《日志管理與分析權威指南》一2.1 概述

本節書摘來華章計算機《日志管理與分析權威指南》一書中的第2章 ，第2.1節，（美）　anton a. chuvakin kevin j. schmidt christopher phillips　著 姚　軍　簡于涵　劉　晖　等譯更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。

在第1章我們已經讨論了日志，但是，我們真正讨論的東西是什麼？我們正在讨論的并不是樹木、數學，或航海日志等等……讓我們從定義開始，該領域中的許多讨論是粗略和模糊的，對安全分析人員或網絡工程師沒有什麼用處，是以探尋一個圍繞日志記錄資料的清晰定義就變得意義非凡了。

定義

在日志記錄、日志分析以及日志管理中使用的許多術語（包括我們剛剛使用過的）含義模糊，充滿誤導或者有多重意義。在某些情況下，術語是從其他學科中“借用”的（我們偶爾會用到這些詞），有時，不同的人使用不同的術語。而在另一些情況下，這些術語曾經很明确，但是被工具供應商的市場部門破壞了。這種模糊性将這一已經難以駕馭的領域變得更加混亂。

那麼日志應該傳達什麼内容？日志應該提醒我們，還是應該被忽略掉？如若日志這般重要，為何它們卻常常被忽略（事實上确實如此！）？組織遭到黑客入侵，自己卻從不知曉的例子屢見不鮮，而日志中的所有證據都在入侵後存在數月，有時甚至長達數年。如果我們的計算機以及所運作的相關軟體、網絡裝置似乎都正常工作，我們是否還必須檢視日志？

理想情況下，日志不應該僅僅作為最重要的“出了什麼錯”問題的答案。它們還應該用于回答許多其他問題，包括“我們的運作情況如何？”、“未來一段時間是否會出錯？”、“對某些事情我們是否做足了保護措施？”，以及大量審計相關的問題，例如“何人做了何事？”，請注意，後者并不僅在我們知道一些錯誤已經發生的情況下有用。

是以，日志分析工具不應該隻在發生錯誤的情況下派上用場。最終，必須将持續的日志稽核培養成一種習慣，就像人們每天刷牙一樣。現在，許多法規強制組織采取這種良好的“衛生”習慣，但仍有許多機構不願執行。

那麼，隻在情況變得一團糟的時候才檢視日志行嗎？對此最好的答案應該是“你至少應該做到這一點”，但是，除此之外，還有許多其他方法來充分利用日志内容。

下面是本書所用術語的定義。

事件分類根據一種或者多種分類方法為事件分組。分類方法的例子包括根據事件期間發生的情況、涉及各方、影響的裝置類型等分類。

另一方面，安全事故（security incident）指的是一個或多個安全事件的發生，這些安全事件表明環境中出現了某些不良狀況。這些不良狀況可能是對系統的未授權通路、資訊竊取、拒絕服務或者其他與某些機構相關的活動。而且，安全事故常常在清晨吵醒相關人員，因而通常很不受歡迎（其代價就是有時甚至産生“我們甯願不知道”的錯覺）。

在審計方面，日志記錄可能被用在整個或部分的審計過程之中，正如我們在本書中展示的，良好的日志記錄有助于審計活動的進行。但是僅有日志記錄并不是審計，而且日志消息也并不一定就是審計跟蹤。

應該指出，有時人們根據可信因素來區分日志記錄和審計。日志記錄可由系統和使用者應用程式、伺服器、作業系統元件産生。而審計行為由更可信的元件産生，如系統核心或可信計算（tcb）。windows作業系統就采用了這樣的區分方式。

“警報（alert）或警告（alarm）”是對事件産生的響應動作，通常是為了吸引某些人（或某些東西）的注意力。有時人們說日志檔案包含警報，尤其是一些入侵檢測相關日志确實集合了ids警報。本書中，我們将警報看作特定日志消息需要迅速向使用者轉發時所采取的行動。我們将把警報和警告看作是同一含義。

同樣，讀者們現在應該已經認識到日志是由各種不同的實體産生的，例如專用的安全裝置、應用軟體、作業系統以及網絡基礎設施元件等。我們将采用通用術語“裝置”(device），表示安全相關日志的來源。是以，在這個定義前提下，安全nips應用程式和apache web伺服器都将被作為一個裝置對待。有理由相信，未來具備上網功能的家電同樣會具備日志，當我們面對“面包機再次當機”的惡夢時，就可以在其日志檔案中尋找解決方法。

現在我們已經掌握了這些術語，讓我們通過一些例子來深入了解日志的性質及日志記錄方式。