網絡日志分析的重要性1.網絡日志的重要性2 了解日志的特征3．綜合故障診斷

網絡安全中最富挑戰性的工作是網絡日志分析。這種工作過程通過對各種日志檔案進行嚴密監控和分析來識别出入侵或入侵的企圖，該過程還包含歸一化的日志安全事件進行關聯分析。這需要進行檢查的網絡日志檔案有許多不同的類型，但是裝置（包括交換機、防火牆、路由器等）。

盡管分析日志檔案是一件單調乏味且容易讓人疲勞的工作，但是在《Unix/Linux網絡日志分析和流量監控》一書中給出的技術和有趣的案例，可以幫助你在短時間内從日志檔案中擷取大量有價值的經驗。

這本日志分析圖書從日志檔案的作用和特征講起逐漸深入到日志檔案分析的基礎，尤其提各類系統服務的日志格式，目的是盡可能地對日志分析過程進行自動化處理。

在繁雜的日常運維工作中，系統管理者容易忽略各類網絡日志檔案，大家經常忙于解決問題，而沒有時間和精力用在日志檔案的收集和檢查上，往往是黑熊掰玉米一手掰一手扔或撿了芝麻，丢了西瓜。在發生故障之前，一直就沒有關注過這些檔案直到日志被删或清空，然後在試圖挽回,便倉促地進行查找，試圖找出發生了什麼事情,此時為時已晚。

通常，這種查找工作包括了對日志檔案的檢查，日志檔案的檢查工作往往是由系統管理者來執行的，但管理者不太熟悉日志檔案格式，或者不熟悉日志檔案分析的步驟。甚至管理者發現，沒有啟用詳細日志，因而不存在事件發生的記錄。日志檔案就可以為你提供很多的有價值的資訊，或許你現在還不清楚這些它們的作用，那麼在網絡日志分析這本書中将詳細進行介紹。

在Unix/Linux/Windows系統中存在許多不同類型的日志檔案，并且産生這些日志檔案的來源有多種。對我們而言，最關心的是網絡日志檔案的分析；為了解在網絡上發生的事件，希望将注意力放在記錄網絡事件（如成功的和失敗的連接配接）或資料庫的通路的日志檔案上。這些資訊可以用來同網絡活動進行關聯。通常這些日志的格式完全不同。書中将介紹一些最常遇到的日志格式。盡管這些日志格式存在差别是重要的，但是了解不同的裝置和應用程式可能記錄很不相同的資訊則更為重要。

初學者剛開始，網絡日志分析會讓人感覺到有些畏懼，這主要是因為，日志的格式繁雜且日志記錄的資訊很多。下面我們簡單分析在網絡日志檔案中需要進行查找的資訊。利用網絡日志檔案的大多數系統對資訊的幾個核心部分進行記錄，這些資訊與系統認為應該引起注意的内容如下；

時間戳，典型情況下包括日期，以及以s或ms為機關的時間。

基本的IP特征，如源位址、目标位址和IP協定（TCP、UDP、ICMP等）。

此外，大多數日志給出了對于事件為什麼被記錄的某種理由。然而不同的日志格式中會有差異：

描述文本資訊。

比對流量的規則号。

執行的動作，如接收、丢棄或者拒絕連接配接。

可以通過這些僅有的少量資料，來分析識别端口掃描、主機掃描或其他失敗的連接配接嘗試的異常行為。

另外還有許多網絡日志記錄的資訊不隻包括關鍵的資料。可能出現的其他類型的資料包括：其他IP特征，特别是IP辨別号和存活時間(TTL)。其他TCP特有的特征，如标志（SYN、ACK等），TCP視窗大小及TCP順序号，有效負載内容。從日志分析的角度來講，這些附加的字段可以提供存活時間和TCP視窗大小可用于執行作業系統指紋鑒别，這樣可以大緻分析出攻擊者可能使用的作業系統。

網絡日志檔案最重要的作用是綜合故障診斷例如，假設某個使用者抱怨某個應用程式不能從外部伺服器下載下傳資料。通過擷取此使用者機器的IP位址，然後找出他是在什麼時候使用這個應用程式的，就可以快速搜尋防火牆的日志，從日志中尋找為建立所需連接配接而被拒絕的嘗試。如果防火牆對所有允許的連接配接也進行了日志記錄，而你能夠從日志中找到到達此遠端站點的有效連接配接，那麼，從這個事件中可看出問題最有可能與遠端伺服器或那個程式有關，具體案例大家還是參考網絡日志分析這本書。要想學習網絡日志分析，沒有捷徑可走，還是要多學多練多看書！下面推薦一本被全國985高校圖書館收藏的日志分析暢銷書。

https://book.51cto.com/art/201411/458126.htm