《日志管理與分析權威指南》一1.1 概述

本節書摘來華章計算機《日志管理與分析權威指南》一書中的第1章 ，第1.1節，（美）　anton a. chuvakin kevin j. schmidt christopher phillips　著 姚　軍　簡于涵　劉　晖　等譯更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。

本書是關于如何處理系統日志的。更确切地說，是關于如何從你的日志中擷取到各種有用的資訊。經常被低估的日志其實是計算機系統資源管理（列印機、磁盤系統、電源備份系統、作業系統等）、使用者和應用程式管理（登入登出、應用程式通路等）和安全的一種非常有用的資訊來源。需要說明的是，資訊經常可以不同的方式來進行分類。使用者的登入和登出資訊與使用者管理和安全都有關系。下面用一些例子來展示日志資訊是多麼有用。

各種磁盤存儲産品在硬體出錯時都會記錄日志，經常關注這些資訊可以把小問題在變成真正的噩夢之前解決掉。

作為第二個例子，讓我們來簡單思考一下，使用者管理和安全日志如何結合起來為使用者活動提供線索。當一個使用者登入到windows環境中時，這個行為已經作為登入曆史被記錄到某處。我們稱之為使用者管理日志資料。無論何時使用者通路網絡的任何部分，防火牆很有可能已經起作用了。防火牆，同時也記錄着來源（例如個人工作站）是否有權限向一個特定的網絡元件發送網絡包，我們稱之為安全日志資料。現在，讓我們假設你的公司正在開發一個新産品，你想要知道誰嘗試過通路你的開發伺服器。當然，你可以采用防火牆通路控制清單（acl）來管理，不過你想更進一步，使用者的登入資料可以和防火牆記錄對應起來，顯示出嘗試通路伺服器的使用者。如果這并不是在正常業務時間發生的，你就有理由來和這些員工談談以便更好地了解他們的意圖。更深入一點，這個例子傳達出一個重點，如果你可以通路正确的資訊，你就有能力做一些精确的事情。

但是，擷取這些資訊需要花費一些時間和精力。第一眼（可能第二眼也是如此）看起來會是一項非常艱巨的任務，龐大的日志資料單獨看起來也會令人望而生畏。不過我們能幫助你來“抵抗”它。我們會展示給你一個處理日志的完整政策，也會展示一些不同的日志類型和格式。使用不同類型和格式日志有着雙重的意義。首先，它會讓你習慣于檢視日志消息和資料，讓你更加熟悉它們。其次，它會幫助你建立一種心态：了解基本的日志格式會使你更加容易地識别和處理在你的環境裡新的或者以前沒見過的日志資料。不同的供應商會生成不同格式的日志消息，這是一個殘酷的事實，但是最終，真正的關鍵是你如何處理和管理日志資料，越快了解并将它內建到你的綜合日志系統，你就能越早地從中獲利。

本章的餘下部分是本書其他部分使用到的概念的基礎。我們将要探究圍繞着日志資料、人、過程和科技的思想，穿插進一些真實的例子使你發現日志資料的真正價值。