日誌分析兩部曲：充分利用日誌保護網路

本文是分為兩部分的安全日誌分析的第二部分。第一部分討論了日誌監測分析的重要性。第二部分幫助你如何利用日誌有效地保護你的網路和增強網路的安全。

　　日誌資料在管理計算機或者網路方面是一種有價值的和實用的工具。事先監測日誌資料以尋找可疑的活動跡象的能力或者在發生安全事件時分析日誌資料是非常有價值的。

　　第一步是確保你的系統和裝置進行了正確的配置，以便檢查和記錄事件。假設日誌資料已經被捕捉和儲存，你需要一個有效的工作流程來檢查和分析這些資料。下面的一些建議可以向你提供一些指南並且確保你最有效和最充分地使用你的日誌資料。

　　1.有規律地檢查日誌資料

　　雖然日誌資料在安全事件發生時用作法院的證據是非常有效的，但是，如果有規律地分析這些日誌資料，這種安全事件也許根本就不會發生。

　　應該建立一個工作流程，確定多長時間檢查和分析一次收集到的日誌資料。定期分析由整個網路中的各種應用程式和裝置收集到的海量日誌資料有助於找出和診斷故障，還可能發現正在進行中的攻擊。

　　2.以開放的眼光檢視日誌資訊

　　在分析日誌資料時常見的錯誤是要具體找出已知的事件或者日誌項。然而，日誌資料中多數有價值的內容似乎存在於表面上很好或者正常的日誌專案中。透過以開放的眼光檢查這些日誌專案，你也許會找到可疑的活動跡象。如果你僅僅檢視錯誤資訊，這種跡象很可能會漏掉。

　　如果把日誌審查的重點放在查詢已知的惡意活動方面，任何新出現的威脅或者對客戶的攻擊都會由於失察而漏掉。

　　3.透過一個透鏡檢視資料

　　整個網路中的裝置和應用程式將收集日誌資料。遺憾的是沒有一種通用的格式或者方法來記錄和顯示事件的資訊。

　　為了進行準確的比對，某種形式的轉化便產生了，也就是對日誌資料實施“正常化”。一旦資料壓縮為通用的元件，就很容易把這個網路作為一個整體進行分析，而不是作為一個單獨的日誌專案進行分析。這樣就可以更好地根據輕重緩急對發現的問題進行處理或者做出反應。

　　日誌資料的處理是很困難的。日誌資訊中包含珍貴的鑽石資訊。但是，你需要挖掘很多泥土才能找到這些鑽石。海量的日誌資料使有效地利用這些資料成為表明上不可克服的挑戰。然而，有SEM(安全事件管理器)等工具軟體能夠幫助你查詢資料。但是，沒有確定如何使用日誌資料的流程，沒有能夠有效地分析日誌資料並且對日誌資料中發現的資訊做出反應的經過培訓的人員，這種工具將毫無用處。

[@more@]