《日志管理与分析权威指南》一2.3 良好日志记录的标准

本节书摘来华章计算机《日志管理与分析权威指南》一书中的第2章 ,第2.3节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

2.3 良好日志记录的标准

正如这本书中各式例子所示,许多情况下日志记录的信息是不完整的,有时甚至是没用的。那么怎样才算是“良好”的日志呢?对入侵检测、资源管理或审计来说,日志消息必须包含哪些必要的信息?由于日志的种类很多,生成日志的设备更是多种多样,因此很难定义单一的标准。
通常来说,日志应该能够告诉你如下信息:

  • 发生了什么(即What,辅以适当细节信息;单纯的“某事发生”通常并不是特别有用)
  • 发生于何时(即When,若有必要,包含开始时间以及结束时间)
  • 发生于何处(即Where,在哪台主机,什么文件系统上,哪个网络接口等等)
  • 谁参与其中(Who)
  • 参与者来源(Where)

以上所列的是绝对必要的信息——“日志记录的5个W”。许多其他领域都遵循这些准则:如新闻报道、犯罪调查等等。为了锦上添花,许多人还愿意加入下面这些信息:

  • 我能从何处得到更多详细信息。
  • 我怎么才能确定以上所表内容确有其事。
  • 会有什么影响。

我们当然也可以梦想,期望着知道:

  • 接下来会发生什么。
  • 我应该再关注哪些其他事件的发生。
  • 我应该怎么做。

当然,在某些情况下,上面这几项取决于特定的环境,即你的站点在某个特定事件发生后应该执行的操作与其他站点可能并不相同。
由于各种组织在一定程度上已经控制了网络设备和服务器的日志记录,应用程序日志记录显然将成为下一条战线。在习惯了整齐的Cisco ASA或其他防火墙日志以及Linux的“password accepted”(密码被接受)消息后,安全事故的调查者不得不投身可怕的应用程序日志世界,试着去对下一波攻击做出回应。这些日志可能会在这里或那里错失细节,并且并不总是有用,但至少它们是熟悉的。
当今许多应用程序日志存在的问题简直令人难以置信:日志常常缺失,关键细节被省略,没有标准格式或内容随意出现在任何位置。在这一基础上,许多安全从业人员不得不处理伪装成安全审计日志的调试日志。
表2.3阐述了这两类应用程序日志的关键区别。
image

与设计精良的安全审计日志相比,调试日志在应用程序框架内部的使用更频繁,由于事故响应和取证所需的关键细节在调试日志中可能没有记录,使用它们进行调查往往是令人沮丧的。第18章将更详细地讨论这一主题。
理想的日志记录场景
那么,如果我们可以让日志记录按照预想的方式工作,我们想看到的是什么信息,这些信息如何呈现?
我们希望看到的东西就只是那个时刻需要知道的,不多也不少。当然,这只是白日做梦,所以我们将满足于获得比这更多的信息——不同严重性的事件,以便日志分析人员根据当前情况做出决策。
从更高的层次来看,我们更愿将信息分为两类:现在就处理(紧急)的信息或后期再处理(不紧急)的信息。前者是高优先级的日志,清晰且可操作。不管某条目添加到日志中的哪个位置,都应该传达给操作人员或分析人员以便立即采取行动。当然,采取什么行动也应该很清晰。
后者包含的记录并不需要立即处理。然而当总结、时间推移或者审计/取证分析的时候,这些事件会提供重要的信息。
总而言之,我们乐于看到:
表2.4不是一个完整的列表,但是它提供了理想情况下应该被记录的事件以及记录的方式。优先级可能不只两个,但是概念上来说是相同的。事实上,真实环境下通常最少有3个优先级。第三个级别是无用的或不重要的“可忽略”日志消息。
image

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/258153.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Python【01】【基础部分】- A

一、WHATS PYTHON ? 1、python 简介 Python(英语发音:/ˈpaɪθən/), 是一种面向对象、解释型计算机程序设计语言,由Guido van Rossum于1989年发明,第一个公开发行版发行于1991年。Python是纯粹的自由软件&#xff0…

Finished yeah!

终于到了最后的博客阶段,这时候才知道博客此时此刻是多么的惬意,它成了书写心声的自由平台!耗时一天完成这作业说起来也是蛮辛苦的,编译器需要新装,IDE需要熟悉,当然最主要的是之前浅入浅出的C功底在此次作…

Tomcat性能调优

1、集成apache 虽然Tomcat也可以作web服务器,但是处理静态html的速度比不上apache,且其作为web服务器的功能远不如Apache,因此把apache和tomcat集成起来,讲html和jsp功能部分进行明确的分工,让tomcat只处理jsp部分&…

河南推出近万亿PPP投资计划 郑州实现智慧城市全覆盖

1 近万亿PPP项目启动 眼下,国内财经新闻的热点聚焦在PPP开发上,这与PPP支撑国内经济平衡运行的一支强劲力量正被政府看好。就连二级市场也出现了PPP概念的抢筹现象。 9月27日,股市再一次遭遇抛售,大盘创出阶段性新低,然…

