《日志管理与分析权威指南》一2.3 良好日志记录的标准

本节书摘来华章计算机《日志管理与分析权威指南》一书中的第2章 ,第2.3节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

2.3 良好日志记录的标准

正如这本书中各式例子所示,许多情况下日志记录的信息是不完整的,有时甚至是没用的。那么怎样才算是“良好”的日志呢?对入侵检测、资源管理或审计来说,日志消息必须包含哪些必要的信息?由于日志的种类很多,生成日志的设备更是多种多样,因此很难定义单一的标准。
通常来说,日志应该能够告诉你如下信息:

  • 发生了什么(即What,辅以适当细节信息;单纯的“某事发生”通常并不是特别有用)
  • 发生于何时(即When,若有必要,包含开始时间以及结束时间)
  • 发生于何处(即Where,在哪台主机,什么文件系统上,哪个网络接口等等)
  • 谁参与其中(Who)
  • 参与者来源(Where)

以上所列的是绝对必要的信息——“日志记录的5个W”。许多其他领域都遵循这些准则:如新闻报道、犯罪调查等等。为了锦上添花,许多人还愿意加入下面这些信息:

  • 我能从何处得到更多详细信息。
  • 我怎么才能确定以上所表内容确有其事。
  • 会有什么影响。

我们当然也可以梦想,期望着知道:

  • 接下来会发生什么。
  • 我应该再关注哪些其他事件的发生。
  • 我应该怎么做。

当然,在某些情况下,上面这几项取决于特定的环境,即你的站点在某个特定事件发生后应该执行的操作与其他站点可能并不相同。
由于各种组织在一定程度上已经控制了网络设备和服务器的日志记录,应用程序日志记录显然将成为下一条战线。在习惯了整齐的Cisco ASA或其他防火墙日志以及Linux的“password accepted”(密码被接受)消息后,安全事故的调查者不得不投身可怕的应用程序日志世界,试着去对下一波攻击做出回应。这些日志可能会在这里或那里错失细节,并且并不总是有用,但至少它们是熟悉的。
当今许多应用程序日志存在的问题简直令人难以置信:日志常常缺失,关键细节被省略,没有标准格式或内容随意出现在任何位置。在这一基础上,许多安全从业人员不得不处理伪装成安全审计日志的调试日志。
表2.3阐述了这两类应用程序日志的关键区别。
image

与设计精良的安全审计日志相比,调试日志在应用程序框架内部的使用更频繁,由于事故响应和取证所需的关键细节在调试日志中可能没有记录,使用它们进行调查往往是令人沮丧的。第18章将更详细地讨论这一主题。
理想的日志记录场景
那么,如果我们可以让日志记录按照预想的方式工作,我们想看到的是什么信息,这些信息如何呈现?
我们希望看到的东西就只是那个时刻需要知道的,不多也不少。当然,这只是白日做梦,所以我们将满足于获得比这更多的信息——不同严重性的事件,以便日志分析人员根据当前情况做出决策。
从更高的层次来看,我们更愿将信息分为两类:现在就处理(紧急)的信息或后期再处理(不紧急)的信息。前者是高优先级的日志,清晰且可操作。不管某条目添加到日志中的哪个位置,都应该传达给操作人员或分析人员以便立即采取行动。当然,采取什么行动也应该很清晰。
后者包含的记录并不需要立即处理。然而当总结、时间推移或者审计/取证分析的时候,这些事件会提供重要的信息。
总而言之,我们乐于看到:
表2.4不是一个完整的列表,但是它提供了理想情况下应该被记录的事件以及记录的方式。优先级可能不只两个,但是概念上来说是相同的。事实上,真实环境下通常最少有3个优先级。第三个级别是无用的或不重要的“可忽略”日志消息。
image

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/258153.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Python【01】【基础部分】- A

一、WHATS PYTHON ? 1、python 简介 Python(英语发音:/ˈpaɪθən/), 是一种面向对象、解释型计算机程序设计语言,由Guido van Rossum于1989年发明,第一个公开发行版发行于1991年。Python是纯粹的自由软件&#xff0…

java的自增自减_Java中自增和自减操作符(++/--)的那些事

自增()和自减(--)运算符在JAVA语言中存在着很多运算符,但是在实际开发中我们或许很少用到它们,在初次学习中却时常出现它们的身影,对于这些运算符的含义和用法,是否还记得呢?1. 概述自增操作符()和自减操作符(--)是对变…

Finished yeah!

终于到了最后的博客阶段,这时候才知道博客此时此刻是多么的惬意,它成了书写心声的自由平台!耗时一天完成这作业说起来也是蛮辛苦的,编译器需要新装,IDE需要熟悉,当然最主要的是之前浅入浅出的C功底在此次作…

《Python语言程序设计》——1.6 开始学习Python

本节书摘来自华章计算机《Python语言程序设计》一书中的第1章,第1.6节,作者:[美]梁勇(Y. Daniel Liang) 更多章节内容可以访问云栖社区“华章计算机”公众号查看。 1.6 开始学习Python 关键点:…

Tomcat性能调优

1、集成apache 虽然Tomcat也可以作web服务器,但是处理静态html的速度比不上apache,且其作为web服务器的功能远不如Apache,因此把apache和tomcat集成起来,讲html和jsp功能部分进行明确的分工,让tomcat只处理jsp部分&…

