《日志管理与分析权威指南》一2.2.3 日志内容-阿里云开发者社区

开发者社区> 华章计算机> 正文

《日志管理与分析权威指南》一2.2.3 日志内容

简介:
+关注继续查看

本节书摘来华章计算机《日志管理与分析权威指南》一书中的第2章 ,第2.2.3节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

2.2.3 日志内容

至此,我们已经讨论了日志的格式和语法,但日志内容才是真正重要的。日志内容通常被定义为区分日志真正含义的分类学,因此日志事件分类学是分类所记录事件的无歧义方法。如若多个系统记录相同事件,那么可以预期对该事件的分类描述是相同的。计算机应该可以立即判定两个日志是否指向相同类型事件。为确保实现这一目标,需要一组精确定义、能够以可预见的方式组合的词语——日志分类学。想必,这些词应该可以描述活动的类型,参与的角色,结果以及其他相关的事件数据。
事件分类学现在还没有精确定义的公开标准,但是其中一些已经处于开发阶段中。但是,当今大部分安全信息、事件管理以及日志管理供应商已经在他们的产品内开发并广泛使用了自身的日志分类学方法论。不幸的是,每家供应商采用的基本分类学原则略有不同。
日志内容是一个困难的主题,有许多东西需要关注,有时不一致、不完整或充满误导。我们会从下一章开始,并在第8、9以及11章详细关注日志内容。在这里,我们给出各种信息类型的概述,指出在日志中能够期望找到什么、应该寻找什么以及在梦中才能得到的日志信息。
日志中可能包含与用户活动有关的信息:谁登录了?他们正在做什么?他们发送和接收的邮件等等。日志也能告诉某些系统出现故障或者将要出现故障,例如磁盘错误。日志还能告诉你哪些工作正在正常进行,并给出资源利用和性能的相关信息。日志还可能包括状态改变、启动和停止等等信息。日志有时能告诉你入侵尝试的相关信息,偶尔还可能会标识一次成功的入侵。
以下类型涵盖了整个安全、运营以及调试范畴的日志消息,它们是:
1)变更管理:记录系统变更、组件变更、更新、账户变更以及受到变更管理过程控制的任何其他信息;这些日志一般可分为添加、删除、更新以及修改记录。它们可能跨越安全日志和运营日志之间的分界线。
2)身份认证和授权:记录身份认证和授权决策(例如某个设备上成功或失败的登录),尤其是特权用户登录,这是最常见的安全消息,每个应用程序和网络设备都应该生成这类消息。这些安全消息在运营日志中也常常使用(例如追踪谁使用了某个特定系统)。
3)数据和系统的访问:和前几类相关,对应用程序组件和数据(例如文件或数据库表)访问的记录在安全以及性能/运营方面也有用途。在某些情况下,这些消息并不总是启用状态,只在敏感环境中生成。
4)威胁管理:从传统的入侵警报到违反安全策略的其他活动,这类消息由具有安全专用功能的网络设备(例如防火墙)产生。
5)性能+容量管理:与系统性能和容量管理相关的一大类消息,包括各种阈值,内存和计算能力以及其他资源的利用率。这都是很常见的运营消息,不过有时在安全方面也有用途。
6)业务持续性+可用性管理:大部分系统在关机或开机时会记录相关日志,其他持续性和可用性日志消息与备份、冗余或者业务连续性功能利用相关。这些是很常见的运营消息,在安全方面鲜有用途。
7)杂项错误和失败:设计者认为应该吸引用户注意力的其他系统错误被划分到此类;它们不是关键运营消息,不一定需要设备管理员采取某些行动。
8)杂项调试消息:调试日志一般由个别开发人员酌情产生,很难硬性分类。大部分调试日志在运营生产环境下不启用。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
C#轻量级高性能日志组件EasyLogger(六)
一、课程介绍 本次分享课程属于《C#高级编程实战技能开发宝典课程系列》中的第六部分,阿笨后续会计划将实际项目中的一些比较实用的关于C#高级编程的技巧分享出来给大家进行学习,不断的收集、整理和完善此系列课程! 一、本高级系列课程适合人群如下 1、有一定的NET开发基础。
2558 0
阿里云 PB 级 Kubernetes 日志平台建设实践
阿里云日志服务技术专家元乙即将在 QCon 北京 2019 分享Kubernetes 日志平台建设最佳实践。 本来来自InfoQ对元乙的采访。
3300 0
Kafka修炼日志(二):Connect简明使用教程
Connect是Kafka 0.9版本新增的功能,可以方便的从其它源导入数据到Kafka数据流(指定Topic中),也可以方便的从Kafka数据流(指定Topic中)导出数据到其它源。
39 0
阿里云日志服务控制台内嵌分享功能使用
针对用户在使用官方文档控制台分享内嵌易出现问题的情况,这里使用RAM用户介绍相关参数的获取及配置,方便初次使用者快速使用该功能。
773 0
新功能:日志服务命令行工具ETL发布!
日志服务命令行工具ETL发布,解决数据采集、分析查询、投递归档、外部整合过程中的数据规整痛点,提供实时、可靠、可扩展、可管理的运行模式支持,以及全面简单的ETL规则,并支持丰富的扩展支持。
3075 0
10059
文章
0
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
《Nacos架构&原理》
立即下载
《看见新力量:二》电子书
立即下载
云上自动化运维(CloudOps)白皮书
立即下载