《日志管理与分析权威指南》一1.4 被低估的日志-阿里云开发者社区

开发者社区> 华章计算机> 正文

《日志管理与分析权威指南》一1.4 被低估的日志

简介:
+关注继续查看

本节书摘来华章计算机《日志管理与分析权威指南》一书中的第1章 ,第1.4节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

1.4 被低估的日志

在很多企业环境中,日志没有得到重视。日志往往在日常工作中被完全忽视,仅仅在磁盘空间不足的时候才会引起人们的注意。而在这个时候它们往往未经查看就被删除了。某些情况下,日志中的一些消息可能指出磁盘满的原因。我们肯定都有过查看已被入侵的机器的经历,在询问日志保存的位置之后,我们会听到:“噢,它们只会占据空间,所以我们把它们删掉了。”在大多数这种情况下,我们没有什么可做的。
为什么日志不受重视呢?这是有很多原因的。供应商并不希望你使用它。入侵检测系统的供应商会告诉你需要最新的科技(他们是最好的),否则你就会完蛋。IT管理工具供应商会告诉你需要他们的高价产品,只要在每台主机上安装少数代理,就可以获得和日志相同的信息报告。而如果你可以从日志中获得信息,当然就不需要他们的产品。
即使对系统管理员来说,日志也不“性感”。Gigawombat-3000网络入侵检测系统(NIDS)具有Extra Sensory Perception(超感官洞察力),在攻击发生之前就能预知,看上去比日志要帅气得多。当你最喜欢的邮件列表源源不断地向你发来关于入侵检测/预防/预测/等方面的最新信息时,这一点更加明显。顺便说一句,你买的Gigawombat也需要有人来分析它的日志。
日志分析并不简单,可能相当棘手。和“插入然后祈祷”的方法相反,有效的日志分析有一定的效果。日志以各种形状和大小出现,有时候很难从中提取信息。syslog数据可能相当糟糕,因为大多数数据都是自由格式的文本(正如我们之前讨论的)。正如我们即将在本书中向你展现的,从syslog中获取有用的数据需要花费一些精力,而且需要处理的数据量可能很大。例如,有些网站每周会收集几个GB的日志数据,有的可能一天内就能达到这样的量级。这样的数量似乎令人不知所措,管理员最终往往根据特定的时间内看到的东西,人工拼凑出脚本来寻找一些随机的东西。
有效的日志分析还需要了解环境。你必须知道,什么对你的网络有利,什么对你的网络有害,什么是可疑的,什么是正常的。对你有害或奇怪的东西很有可能对别人是很正常的。例如,一个用户从外国登录可能对你来说很可疑,特别是你所有的用户都是本地的情况下。然而,另一个网站的用户可能遍布各地,所以他们很难确定什么才算是不寻常的。
这就是没有真正即插即用的日志分析工具的部分原因,因为你的环境和策略决定了希望从日志中获取的信息。
最后,关于如何做日志分析并没有很多有用的信息。嘿嘿,也许应该有人写一本这方面的书啊。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
7238 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,大概有三种登录方式:
2503 0
新功能: 阿里云爬虫风险管理利器 - 实时日志分析 (一)
阿里云反爬管理与日志服务打通,对外开放访问与机器人攻击日志。提供近实时的网站具体的日志自动采集存储、并提供基于日志服务的查询分析、报表报警、下游计算对接与投递的能力。
3040 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
8919 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
11017 0
windows管理员利器之用Log Parser Studio分析IIS日志(附逐浪CMS官方命令集)
原文:windows管理员利器之用Log Parser Studio分析IIS日志(附逐浪CMS官方命令集) Log Parser Studio是一个强大的IIS图形分析工具,值得推荐。
1520 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
10522 0
10059
文章
0
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
《Nacos架构&原理》
立即下载
《看见新力量:二》电子书
立即下载
云上自动化运维(CloudOps)白皮书
立即下载