2024年4月29日发(作者:)

日志管理与分析-日志收集及来源

【前言】

对广大IT工作者,尤其是运维和安全人员来说,“日志”是一个再熟悉不过的名

词。日志从哪来?机房中的各种软件(系统、防火墙)和硬件(交换机、路由器等),

都在不断地生成日志。IT安全业界的无数实践告诉我们,健全的日志记录和分析系

统,是系统正常运营、优化以及安全事故响应的基础,虽然安全系统厂商为我们提

供了五花八门的解决方案,但基石仍是具有充足性、可用性、安全性的日志记录系

统。实际工作中,许多单位内部对日志并没有充分的认识,安全建设更多在于投入

设备,比如防火墙、IDS、IPS、防病毒软件等,被动地希望这些系统帮助我们完成一

切工作,但是俗话说的好:“魔高一尺道高一丈”,以特征码和预定义规则为基础的上

述设备,在防护方面永远落在攻击者后面,防微杜渐才是真正的出路。作为一名合

格的安全人员,了解日志的概念,了解日志的配置和分析方法,是发现威胁、抵御

攻击的重要技能,有了这方面的深刻认识,各种自动化安全解决方案才能真正地发

挥效能。

1、日志数据

简单地说,日志消息就是计算机系统、设备、软件等在某种触发下

反应生成的东西。确切的触发在很大程度上取决于日志消息的来源。例

如,UNix操作系统会记录用户登录和注销的消息,防火墙将记录ACL

通过和拒绝的消息,磁盘存储系统在故障发生或者在某些系统认为将会

发生故障的情况下会生成日志消息。

日志数据就是一条日志消息里用来告诉你为什么生成消息的信

息,例如,web服务器一般会在有人访问web页面请求资源(图片、

文件等等)的时候记录日志。如果用户访问的页面需要通过认证,日

志消息将会包含用户名。 日志消息可以分成下面的几种通用类型:

信息:这种类型的消息被设计成告诉用户和管理员一些没有风险的

事情发生了。例如,Cisco IOS将在系统重启的时候生成消息。不过,需

要注意的是,如果重启发生在非正常维护时间或是业务时间,就有发出报

警的理由。

调试:软件系统在应用程序代码运行时发生调试信息,是为了给软

件开发人员提供故障检测和定位问题的帮助。

警告:警告消息是在系统需要或者丢失东西,而又不影响操作系统

的情况下发生的。

错误:错误日志消息是用来传达在计算机系统中出现的各种级别的

错误。例如,操作系统在无法同步缓冲区到磁盘的时候会生成错误信息。

警报:警报表明发生了一些有趣的事,一般情况下,警报是属于安

全设备和安全相关系统的,但并不是硬性规定。在计算机网络中可能会运

行一个入侵防御系统IPS,检查所有入站的流量。它将根据数据包的内容

判断是否允许其进行网络连接。如果IPS检测到一个恶意连接,可能会采

取任何预先配置的处置。IPS会记录下检测结果以及所采取的行动。

2、日志数据的传输与收集

计算机或者其他设备都实现了日志记录子系统,能够在确定有必

要的时候生成日志消息,具体的确定方式取决于设备。另外,必须有

一个用来接收和收集日志消息的地方,这个地方一般被称为日志主

机。日志主机是一个计算机系统,一般来说可能是linux和windows服