《日志管理與分析權威指南》一2.3 良好日志記錄的標準

本節書摘來華章計算機《日志管理與分析權威指南》一書中的第2章 ,第2.3節,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 軍 簡于涵 劉 暉 等譯更多章節內容可以訪問云棲社區“華章計算機”公眾號查看。

2.3 良好日志記錄的標準

正如這本書中各式例子所示,許多情況下日志記錄的信息是不完整的,有時甚至是沒用的。那么怎樣才算是“良好”的日志呢?對入侵檢測、資源管理或審計來說,日志消息必須包含哪些必要的信息?由于日志的種類很多,生成日志的設備更是多種多樣,因此很難定義單一的標準。
通常來說,日志應該能夠告訴你如下信息:

  • 發生了什么(即What,輔以適當細節信息;單純的“某事發生”通常并不是特別有用)
  • 發生于何時(即When,若有必要,包含開始時間以及結束時間)
  • 發生于何處(即Where,在哪臺主機,什么文件系統上,哪個網絡接口等等)
  • 誰參與其中(Who)
  • 參與者來源(Where)

以上所列的是絕對必要的信息——“日志記錄的5個W”。許多其他領域都遵循這些準則:如新聞報道、犯罪調查等等。為了錦上添花,許多人還愿意加入下面這些信息:

  • 我能從何處得到更多詳細信息。
  • 我怎么才能確定以上所表內容確有其事。
  • 會有什么影響。

我們當然也可以夢想,期望著知道:

  • 接下來會發生什么。
  • 我應該再關注哪些其他事件的發生。
  • 我應該怎么做。

當然,在某些情況下,上面這幾項取決于特定的環境,即你的站點在某個特定事件發生后應該執行的操作與其他站點可能并不相同。
由于各種組織在一定程度上已經控制了網絡設備和服務器的日志記錄,應用程序日志記錄顯然將成為下一條戰線。在習慣了整齊的Cisco ASA或其他防火墻日志以及Linux的“password accepted”(密碼被接受)消息后,安全事故的調查者不得不投身可怕的應用程序日志世界,試著去對下一波攻擊做出回應。這些日志可能會在這里或那里錯失細節,并且并不總是有用,但至少它們是熟悉的。
當今許多應用程序日志存在的問題簡直令人難以置信:日志常常缺失,關鍵細節被省略,沒有標準格式或內容隨意出現在任何位置。在這一基礎上,許多安全從業人員不得不處理偽裝成安全審計日志的調試日志。
表2.3闡述了這兩類應用程序日志的關鍵區別。
image

與設計精良的安全審計日志相比,調試日志在應用程序框架內部的使用更頻繁,由于事故響應和取證所需的關鍵細節在調試日志中可能沒有記錄,使用它們進行調查往往是令人沮喪的。第18章將更詳細地討論這一主題。
理想的日志記錄場景
那么,如果我們可以讓日志記錄按照預想的方式工作,我們想看到的是什么信息,這些信息如何呈現?
我們希望看到的東西就只是那個時刻需要知道的,不多也不少。當然,這只是白日做夢,所以我們將滿足于獲得比這更多的信息——不同嚴重性的事件,以便日志分析人員根據當前情況做出決策。
從更高的層次來看,我們更愿將信息分為兩類:現在就處理(緊急)的信息或后期再處理(不緊急)的信息。前者是高優先級的日志,清晰且可操作。不管某條目添加到日志中的哪個位置,都應該傳達給操作人員或分析人員以便立即采取行動。當然,采取什么行動也應該很清晰。
后者包含的記錄并不需要立即處理。然而當總結、時間推移或者審計/取證分析的時候,這些事件會提供重要的信息。
總而言之,我們樂于看到:
表2.4不是一個完整的列表,但是它提供了理想情況下應該被記錄的事件以及記錄的方式。優先級可能不只兩個,但是概念上來說是相同的。事實上,真實環境下通常最少有3個優先級。第三個級別是無用的或不重要的“可忽略”日志消息。
image

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/news/258153.shtml
繁體地址,請注明出處:http://hk.pswp.cn/news/258153.shtml
英文地址,請注明出處:http://en.pswp.cn/news/258153.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

Python【01】【基礎部分】- A

一、WHATS PYTHON ? 1、python 簡介 Python(英語發音:/?pa?θ?n/), 是一種面向對象、解釋型計算機程序設計語言,由Guido van Rossum于1989年發明,第一個公開發行版發行于1991年。Python是純粹的自由軟件&#xff0…

java的自增自減_Java中自增和自減操作符(++/--)的那些事

自增()和自減(--)運算符在JAVA語言中存在著很多運算符,但是在實際開發中我們或許很少用到它們,在初次學習中卻時常出現它們的身影,對于這些運算符的含義和用法,是否還記得呢?1. 概述自增操作符()和自減操作符(--)是對變…

Finished yeah!

終于到了最后的博客階段,這時候才知道博客此時此刻是多么的愜意,它成了書寫心聲的自由平臺!耗時一天完成這作業說起來也是蠻辛苦的,編譯器需要新裝,IDE需要熟悉,當然最主要的是之前淺入淺出的C功底在此次作…

《Python語言程序設計》——1.6 開始學習Python

本節書摘來自華章計算機《Python語言程序設計》一書中的第1章,第1.6節,作者:[美]梁勇(Y. Daniel Liang) 更多章節內容可以訪問云棲社區“華章計算機”公眾號查看。 1.6 開始學習Python 關鍵點:…

Tomcat性能調優

1、集成apache 雖然Tomcat也可以作web服務器,但是處理靜態html的速度比不上apache,且其作為web服務器的功能遠不如Apache,因此把apache和tomcat集成起來,講html和jsp功能部分進行明確的分工,讓tomcat只處理jsp部分&…

