2024年4月29日发(作者:)

【干货】日志管理与分析(一)——日志收集及来源

导语

对广大IT工作者,尤其是运维和安全人员来说,“日志”是一个再熟悉不过的名词。

日志从哪来?机房中的各种软件(系统、防火墙)和硬件(交换机、路由器等),都在不断

地生成日志。IT安全业界的无数实践告诉我们,健全的日志记录和分析系统,是系统正常

运营、优化以及安全事故响应的基础,虽然安全系统厂商为我们提供了五花八门的解决方

案,但基石仍是具有充足性、可用性、安全性的日志记录系统。实际工作中,许多单位内

部对日志并没有充分的认识,安全建设更多在于投入设备,比如防火墙、IDS、IPS、防病

毒软件等,被动地希望这些系统帮助我们完成一切工作,但是俗话说的好:“魔高一尺道

高一丈”,以特征码和预定义规则为基础的上述设备,在防护方面永远落在攻击者后面,

防微杜渐才是真正的出路。作为一名合格的安全人员,了解日志的概念,了解日志的配置

和分析方法,是发现威胁、抵御攻击的重要技能,有了这方面的深刻认识,各种自动化安

全解决方案才能真正地发挥效能。

一、日志数据

简单地说,日志消息就是计算机系统、设备、软件等在某种触发下反应生成的东西。

确切的触发在很大程度上取决于日志消息的来源。例如,UNix操作系统会记录用户登录和

注销的消息,防火墙将记录ACL通过和拒绝的消息,磁盘存储系统在故障发生或者在某些

系统认为将会发生故障的情况下会生成日志消息。

日志数据就是一条日志消息里用来告诉你为什么生成消息的信息,例如,web服务器

一般会在有人访问web页面请求资源(图片、文件等等)的时候记录日志。如果用户访问

的页面需要通过认证,日志消息将会包含用户名。 日志消息可以分成下面的几种通用类型:

• 信息:这种类型的消息被设计成告诉用户和管理员一些没有风险的事情发生了。例

如,Cisco IOS将在系统重启的时候生成消息。不过,需要注意的是,如果重启发生在非正

常维护时间或是业务时间,就有发出报警的理由。

• 调试:软件系统在应用程序代码运行时发生调试信息,是为了给软件开发人员提供

故障检测和定位问题的帮助。

• 警告:警告消息是在系统需要或者丢失东西,而又不影响操作系统的情况下发生的。

• 错误:错误日志消息是用来传达在计算机系统中出现的各种级别的错误。例如,操

作系统在无法同步缓冲区到磁盘的时候会生成错误信息。

• 警报:警报表明发生了一些有趣的事,一般情况下,警报是属于安全设备和安全相

关系统的,但并不是硬性规定。在计算机网络中可能会运行一个入侵防御系统IPS,检查所

有入站的流量。它将根据数据包的内容判断是否允许其进行网络连接。如果IPS检测到一

个恶意连接,可能会采取任何预先配置的处置。IPS会记录下检测结果以及所采取的行动。

二、日志数据的传输与收集

计算机或者其他设备都实现了日志记录子系统,能够在确定有必要的时候生成日志消

息,具体的确定方式取决于设备。另外,必须有一个用来接收和收集日志消息的地方,这

个地方一般被称为日志主机。日志主机是一个计算机系统,一般来说可能是linux和

windows服务器系统,它是集中收集日志消息的地方。