疑的,什么是正常的。对你有害或奇怪的东西很有可能对别人是很正常的。例如,一个用户从外国登录可能对你来说很可疑,特别是你所有的用户都是本地的情况下。然而,另一个网站的用户可能遍布各地,所以他们很难确定什么才算是不寻常的。
这就是没有真正即插即用的日志分析工具的部分原因,因为你的环境和策略决定了希望从日志中获取的信息。
最后,关于如何做日志分析并没有很多有用的信息。嘿嘿,也许应该有人写一本这方面的书啊。

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
20天前
|
缓存 监控 算法
分析慢日志文件来优化 PHP 脚本的性能
分析慢日志文件来优化 PHP 脚本的性能
|
28天前
|
Java
日志框架log4j打印异常堆栈信息携带traceId,方便接口异常排查
日常项目运行日志,异常栈打印是不带traceId,导致排查问题查找异常栈很麻烦。
|
1月前
|
存储 监控 数据可视化
SLS 虽然不是直接使用 OSS 作为底层存储,但它凭借自身独特的存储架构和功能,为用户提供了一种专业、高效的日志服务解决方案。
【9月更文挑战第2天】SLS 虽然不是直接使用 OSS 作为底层存储,但它凭借自身独特的存储架构和功能,为用户提供了一种专业、高效的日志服务解决方案。
73 9
|
13天前
08-06-06>pe_xscan 精简log分析代码 速度提升一倍
08-06-06>pe_xscan 精简log分析代码 速度提升一倍
|
2月前
|
API C# 开发框架
WPF与Web服务集成大揭秘:手把手教你调用RESTful API,客户端与服务器端优劣对比全解析!
【8月更文挑战第31天】在现代软件开发中,WPF 和 Web 服务各具特色。WPF 以其出色的界面展示能力受到欢迎,而 Web 服务则凭借跨平台和易维护性在互联网应用中占有一席之地。本文探讨了 WPF 如何通过 HttpClient 类调用 RESTful API,并展示了基于 ASP.NET Core 的 Web 服务如何实现同样的功能。通过对比分析,揭示了两者各自的优缺点:WPF 客户端直接处理数据,减轻服务器负担,但需处理网络异常;Web 服务则能利用服务器端功能如缓存和权限验证,但可能增加服务器负载。希望本文能帮助开发者根据具体需求选择合适的技术方案。
72 0
|
2月前
|
C# Windows 监控
WPF应用跨界成长秘籍:深度揭秘如何与Windows服务完美交互,扩展功能无界限!
【8月更文挑战第31天】WPF(Windows Presentation Foundation)是 .NET 框架下的图形界面技术,具有丰富的界面设计和灵活的客户端功能。在某些场景下,WPF 应用需与 Windows 服务交互以实现后台任务处理、系统监控等功能。本文探讨了两者交互的方法,并通过示例代码展示了如何扩展 WPF 应用的功能。首先介绍了 Windows 服务的基础知识,然后阐述了创建 Windows 服务、设计通信接口及 WPF 客户端调用服务的具体步骤。通过合理的交互设计,WPF 应用可获得更强的后台处理能力和系统级操作权限,提升应用的整体性能。
74 0
|
2月前
|
存储 消息中间件 监控
Java日志详解:日志级别,优先级、配置文件、常见日志管理系统ELK、日志收集分析
Java日志详解:日志级别,优先级、配置文件、常见日志管理系统、日志收集分析。日志级别从小到大的关系(优先级从低到高): ALL < TRACE < DEBUG < INFO < WARN < ERROR < FATAL < OFF 低级别的会输出高级别的信息,高级别的不会输出低级别的信息
|
2月前
|
算法 关系型数据库 程序员
第一周算法设计与分析:A : log2(N)
这篇文章介绍了解决算法问题"输入一个数N,输出log2N(向下取整)"的三种编程思路,包括使用对数函数和幂函数的转换方法,以及避免浮点数精度问题的整数逼近方法。
|
2月前
|
存储
【Azure Log A workspace】Azure上很多应用日志收集到Log A workspace后如何来分别各自的占比呢?
【Azure Log A workspace】Azure上很多应用日志收集到Log A workspace后如何来分别各自的占比呢?
|
SQL 数据采集 监控
基于日志服务数据加工分析Java异常日志
采集并脱敏了整个5月份的项目异常日志,准备使用日志服务数据加工做数据清洗以及分析。本案例是基于使用阿里云相关产品(OSS,RDS,SLS等)的SDK展开自身业务。需要对异常日志做解析,将原始日志中时间、错误码、错误信息、状态码、产品信息、请求方法、出错行号提取出来。然后根据提取出来的不同产品信息做多目标分发处理。对清洗后的数据做异常日志数据分析。
789 0
基于日志服务数据加工分析Java异常日志