本节书摘来华章计算机《日志管理与分析权威指南》一书中的第1章 ,第1.6节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1.6 人、过程和技术
有效的日志分析策略不单单是一系列的工具,而是人、过程和技术的完美组合。
技术是你使用的各种工具的组合。但是只有最新的工具是不够的,你必须知道用它们来做什么。
过程决定了你如何使用这些工具。如何管理日志数据,确保它含有你所需要的信息,并从中获取你所需要的信息?过程对于这些问题来说是必需的。
在法庭上用日志作为证据时,一个记录在案的日志处理过程是必不可少的。能够展示你平时怎样收集和保存日志数据,会极大地影响到你的日志数据是否可以成为证据。报告可以对此提供帮助,我们会在第12章涉及这个方面。
过程的推动和执行需要人。确定特定的日志消息在特定情况下的含义也需要人的智慧。
上面的入侵案例就是一个需要人类参与的例子。计算机并不知道那些日志记录就意味着入侵。需要一个人去查看日志,然后提出“等一下,好像有点问题,为什么一个账户的uid是0?”这种情况的另一个例子是突然无法连接上一个主机的时候。因为你在早上的会议中宣布网络维护将在下午三点进行,可以利用这个信息,判断连接中断是否与此有关。