【转】sip中的subscribe和notify扩展应用技术

http://blog.csdn.net/hwz119/article/details/3965322转载于:https://www.cnblogs.com/matthew-2013/p/4917207.html

再读《被神化的框架》

开发框架,构件,组件非常地多,而且,趋势是越来越多,特别是在java中。当然也不是说其它平台的少。而特别是框架越来越被神化了,似乎用之解决一切问题,不用就要敲坏键盘。对于老衲这样的打字员来说…

河南推出近万亿PPP投资计划 郑州实现智慧城市全覆盖

1 近万亿PPP项目启动 眼下,国内财经新闻的热点聚焦在PPP开发上,这与PPP支撑国内经济平衡运行的一支强劲力量正被政府看好。就连二级市场也出现了PPP概念的抢筹现象。 9月27日,股市再一次遭遇抛售,大盘创出阶段性新低,然…

java基础实例代码_Java基础实例

打印等腰三角形代码public class ForForTest{public static void main(String []args){for(int x0;x<5;x){for(int yx1;y<5;y){System.out.print(" ");}for(int z0;zSystem.out.print("* ");}System.out.println();}}}折半查找代码&#xff1a;//练习…

###《Effective STL》--Chapter3

点击查看Evernote原文。 #author: gr #date: 2014-09-13 #email: forgeruigmail.com Chapter3 关联容器 Topic 22: 切勿直接修改set或multiset中的键 修改元素的值可以通过下面五步操作&#xff0c;避免作类型转换。 struct IDNumberLess : public binary…

如何获取网络资源?

# encodingutf-8 #python 2.7.10 #xiaodeng #如何获取网络资源&#xff1f; #HTTP权威指南 26页#url就是因特网资源的标准化名称&#xff0c;他指向每一条电子信息&#xff0c;告诉你他们位于何处&#xff0c;以及如何与之交互。 #URL是浏览器寻找信息时所需的资源位置。 #一个…

Loadrunner多服务器连接问题

今天用想增加一个压力机,在服务器管理列表里怎么也连不上,后来解决方法如下:1. 关闭所有loadrunner组件,并手动结束lr_开头的进程2.找到惠普loadrunner安装目录(C:\Program Files\HP\LoadRunner\bin),手动运行magentproc.exe即可最新内容请见作者的GitHub页&#xff1a;http://…

java 常量存储_JAVA 存储空间 寄存器 堆栈 堆 常量存储 非RAM存储

&#xff11;.寄存器这是最快的存储区&#xff0c;因为它位于处理器内部&#xff0c;数量极其有限&#xff0c;所以寄存器根据需求进行分配&#xff0c;你不能直接控制&#xff0c;也不能在程序中感 觉到寄存器存在的任何迹象。2.堆栈位于通用RAM(随机访问存储器)中&#xff0…

物联网安防技术融合在细分领域的应用分析

物联网的核心是业务和应用的创新。物联网技术与智能化技术的深度融合&#xff0c;加快了行业的智能化发展&#xff0c;促使了行业需求在应用层上的落地。安防技术架构是物联网架构的一个子集&#xff0c;传统安防是一个相对保守的行业。现代安防和物联网在业务和技术上的融合发…

一个强大的工具来模拟数百万​​并发用户负载测试:Gryphon

Gryphon是由网易自主研发的能够模拟千万级别并发用户的一个软件&#xff0c;目的是能够用较少的资源来模拟出大量并发用户&#xff0c;并且能够更加真实地进行压力测试&#xff0c; 以解决网络消息推送服务方面的压力测试的问题和传统压力测试的问题。Gryphon分为两个程序&…

java 反射与泛型_Java基础系列 - 泛型和反射机制

package com.test5;import java.lang.reflect.Field;import java.lang.reflect.Method;/*** Java泛型和反射机制(泛型的好处 代码安全简单&#xff0c;自动装箱拆箱&#xff0c;提高代码的重用率)*/public class test5 {public static void main(String[] args) {Employer empl…

Linux环境下的Popush部署——张凯

完成情况&#xff1a; 已按照相关部署文档完成了所有任务&#xff0c;包括软件包的安装与配置&#xff0c;以及对各种开发语言的支持&#xff0c;以及gdb的调试功能的支持 遇到的主要问题&#xff1a; 由于从大二以来我基本上所有的开发工作都是在Linux下做的&#xff0c;因此对…

【c++】标准模板库STL入门简介与常见用法

一、STL简介 1、什么是STL STL&#xff08;Standard Template Library&#xff09;标准模板库&#xff0c;主要由容器、迭代器、算法、函数对象、内存分配器和适配器六大部分组成。STL已是标准C的一部分&#xff0c;使用STL开发系统可以提高开发效率。 2、容器&#xff08;Cont…

强连通分量(学习心得)

定义&#xff1a;有向图强连通分量&#xff1a;在有向图G中&#xff0c;如果两个顶点vi,vj间&#xff08;vi>vj&#xff09;有一条从vi到vj的有向路径&#xff0c;同时还有一条从vj到vi的有向路径&#xff0c;则称两个顶点强连通如果有向图G的每两个顶点都强连通&#xff0c…

java for的增强_Java基础之增强for循环

平时大家for循环应该用的不少&#xff0c;特别是增强for循环&#xff0c;简单快捷。但是在增强for中做删除操作&#xff0c;却会抛出java.util.ConcurrentModificationException&#xff0c;一起来看下。上面的代码&#xff0c;在for循环执行完if中的remove&#xff0c;遍历下一…