Loadrunner多服务器连接问题

今天用想增加一个压力机,在服务器管理列表里怎么也连不上,后来解决方法如下:1. 关闭所有loadrunner组件,并手动结束lr_开头的进程2.找到惠普loadrunner安装目录(C:\Program Files\HP\LoadRunner\bin),手动运行magentproc.exe即可最新内容请见作者的GitHub页:http://…

物联网安防技术融合在细分领域的应用分析

物联网的核心是业务和应用的创新。物联网技术与智能化技术的深度融合,加快了行业的智能化发展,促使了行业需求在应用层上的落地。安防技术架构是物联网架构的一个子集,传统安防是一个相对保守的行业。现代安防和物联网在业务和技术上的融合发…

强连通分量(学习心得)

定义:有向图强连通分量:在有向图G中,如果两个顶点vi,vj间(vi>vj)有一条从vi到vj的有向路径,同时还有一条从vj到vi的有向路径,则称两个顶点强连通如果有向图G的每两个顶点都强连通&#xff0c…

java for的增强_Java基础之增强for循环

平时大家for循环应该用的不少,特别是增强for循环,简单快捷。但是在增强for中做删除操作,却会抛出java.util.ConcurrentModificationException,一起来看下。上面的代码,在for循环执行完if中的remove,遍历下一…

lintcode:递归打印数字

题目 用递归打印数字 用递归的方法找到从1到最大的N位整数。 样例 给出 N 1, 返回[1,2,3,4,5,6,7,8,9]. 给出 N 2, 返回[1,2,3,4,5,6,7,8,9,10,11,...,99]. 注意 用下面这种方式去递归其实很容易: recursion(i) {if i > largest number:returnresults.add(i)r…

做免费的EDM,EmailCar看中的是挖掘数据的价值

从2008年开始,做了9年企业级EDM(电子邮件营销)服务的陆霏近日宣布,他们的产品EmailCar从4.0版本开始永久免费为企业提供电子邮件基础投递业务。 我们电子邮箱经常收到的推广邮件就属于EDM,即Email Direct Marketing。这…

java 读取split_Java报错系列——split

在String中,split方法如下:可见,split的核心在于Pattern.compile(regex).split(this, limit);Java提供Pattern,Matcher用于支持正则,可以看一个例子:运行结果是:0,1||3,4|ab|7,8|cef|8,9||11,12|kk|13,14|a|需要注意的…

VS2012生成事件

Visual Studio 事件生成功能对我们开发综合项目的过程中尤为重要。 下面以VS2012为例: 选择工程-> 属性->编译->生成事件 包括两个生成事件:预先生成事件和后期生成事件 直接在相应的文本框里编写写脚本即可,如:编译完成…

H3C Navigate 2017 | 拉近世界的距离 新华三的泛联接版图

就今天而言,联接世界的网络外延已经无限扩大,联接的方式也越来越复杂。从互联网时代的PC互联,演进到移动互联网时代手机等移动终端的互联,而即将大规模爆发的物联网应用时代,所有的事物都可能被连入网络,一…

大数据时代的公共安全治理

未来,大数据将成为社会基础设施的一部分,跟公路、自来水、电一样,成为人们生活不可或缺的一部分。但大数据的作用并不仅仅局限于为普通消费者提供生活必须服务,它已经开始在信息产业、公共安全、交通运输、金融、水利等领域中发挥…

CCNA第二讲笔记

网络定义:一组由介质(线缆)互联的网络设备(路由器、交换机)和终端系统(PC); 工作组:局域网范畴,范围最小的局域网,且不涉及网络设备。台式机需要有…

服务器资源管理器视图的添加显示的步骤

MVC视图查看数据库表结构时,通常会打开服务器资源管理器视图,在服务器资源管理器视图中能查看表的数据集及表结构 打开的方法为: ①可使用快捷键: ctrlaltS ②也可添加“服务器资源管理器视图”到“视图”工具菜单,做法…

能源局将提高光伏“领跑者”项目技术指标

记者从权威渠道获悉,国家能源局正计划对光伏“领跑者”中有关单多晶的转换效率标准等细节进行修改。“领跑者”计划中,光电转换效率的修订工作将在今年3月底展开,主要向各大相关机构、企业征求意见,如果争议较多,定稿时…

SlidingMenu的使用,结合Fragment(eclipse环境)

首先下载SlidingMenu,有Library和Sample,然后在自己的项目中引入类库(引入智慧北京工作空间的Library),然后V4包会发生冲突,删掉自己项目Libs目录下的V4包即可 侧滑布局和主界面布局都先用一个空布局填充一…

java如何做全局缓存_传智播客JNI第七讲 – JNI中的全局引用/局部引用/弱全局引用、缓存jfieldID和jmethodID的两种方式...

讲解JNI中的全局引用/局部引用/弱全局引用、缓存jfieldID和jmethodID的两种方式,并编写两种缓存方式的示例代码。1.从Java虚拟机创建的对象传到本地C/C代码时会产生引用,根据Java的垃圾回收机制,只要有引用存在就不会出发该引用指向的Java对象…

C#设计模式学习笔记-单例模式

C#设计模式学习笔记-单例模式 最近在学设计模式,学到创建型模式的时候,碰到单例模式(或叫单件模式),现在整理一下笔记。 在《Design Patterns:Elements of Resuable Object-Oriented Software》中的定义是&…