【轉】sip中的subscribe和notify擴展應用技術

http://blog.csdn.net/hwz119/article/details/3965322轉載于:https://www.cnblogs.com/matthew-2013/p/4917207.html

再讀《被神化的框架》

開發框架,構件,組件非常地多,而且,趨勢是越來越多,特別是在java中。當然也不是說其它平臺的少。而特別是框架越來越被神化了,似乎用之解決一切問題,不用就要敲壞鍵盤。對于老衲這樣的打字員來說…

河南推出近萬億PPP投資計劃 鄭州實現智慧城市全覆蓋

1 近萬億PPP項目啟動 眼下,國內財經新聞的熱點聚焦在PPP開發上,這與PPP支撐國內經濟平衡運行的一支強勁力量正被政府看好。就連二級市場也出現了PPP概念的搶籌現象。 9月27日,股市再一次遭遇拋售,大盤創出階段性新低,然…

java基礎實例代碼_Java基礎實例

打印等腰三角形代碼public class ForForTest{public static void main(String []args){for(int x0;x<5;x){for(int yx1;y<5;y){System.out.print(" ");}for(int z0;zSystem.out.print("* ");}System.out.println();}}}折半查找代碼&#xff1a;//練習…

###《Effective STL》--Chapter3

點擊查看Evernote原文。 #author: gr #date: 2014-09-13 #email: forgeruigmail.com Chapter3 關聯容器 Topic 22: 切勿直接修改set或multiset中的鍵 修改元素的值可以通過下面五步操作&#xff0c;避免作類型轉換。 struct IDNumberLess : public binary…

如何獲取網絡資源?

# encodingutf-8 #python 2.7.10 #xiaodeng #如何獲取網絡資源&#xff1f; #HTTP權威指南 26頁#url就是因特網資源的標準化名稱&#xff0c;他指向每一條電子信息&#xff0c;告訴你他們位于何處&#xff0c;以及如何與之交互。 #URL是瀏覽器尋找信息時所需的資源位置。 #一個…

Loadrunner多服務器連接問題

今天用想增加一個壓力機,在服務器管理列表里怎么也連不上,后來解決方法如下:1. 關閉所有loadrunner組件,并手動結束lr_開頭的進程2.找到惠普loadrunner安裝目錄(C:\Program Files\HP\LoadRunner\bin),手動運行magentproc.exe即可最新內容請見作者的GitHub頁&#xff1a;http://…

java 常量存儲_JAVA?存儲空間 寄存器 堆棧 堆 常量存儲 非RAM存儲

&#xff11;.寄存器這是最快的存儲區&#xff0c;因為它位于處理器內部&#xff0c;數量極其有限&#xff0c;所以寄存器根據需求進行分配&#xff0c;你不能直接控制&#xff0c;也不能在程序中感 覺到寄存器存在的任何跡象。2.堆棧位于通用RAM(隨機訪問存儲器)中&#xff0…

物聯網安防技術融合在細分領域的應用分析

物聯網的核心是業務和應用的創新。物聯網技術與智能化技術的深度融合&#xff0c;加快了行業的智能化發展&#xff0c;促使了行業需求在應用層上的落地。安防技術架構是物聯網架構的一個子集&#xff0c;傳統安防是一個相對保守的行業。現代安防和物聯網在業務和技術上的融合發…

一個強大的工具來模擬數百萬??并發用戶負載測試:Gryphon

Gryphon是由網易自主研發的能夠模擬千萬級別并發用戶的一個軟件&#xff0c;目的是能夠用較少的資源來模擬出大量并發用戶&#xff0c;并且能夠更加真實地進行壓力測試&#xff0c; 以解決網絡消息推送服務方面的壓力測試的問題和傳統壓力測試的問題。Gryphon分為兩個程序&…

java 反射與泛型_Java基礎系列 - 泛型和反射機制

package com.test5;import java.lang.reflect.Field;import java.lang.reflect.Method;/*** Java泛型和反射機制(泛型的好處 代碼安全簡單&#xff0c;自動裝箱拆箱&#xff0c;提高代碼的重用率)*/public class test5 {public static void main(String[] args) {Employer empl…

Linux環境下的Popush部署——張凱

完成情況&#xff1a; 已按照相關部署文檔完成了所有任務&#xff0c;包括軟件包的安裝與配置&#xff0c;以及對各種開發語言的支持&#xff0c;以及gdb的調試功能的支持 遇到的主要問題&#xff1a; 由于從大二以來我基本上所有的開發工作都是在Linux下做的&#xff0c;因此對…

【c++】標準模板庫STL入門簡介與常見用法

一、STL簡介 1、什么是STL STL&#xff08;Standard Template Library&#xff09;標準模板庫&#xff0c;主要由容器、迭代器、算法、函數對象、內存分配器和適配器六大部分組成。STL已是標準C的一部分&#xff0c;使用STL開發系統可以提高開發效率。 2、容器&#xff08;Cont…

強連通分量(學習心得)

定義&#xff1a;有向圖強連通分量&#xff1a;在有向圖G中&#xff0c;如果兩個頂點vi,vj間&#xff08;vi>vj&#xff09;有一條從vi到vj的有向路徑&#xff0c;同時還有一條從vj到vi的有向路徑&#xff0c;則稱兩個頂點強連通如果有向圖G的每兩個頂點都強連通&#xff0c…

java for的增強_Java基礎之增強for循環

平時大家for循環應該用的不少&#xff0c;特別是增強for循環&#xff0c;簡單快捷。但是在增強for中做刪除操作&#xff0c;卻會拋出java.util.ConcurrentModificationException&#xff0c;一起來看下。上面的代碼&#xff0c;在for循環執行完if中的remove&#xff0c;遍歷下一…