《日志管理與分析權威指南》一1.4 被低估的日志

本節書摘來華章計算機《日志管理與分析權威指南》一書中的第1章 ，第1.4節，（美）　anton a. chuvakin kevin j. schmidt christopher phillips　著 姚　軍　簡于涵　劉　晖　等譯更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。

在很多企業環境中，日志沒有得到重視。日志往往在日常工作中被完全忽視，僅僅在磁盤空間不足的時候才會引起人們的注意。而在這個時候它們往往未經檢視就被删除了。某些情況下，日志中的一些消息可能指出磁盤滿的原因。我們肯定都有過檢視已被入侵的機器的經曆，在詢問日志儲存的位置之後，我們會聽到：“噢，它們隻會占據空間，是以我們把它們删掉了。”在大多數這種情況下，我們沒有什麼可做的。

為什麼日志不受重視呢？這是有很多原因的。供應商并不希望你使用它。入侵檢測系統的供應商會告訴你需要最新的科技（他們是最好的），否則你就會完蛋。it管理工具供應商會告訴你需要他們的高價産品，隻要在每台主機上安裝少數代理，就可以獲得和日志相同的資訊報告。而如果你可以從日志中獲得資訊，當然就不需要他們的産品。

即使對系統管理者來說，日志也不“性感”。gigawombat-3000網絡入侵檢測系統（nids）具有extra sensory perception（超感官洞察力），在攻擊發生之前就能預知，看上去比日志要帥氣得多。當你最喜歡的郵件清單源源不斷地向你發來關于入侵檢測/預防/預測/等方面的最新資訊時，這一點更加明顯。順便說一句，你買的gigawombat也需要有人來分析它的日志。

日志分析并不簡單，可能相當棘手。和“插入然後祈禱”的方法相反，有效的日志分析有一定的效果。日志以各種形狀和大小出現，有時候很難從中提取資訊。syslog資料可能相當糟糕，因為大多數資料都是自由格式的文本（正如我們之前讨論的）。正如我們即将在本書中向你展現的，從syslog中擷取有用的資料需要花費一些精力，而且需要處理的資料量可能很大。例如，有些網站每周會收集幾個gb的日志資料，有的可能一天内就能達到這樣的量級。這樣的數量似乎令人不知所措，管理者最終往往根據特定的時間内看到的東西，人工拼湊出腳本來尋找一些随機的東西。

有效的日志分析還需要了解環境。你必須知道，什麼對你的網絡有利，什麼對你的網絡有害，什麼是可疑的，什麼是正常的。對你有害或奇怪的東西很有可能對别人是很正常的。例如，一個使用者從外國登入可能對你來說很可疑，特别是你所有的使用者都是本地的情況下。然而，另一個網站的使用者可能遍布各地，是以他們很難确定什麼才算是不尋常的。

這就是沒有真正即插即用的日志分析工具的部分原因，因為你的環境和政策決定了希望從日志中擷取的資訊。

最後，關于如何做日志分析并沒有很多有用的資訊。嘿嘿，也許應該有人寫一本這方面的書啊。