本節書摘來華章計算機《日志管理與分析權威指南》一書中的第2章 ,第2.2節,(美) anton a. chuvakin kevin j. schmidt christopher phillips 著 姚 軍 簡于涵 劉 晖 等譯更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。
大多數作業系統都具備某種類型的日志記錄功能,能夠生成日志消息。然而,許多計算機使用者(聽起來令人驚訝,這其中包括系統管理者)并不知道日志的存在,更不要說去檢視它們了。有三個主要原因驅使我們研究日志的來源範圍。
首先,安全日志記錄(security logging)着眼于攻擊、惡意軟體感染、資料竊取及其他安全問題的檢測和響應。聚焦于安全的日志記錄的典型例子就是使用者身份認證(登入)的記錄,以及意在分析某人是否具有通路某個資源的合适授權的通路決策。
其次,營運日志記錄用于為系統操作人員提供有用的資訊,例如通知他們系統故障和潛在的可操作條件。營運日志也可能被用于服務配給甚至是财政決策(基于通路的定價,web伺服器通路日志是日志用于業務而不僅限于it操作的常見例子)。這一類日志來源極為廣泛,涵蓋了大量的日志類型。
另外,依從性日志記錄通常和安全日志記錄有大量重疊,因為法規通常是為了改進系統和資料的安全而制定的。知道兩類依從性日志記錄的差別是極其重要的:影響it的法規和強制要求(例如pci dss、hipaa、iso、itil等)以及通用準則等系統法規、其他系統設計和安全強制要求。
最後,應用程式調試日志記錄(application debug logging)是特殊的一類日志記錄,它服務于應用程式或系統開發人員而非系統操作人員。這種日志記錄通常在生産系統中被禁用,但可以在必要時啟用。許多調試日志中的消息可以供完全了解應用程式或者掌握應用程式源代碼的開發人員進行分析。
上述四類日志記錄由幾乎所有日志源(事件生産者)産生,但是可以由不同的系統(事件消費者)以不同的方式分析或消費。
作業系統産生的日志自然屬于以上所讨論的範圍。例如,windows xp、vista以及windows 7都有一個被叫做“事件日志”(event log)的日志記錄系統。當系統中發生特定的事件,作業系統或某個應用程式會向事件日志系統中寫入一些資訊。舉個例子,當某windows程式崩潰後,往往有一個檢視“更多細節”的選項,大部分使用者很樂意忽略它們。那些資訊正是最終進入事件日志的内容。
精明的“進階使用者”由于經曆過windows nt 3.5那些“糟糕的日子”,已經知道在哪找到事件檢視器(event viewer)(見圖2.1)。
unix系統的日志記錄技術叫做syslog,它使人們回想起20世紀80年代早期unix sendmail程式的那些日子。像windows一樣,作業系統本身以及某些應用程式向syslog中寫入消息。如果系統管理者并未禁用日志記錄或移除日志檔案(“由于硬碟空間已滿”),他可能會看到如下條消息:
這一條目包含日期、主機名以及生成此消息的服務名,還有消息自身的内容。這條特定的消息表示針對某個并不存在的域執行了一次dns查詢。
一些應用程式可以生成自己的日志,web站點管理者可能對web服務日志比較熟悉。
這組日志條目顯示了來自不同來源(左邊)的web服務請求,包括請求的日期和時間、請求文檔的位置以及表明文檔傳遞狀态的響應碼(200,301以及其他)。具體地說,200表明這個文檔成功顯示(‘ok’代碼),301表明目标被移動到了其他位置(通過google搜尋“http response codes”可以找到這些代碼的詳細資訊!)。
web伺服器日志通常會為了各種原因而被分析,包括使用率以及其他電子商務、市場類的分析。網站管理者常常挖掘web伺服器日志,研究使用者概況,了解他們的行為、完成其他市場相關的任務。此外,web伺服器日志還能用來研究web伺服器性能和網站的可用性。
下面是一個snort nids(網絡入侵檢測系統)“警報”日志消息的例子。
注意,在這個snort的例子中,這些消息被稱做警報,而其他nids/nips(網絡入侵檢測/防禦系統)供應商稱它為警告(alarms)或其他完全不同的名稱。在所有情況下,它們實際上記錄的都是一條用于向值班的操作人員或者安全分析人員告警的日志消息。
以上展示的所有日志記錄系統都對安全日志分析很有用。unix、windows以及web伺服器日志可能包含有關該組織安全态勢的重要線索。
上面列出的隻是常見日志記錄系統的幾個例子,我們将在第9章和第15章介紹這些日志系統以及其他一些系統。