合適的日志管理工具能大幅減輕管理企業系統日志數據的負擔。但是,除非組織為這個工具投入一定的時間和精力,否則再好的工具也會很快變成一個差勁的工具。以下為大家提供了6個確保成功的日志管理最佳實踐。
門外漢用上了工具依然是門外漢
如果你不準備投入時間和精力在恰當地安裝、管理日志管理工具上,那么就不要把錢浪費在日志管理系統上面。日志管理系統必須進行合理的配置,以正確解析您網絡中的事件和日志,這樣出來的報表才具有商業和技術價值。另一個“愚蠢”的錯誤是不去瀏覽和審查警告控制臺,因而錯過了關鍵的安全事件。因此,不要犯只重視日志管理技術而不重視系統使用的錯誤。
通過預定義需求來精簡RFP(請求提案)
創建RFP(請求提案,需求方案說明書)是一個費時的過程。而一些需求一旦被定義出來,就能在隨后的RFP中復用。這在制定日志管理的需求時很常見,因為日志管理的基本需求(例如日志文件的格式,寫入日志文件的數據,等等)都是一樣的,可以預先定義出來。使用預定義需求的另一個好處是這確保了在精簡RFP周期的同時保持需求的一致性。
確定你有所需的信息
為了能夠寫出有效的關聯規則,日志管理系統必須有足夠的上下文數據進行分析。例如,為了確定某個特定的流量或者行為來自哪里,就需要知道源IP地址信息,這意味著日志管理系統必須先記錄下IP地址信息,這樣引擎才能夠將其解析出來。又例如,如果要寫一條日志分析規則對目標設備或者應用發生了某種行為進行告警,相關的日志數據必須先記錄下那些行為才行。
不要局限于靜態分析
大部分組織需要做的最后一件事是將那些沒有整體分析模型的數據填寫到另一張大表中,然后利用這張大表來進行事件分析。根據預期或者可接受行為的基線設定的告警不僅要通過分析大表中單條記錄的特征來產生,還要通過分析一組記錄集的特征來產生。不妨設想一下關鍵數據庫的登錄記錄。
一般會將兩次登錄失敗的行為設定為觸發告警的基線,但是如果那個數據庫系統的密碼策略從使用簡單的字典單詞變為使用8位以上非字典單詞字符串,那么登錄失敗次數的基線可能要增大,因為用戶要適應新的策略。具有智能感知能力的日志管理系統應該可以進行調節,以監測發展趨勢,并為管理員提供反饋。管理員可以決定使用該趨勢信息臨時地改變告警閥值。
使用日志數據描述正在或者已經發生的事情
“日志是檢查故障的極佳信息源”。因為大部分情況下用戶判斷導致故障原因的所有所需信息都能夠從日志文件中找到。在危機期間,管理人員經常不得不進入被動模式,往往只能通過直覺、猜測、將不可再分的無關信息拼湊到一起等方式來判斷正在或者已經發生的事情。而日志是真實發生事件的記錄,日志管理系統允許管理人員針對故障信息實時地撰寫和產生報表,從而真實地告訴響應小組網絡中發生了什么。
使用范疇可以超越安全本身
日志管理系統是一個絕佳的安全設備信息收集和分析工具,不僅可以用這些信息實現安全感知,而且可以利用這些信息實現其他目標。例如,可以將這些信息用于分析(你的)十大業務關系的客戶體驗。
許多WEB應用分析系統無法提供展示真實客戶體驗的細粒度視圖。而設計良好的應用系統日志可以記錄這些客戶體驗,日志管理系統可以通過這些日志來分析客戶體驗,從而將日志管理系統的運用領域擴展到安全分析之外。
京公網安備 11010502049343號